- 代码/命令执行
比如说能够对一个php的站点,控制php代码,那么我们就把它划分为代码执行,如果能执行网站所在服务器中的命令,我们这就把它划分为命令执行,因为它执行的是系统命令。
一般来说代码或命令执行漏洞都存在一个相关函数,通过控制部分参数传递到函数中实现命令执行。说到CTF题型中的这种攻击手段,一定要知道哪些函数能够被利用需要我们去关注的,首先会带大家了解一些代码注入的相关函数,例如执行php代码的一些函数。
- 相关函数(代码注入)
1、eval 函数
这个函数能够把字符串当成代码来执行,以分号结尾可以理解为是完整语句,即使报错加上分号之后语句也会成功执行。
2、Assert
3、call_user_f