add pic

2024-11-10 05:44:11 +00:00 · 2014-09-01 10:56:21 +08:00 · 2014-09-01 10:56:21 +08:00 · c9cfb70f97
commit c9cfb70f97
parent 4b21759a55
1 changed files with 4 additions and 4 deletions
--- a/php/php-xor.md
+++ b/php/php-xor.md
@ -33,12 +33,12 @@ php.ini 中是这样用的： `E_ALL & ~E_NOTICE `
 2）分析并重现
 这个就是当时最原始的代码实现效果：

-![Alt text](/img/20140901-03.jpg)
+![Alt text](./img/20140901-03.jpg)

 当看到这个效果的时候最先想到的就是绕过防火墙等后门的实现，之后开始考虑这是哪种编码方式？
 后来同李普君测试中发现直接使用echo ~'1';等则会直接输出以上的'乱码'。

-![Alt text](/img/20140901-04.jpg)
+![Alt text](./img/20140901-04.jpg)

    <?php
    $x=~Ÿ¬¬º«;
@ -47,7 +47,7 @@ php.ini 中是这样用的： `E_ALL & ~E_NOTICE `

 那么我们便可以开始写一句话试试效果了：

-![Alt text](/img/20140901-05.jpg)
+![Alt text](./img/20140901-05.jpg)

 这里定义$x变量为ASSERT，然后密码为FF0000直接链接后门便可，因为当位取反出来'乱码'后我们再取一次反即可返回正常值。

@ -55,7 +55,7 @@ php.ini 中是这样用的： `E_ALL & ~E_NOTICE `
 当重现这个后门的时候我发现，直接Copy过来的直接HTTP状态500，源头是编码问题，上面这种'乱码'其实为西欧（ISO-8859-15）。
 实际过程中我们遇到了多次后门无法链接出现500的错误均势因为编码问题，如果默认编码无法识别将编码方式保存为这种即可（GBK\UTF8\...均不能成功使用）

-![Alt text](/img/20140901-06.png)
+![Alt text](./img/20140901-06.png)

 4）留在最后
 我们写了一个小脚本为了方便生成：http://www.hackersoul.com/tools/Createbackdoor-1.php