utf-8中有一个没有 Boom 的脚本,它以难以理解的编码为代码片段加
下划线
:+ V),然后不重新编码,它显示为:然后杀毒软件冲到这个文件并杀死它。虽然此代码片段在这种难以理解的重新编码中,但防病毒软件不会对其做出反应。eval(gzinflate(base64_decode(
复制粘贴已经以可读的形式动态显示的编码是什么,并且防病毒软件看不到真正的代码?
RError.com
格式
\xAA是用十六进制代码表示的字符AA在你的情况下,
等等。结果,该行被收集
eval(gzinflate(base64_decode(在这一行
base64_decode- 解码使用 MIME base64 算法编码的数据。gzinflate- 解压一个字符串eval- 将code参数中传入的字符串作为PHP代码执行那些。
base64_decode一些编码字符串作为输入(“难以理解的字符”之后的那个),它被解码,解包(gzinflate)并在您的服务器上执行(eval)。换句话说,有人在您的输入中加入了病毒/后门/勒索软件/任何恶意软件,希望您的脚本不会验证用户数据,它会运行并给您带来有趣的生活。你验证数据吗?
为了感兴趣,你可以从这一行中去掉
eval,看看这一行被解码成什么具体代码。