代码执行漏洞

最新推荐文章于 2023-07-28 20:06:30 发布
最新推荐文章于 2023-07-28 20:06:30 发布
阅读量597 收藏
点赞数 1
分类专栏: web渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxrpty/article/details/104540228
版权
本文通过实验环境php5.2和Apache,探讨代码执行漏洞的原理,当应用程序使用可将字符串转换为代码的函数时,如果没有正确过滤用户输入,可能导致代码注入问题。文章详细展示了三个实验步骤,演示了不同情况下代码执行的结果。
摘要由CSDN通过智能技术生成

实验环境:php5.2、Apache

实验原理:当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能够控制这个字符串,将造成代码注入漏洞

实验步骤:

实验一:

1.php代码如下:

<?php
  $data=$_GET['data'];
  echo preg_replace("/test/e",$data,"just test");
?>

2.在前端给data传值,执行结果如下:

实验二:

1.php代码如下:

<?php
   $data=$_GET['data'];
   eval("\$ret=$data;");
   echo $ret;
?>

2.在前端给data变量传值,执行结果如下:

实验三:

1.php代码如下

<?php
  $data=$_GET['data'];
   eval("\$ret=strtolower('$data');");
   echo $ret;
?>

2.在前端给data变量传值:22');phpinfo();//,执行结果如下:

没有如果ru果
关注
专栏目录
泛微E-Office10远程代码执行漏洞
05-06
泛微E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
WPS Office 代码执行漏洞(QVD-2023-17241)
08-13
**WPS Office 代码执行漏洞 (QVD-2023-17241) 深度解析** WPS Office 是一款由金山软件开发的办公软件套装,包括文字处理、电子表格、演示文稿等多种组件,广泛应用于个人和企业环境中。然而,随着软件的普及,安全...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
CMS Made Simple (CMSMS) 前台代码执行漏洞 CVE-2021-26120.md
最新发布
04-08
CMS Made Simple前台代码执行漏洞 CVE-2021-26120 漏洞背景 CMS Made Simple(CMSMS)是一个免费且开源的内容管理系统(CMS),面向开发人员、程序员和网站所有者提供网页开发和管理功能。CMSMS 使用 Smarty 模板...
Struts2远程代码执行漏洞分析(S2-013)1
08-08
Struts2 远程代码执行漏洞分析(S2-013) Struts2 是 Apache 官方的产品,最近出了一个远程代码执行漏洞,编号“S2-013”,目前是 0DAY,官方没有修补方案出现。这个漏洞出现在 includeParams 属性中,允许远程命令...
命令执行_代码执行漏洞
xlvbys的博客
07-28 137
远程代码注入漏洞 原理 攻击者可利用代码注入漏洞执行任意代码,来操作服务器
命令执行代码执行漏洞
MingShenfree的博客
10-27 229
命令执行漏洞原理 命令执行是直接调用系统命令。在操作系统中,“&,|,||”都可以作为命令连接符使用,攻击者通过浏览器端没有针对执行函数做过滤,将攻击者的输入的系统命令的参数拼接到命令行中,造成命令执行漏洞。 cmd1&cmd2 两个命令同时执行,cmd1和cmd2均有执行回显 cmd1|cmd2 两个命令同时执行,但只有cmd2有执行回显 cmd1;cmd2 两个命令同时执行,cmd1和cmd2均有执行回显 cmd1&a...
dvwa代码执行漏洞
05-30
DVWA(Damn Vulnerable Web Application)是一个专门用于测试Web应用程序安全漏洞的平台,其中包含了一些常见的Web漏洞类型,包括代码执行漏洞。 在DVWA中,代码执行漏洞通常是通过不正确使用用户输入来实现的。攻击者可以在应用程序中注入恶意代码,从而执行任意命令。 下面是一个简单的示例,演示了如何在DVWA中利用代码执行漏洞: 1. 首先,在DVWA中找到代码执行漏洞的页面。在DVWA中,通常可以在“File Inclusion”或“Command Injection”这些选项中找到相关漏洞。 2. 在输入框中输入以下内容: ``` ;ls ``` 这将在命令后添加一个分号,并执行“ls”命令,以列出当前目录中的文件。 3. 点击提交按钮,应用程序将执行您输入的命令,并将结果返回给您。 请注意,这只是一个简单的示例,实际上的攻击可能会更复杂和危险。因此,开发人员应该采取适当的措施来防止代码执行漏洞的出现,例如对所有用户输入进行验证和过滤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值