最近我在 HTTP 服务器的 access_log 中看到了类似这样的行(我已将真实图像更改为“someimage.jpg” - 由于允许目录列出,您可以直接浏览图像文件夹,以防您想尝试使用真实图像):
GET http://www.hindu.com\xc2:\xc2/mp/2006/07/03/images/someimage.jpg HTTP/1.1" 400 313 "-" "webcollage/1.135a
用户代理似乎是网络拼贴,这是一个用来自网络的随机图像装饰屏幕的工具 - 但我猜它是假的。显然它试图将 HTTP 服务器用作 HTTP 代理。
现在我想知道的是\xc2:\xc2
URL 中的部分。如果没有该部分,它将是一个有效的 URL。有了该字符串,第一个\xc2
将被解释为顶级域的一部分,而第二个将被解释为端口。它没有找到与该字符串相关的漏洞的任何参考,但通过 Google 发现很多访问日志包含类似的行,但没有任何解释。
知道这里尝试了什么吗?