先来看下反引号可以成功执行命名的代码片段。代码如下：

正则表达式该如何写？
分析：
对于可移植性的部分共同点是什么？与其他正常的包含反引号的部分，区别是什么？
他们前面可以有空格，tab键等空白字符。也可以有程序代码，前提是如果有引号（单双）必须是闭合的。才是危险有隐患的。遂CFC4N给出的正则如下：【(?:(?:^(?:s+)?)|(?:(?P["'])[^(?P=quote)]+?(?P=quote)[^`]*?))`(?P[^`]+)`】。

解释一下：

【(?:(?:^(?:s+)?)|(?:(?P["'])[^(?P=quote)]+?(?P=quote)[^`]*?))】匹配开始位置或者开始位置之后有空白字符或者前面有代码，且代码有闭合的单双引号。（这段PYTHON的正则中用了捕获命名以及反向引用）

【`(?P[^`]+)`】这个就比较简单了，匹配反引号中间的字符串。

python脚本检测PHP WEBSHELL
然后我将这段代码写入程序中，测试跑了一下discuz的程序。结果有一个误报。误报的位置为“config.inc.php”中的“define(‘UC_DBTABLEPRE', ‘`ucenter`.uc_');”，什么原因造成的？这行代码符合了前面有闭合的引号，也有反引号的使用，所以，符合要求，被检测到了。如何再排除这种情况呢？这个有什么特殊的？前面有逗号“,”？如果是字符串连接的点号“.”呢？再排除逗号？

好吧，我错了，我不该用我的思维来误导你。换个思路。找下反引号可执行的代码的前面字符串的情况，他们只能是行的开始，或者有空白字符（包括空格，tab键等），再前面也可以有代码的结束标识分号“;”，其他的情况，都是不可以执行的吧？嗯，应该是这样。（如有错误，欢迎斧正）既然思路有了，那正则代码更好写了。如下【(^|(?if match:
function = match.group("function")
filename = match.group("filename")
if iname == 0:
info = 'n[%s] :n'% (filepath)
else:
info = ''
info += 't|-- [%s] - [%s] line [%d] n'% (function,filename,i)
flog.write(info)
print info
iname += 1
match = re.search(r'b(?Peval|proc_open|popen|shell_exec|exec|passthru|system)bs*(', file_contents, re.IGNORECASE| re.MULTILINE)
if match:
function = match.group("function")
if iname == 0:
info = 'n[%s] :n'% (filepath)
else:
info = ''
info += 't|-- [%s] line [%d] n'% (function,i)
flog.write(info)
print info
iname += 1
match = re.search(r'(^|(?if match:
function = match.group("function")
filename = match.group("filename")
if iname == 0:
info = 'n[%s] :n'% (filepath)
else:
info = ''
info += 't|-- [%s] - [%s] line [%d] n'% (function,filename,i)
flog.write(info)
print info
iname += 1
match = re.search(r'b(?Peval|proc_open|popen|shell_exec|exec|passthru|system|assert|fwrite|create_function)bs*(', file_contents, re.IGNORECASE| re.MULTILINE)
if match:
function = match.group("function")
if iname == 0:
info = 'n[%s] :n'% (filepath)
else:
info = ''
info += 't|-- [%s] line [%d] n'% (function,i)
flog.write(info)
print info
iname += 1
match = re.search(r'(^|(?

    

 

精确查找PHP WEBSHELL木马的方法(1)