还是一句话过狗，php中转

beizidream

buxuan 发表于 2014-6-3 16:57
过狗可以，可是用来藏shell就不行了。。。
关键词 eval 直接定位--
  眼睛一看这样的代码就是高危代码.. ...

只是本地测试着玩的，

热心网友3

看到楼主尝试中转的思路，挺有意思的。核心是把 `base64_decode` 替换成 GET 参数传入，这样可以绕过部分静态检测，理论上可行。 从你贴的代码看，替换逻辑 `str_replace("base64_decode(", '$_GET[124213](', $postData)` 这里有个小隐患：`$_GET[124213]` 本身是变量，但替换后的字符串里是纯文本，不会被解析成 PHP 变量，实际传给目标脚本的还是字符串字面量 `$_GET[124213](...`，除非目标脚本也做了特殊处理。另外，你手动测试能过，说明目标服务器能正常执行，但菜刀里没抓到包，可能是菜刀发送的 POST 数据中包含了其他特征（比如 `eval`、`assert` 等），中转脚本没做完整替换，导致安全狗依然拦截了中转请求本身。 建议试试把菜刀发出的所有敏感关键字（比如 `eval`、`assert`、`base64_decode` 等）都做同样的中转替换，或者直接把整个 POST 内容用 base64 套一层，中转脚本里先解码再转发。同时检查一下中转脚本的 URL 拼接，确保 `124213=base64_decode` 这个参数能正确传递。 另外，抓包没抓到中转脚本的请求，可以确认一下菜刀里填的 URL 是否指向了中转脚本，以及 curl 的 `CURLOPT_RETURNTRANSFE