可利用的 PHP 函数 利用 PHP 脚本需要使用允许执行任意代码的特定函数。恶意 PHP 脚本(例如 Web shell)必须包含一个或多个能够根据用户输入执行代码的函数。识别 PHP 文件中的这些函数有助于缩小潜在受感染脚本的范围,以便进一步调查。 Shell 执行 system exec 打开 反引号运算符 pcntl_exec PHP 执行 eval preg_replace (与 /e修饰符) create_function include[_once] / require[_once] 信息披露 phpinfo posix_mkfifo posix_getlogin posix _ttyname getenv get_current_user proc_get_status get_cfg_v ar disk_free_space disk_total_space diskfreespace getcwd getlastmo getmygid getmyinode getmypid getmyuid 其他 提取 parse_str putenv ini_set mai l 标头 proc_nice proc_terminate proc_close pfsockop en fsockopen apache_child_terminate posix_kill posix_mkfif o posix_setpgid posix_setsid posix_setuid 文件系统功能 fopen tmpfile bzopen gzopen SplFileObject->__co nstruct chgrp chmod chown 复制 file_put_contents lchgrp lchown 链接 mkdir move_uploaded_file rena我 rmdir 符号链接 tempnam 触摸 取消链接 imagepng (第二个参数是路径) imagewbmp(第二个参数是路径) image2wbmp(第二个参数是路径) imagejpeg(第二个参数是路径) imagexbm(第二个参数是path) imagegif (第二个参数是路径) imagegd (第二个参数是路径) imagegd2 (第二个参数是路径) iptcembed ftp_get ftp_nb_get 文件_exists file_get_contents 文件 fileatime filectime 文件组 fileinode filemtime 文件所有者 文件权限 文件大小 文件类型 g lob is_dir is_executable is_file is_link is_可读 is_uploaded_file is_writable is_writeable linkinfo lstat parse_ini_file 路径信息 读取文件 读取链接 真实路径 stat gzfile readgzfile getimagesize imagecreatefromgif imagecreatefromjpeg imagecreatefro mpng imagecreatefromwbmp imagecreatefromxbm imagecreatefromxpm ftp_put ftp_nb_put exif_rea d_data read_exif_data exif_thumbnail exif_imagetype hash_file hash_hmac_file hash_update_f ile md5_file sha1_file highlight_file show_source php_strip_whitespace get_meta_tags
