7/24(火) 気になったセキュリティ記事
絵文字を使ってWebShellを作成する記事。
PHPは変数名にUnicode文字を使えるため、絵文字で以下のようなコードが書けるみたいです。
<?php
$😶="Hello World!";
echo($😶);
もちろん日本語もOKです。
<?php
$変数="Hello World!";
echo ($変数);
?>
少し長めのHello World!。
<?php
$🐀="a";
$🐁="b";
$🐂="c";
$🐃="d";
$🐄="e";
$🐅="f";
$🐆="g";
$🐇="h";
$🐈="i";
$🐉="j";
$🐊="k";
$🐋="l";
$🐌="m";
$🐍="n";
$🐎="o";
$🐏="p";
$🐐="q";
$🐑="r";
$🐒="s";
$🐓="t";
$🐔="u";
$🐕="v";
$🐖="w";
$🐗="x";
$🐘="y";
$🐙="z";
$🐚="A";
$🐛="B";
$🐜="C";
$🐝="D";
$🐞="E";
$🐟="F";
$🐠="G";
$🐡="H";
$🐢="I";
$🐣="J";
$🐤="K";
$🐥="L";
$🐦="M";
$🐧="N";
$🐨="O";
$🐩="P";
$🐪="Q";
$🐫="R";
$🐬="S";
$🐭="T";
$🐮="U";
$🐯="V";
$🐰="W";
$🐱="X";
$🐲="Y";
$🐳="Z";
$🐴="0";
$🐵="1";
$🐶="2";
$🐷="3";
$🐸="4";
$🐹="5";
$🐺="6";
$🐻="7";
$🐼="8";
$🐽="9";
$🍛="!";
$🌮=" ";
$🦁= $🐡. $🐄. $🐋. $🐋. $🐎. $🌮. $🐰. $🐎. $🐑. $🐋. $🐃. $🍛;
echo ($🦁);
?>
実際のところ、記事にも書かれている通り絵文字を使う事の利点はなさそうですが、もしかするとWAF等の検知を回避できるのかもしれません。
※サンプルコードの絵文字は以下のサイトから使用させて頂きました。