tshark -r snort.log.1426118407 -Y "http.request.uri contains cm0.php" -T fields -e http.request.uri | python3 -c "import urllib.parse, sys; print(urllib.parse.unquote(sys.stdin.read()))"
tshark打开的这个包记录了一次“夺权”过程。
备注:数据包是我从网络上下载的(所示ip地址也没啥价值了)
解释:
python3 -c "import urllib.parse, sys; print(urllib.parse.unquote(sys.stdin.read()))"
其作用是用于解码url编码信息。
可以给安全防护审查的方式开拓一点思路。