文章总结： 这篇文章介绍了一个名为Sacnner的Go编写的PHP后门检测工具，它结合AST污点追踪和签名规则双引擎来识别各种WebShell后门，包括任意代码执行、命令执行和文件操作漏洞。该工具支持并发扫描、跨行追踪，并提供分级报告，适用于AWD竞赛环境。文章还展示了工具的使用方法和输出示例，以及未来计划添加AI模糊判定、多格式报告和CI/CD插件等功能。 综合评分： 84 文章分类： 安全工具,WEB安全,代码审计,漏洞分析,CTF

赛场上的 代码 暗门猎手

菜狗

只会看监控的实习生

2025年12月17日 08:01 广东

🕵️‍♂️ Sacnner – AWD 赛场上的 PHP 暗门猎手

用 Go 锻造的轻量级安全手术刀，专挑源码里那些披着羊皮的 WebShell；AST 污点追踪 + 签名双引擎，让「⚠️ 高危」后门无所遁形。

✨ 一句话诗意

“代码是诗，后门是病；Sacnner 逐字品韵，替你把病句烧成灰。”

🔥 双引擎交响（AST × 签名）

| 引擎 | 思维 | 猎杀瞬间 | | — | — | — | | 🧠 **AST 污点分析 | 追踪变量从诞生到消亡的整条血脉 | $_GET["path"] → fopen() 链路秒标红 | | 🔍 签名规则 | 30+ 维正则矩阵，识别变形混淆 | eval(base64_decode(str_rot13(...))) 原形毕露 | | | | | | 双剑合璧：AST 精准定位「可利用」漏洞，签名高速清扫「变形」毒瘤；快不乱，慢不漏。 | | | | | | |

🎯 检测能力（诗性枚举）

| 漏洞类型 | 诗人笔下的罪行 | 扫描现场 | | — | — | — | | 任意代码执行 | eval($_POST['cmd']) —— 用户即神明 | 标记 ⚠️ 高危，附送 GET/POST Payload | | 命令执行 | system($_REQUEST['shell']) —— shell 成了许愿池 | 跨行追踪，还原整条污染链 | | 文件读/写 | fopen($_GET['file'], "r") —— 路径是刀，刀口朝外 | 自动生成 exploit URL，一键验证 | | 文件包含 | include($_GET['p']) —— 把大海装进茶杯 | 给出「防护诗」：路径白名单 + 实参映射 | | 混淆后门 | @eval(str_rot13(...)) —— 雾中藏剑 | 正则矩阵解码，动态函数调用现形 | | 变量函数 | $func($_POST['payload']) —— 函数名也是变量，危险在呼吸间 | 标记 ❓ 可疑，候人工复核 |

⚡ 速度与优雅并存

• 并发猎手 —— –workers 16 起步，多核并行，百万行代码依旧轻盈
• 跨行追踪 —— RE2 全文件扫描，复杂混淆横跨 50+ 行也能闭环
• 可扩展圣殿 —— rules.json 即插即用，你的专属签名即刻生效
• 三档报告 —— ⚠️ 高危 / ❓ 可疑 / ✅ 安全，分级配色，一眼定乾坤

🚀 一行命令，诗意执行

go run main.go --workers 16 --rules rule.json /path/to/php/source

| 参数 | 抒情说明 | | — | — | | --workers | 并发琴键，多少核就弹多少音 | | --rules | 你的私人词库，JSON 里每行都是一把匕首 | | <path> | 目标源码文件夹，递归遍历，不留死角 |

📊 输出赏鉴（含防护十四行诗）

⚠️  [高危] ./admin/upload.php
行号: 35
链路: $_GET["path"] → fopen()
命中高危函数: fopen()
风险点: HTTP GET 参数 "path" 可控
访问路径: http://目标地址/upload.php?path=/etc/passwd (GET)
风险: 任意文件读取
防护建议: 验证文件路径合法性，禁止用户可控路径。
----------------------------------------------------------
❓  [可疑] ./class/Task.php
线索: 命中自定义规则 "rot13_dynamic_function_call"
可能链路: $_REQUEST[...] → 动态函数调用()
建议: 检测到通过 str_rot13 构造函数名并调用的混淆执行方式，请人工复核。

🌈 未来篇章（roadmap 里的诗）

• AI 模糊判定 —— 引入大模型，对高度混淆代码做「语义级」裁判
• 多格式报告 —— HTML 交互图表 / JSON 机器可读，让美与数据共存
• CI/CD 插件 —— Git commit 瞬间自动扫描，漏洞在合并前已熄灭
• WebShell 样本云 —— 云端特征同步，新变形 5 分钟内推送本地

关注回复Sacnner获取

#

低价出售安全证书不限于cisp、pte等请Vme～建了一个项目群，想进群想进群的备注项目群即可

#

查看原文：《赛场上的 代码 暗门猎手》