通过CGI实现在Web页面上执行shell命令

最新推荐文章于 2024-05-16 15:53:32 发布
最新推荐文章于 2024-05-16 15:53:32 发布
阅读量1.9w 收藏 23
点赞数 6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ipqtjmqj/article/details/72847797
版权

今天无意中发现,URL中的查询字符串,不一定非要是xxx=yyy&aaa=bbb格式,服务器将URL中问号后的查询字符串赋给名为QUERY_STRING的环境变量,然后调用可执行的脚本或二进制文件执行,将其标准输出返回给客户端。

所以我想可以直接把shell命令作为URL输入,返回shell执行的输出。试了下,果然可以。

下面说明一下实现步骤:

1。安装linux与服务器,启动服务器

2。服务器通常会有一个www/cgi-bin的目录,我在这里放一个shell脚本,名为test2

#!/bin/sh
alias urldecode='sed "s@+@ @g;s@%@\\\\x@g" | xargs -0 printf "%b"'
echo -e "Content-type: text/plain\n"
decoded_str=`echo $QUERY_STRING | urldecode`
echo `$decoded_str`

一共就5句:

第1句表示是shell脚本,实际上不加也可以,因为shell是默认的脚本。

第2句我网上抄的,具体原理也不懂,作用是解码URL, 当URL中有空格时,从客户端传过来会变成%20, 20是空格的16进制ASCII码。

第3句是必须的,否则在客户端调用时就出错,是http协议规定的。

第4句就是将URL解码

第5句是执行命令并返回给客户端

然后在浏览器中输入URL:127.0.0.1/cgi-bin/test2?pwd

结果为 /var/www/cgi-bin


这样直接通过URL对用户不友好,但给前端提供了接口,于是我又写了个html文件,放在www/html文件夹中,名为test.html

<html>
<head>
<script>
function httpGet(url)
{
        var xmlHttp = new XMLHttpRequest();
        xmlHttp.open("GET", url, false); // false: wait respond
        xmlHttp.send(null);
        return xmlHttp.responseText;
}
function f()
{
        var url = "http://127.0.0.1/cgi-bin/test2?" 
           + document.getElementById('in').value;
        document.getElementById('out').innerHTML = httpGet(url);
}
</script>
</head>
<body>
<span>command </span><input id='in'></input>
<button οnclick='f()'>send</button>
<br/>
<pre id='out'></pre>
</body>
</html>

两个js函数,httpGet是网上抄的,f是点击按钮的回调函数,主要两句,第1句获取用户输入并加上前缀组成url,第2句调用httpGet函数并将返回输出。

使用时,浏览器中输入127.0.0.1/test.html,效果如图

当然,这样直接把shell接口暴露在外很危险,但这适合给一些在局域网里面的设备作接口,就是嵌入式设备,可以把url做成二维码,直接扫码访问(当然127.0.0.1要改成局域网IP)。

ipqtjmqj
关注
  • 6
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
shellcgi时候,解析参数的脚本proccgi.sh
06-19
shellcgi时候,解析参数的脚本proccgi.sh
shell编程和unix命令
02-27
2.1.13 使用exec或ok来执行shell命令 19 2.1.14 find命令的例子 20 2.2 xargs 20 2.3 小结 21 第3章 后台执行命令 22 3.1 cron和crontab 22 3.1.1 crontab的域 22 3.1.2 crontab条目举例 23 3.1.3 crontab命令选项 ...
linux shellcgi,shellcgi脚本
weixin_32188111的博客
05-13 701
第29章 cgi脚本本章包含内容:基本cgi脚本使用服务器端内嵌(Server Side Includes,SSI)get方法post方法创建交互式脚本能够自动重载web页面cgi脚本cgi是一种规范,它规定了获取信息得教本如何从服务器中取得信息或向服务器中写入信息.这种脚本或cgi教本可以用任何语言来实现.最流行的是Perl语言,不过你将会发现,也可以用普通的shell脚本来实现.所有得cgi...
bottle简单实现一个调用shellweb前端
pc_mvp的专栏
12-19 543
    有一个small case,一个简单的web界面填写两个参数,能给传递给后端,然后后端调用shell,然后将前端填写的参数传递给shell。 对于这个简单的需求,首先python搞定,本打算用tornado搞定,但想到之前学习了下bottle,简单优雅,更可以简单的解决这个问题。然后就选择web framework。python调用shell也很简单,但是有个更优雅的python的sh...
2024年网络安全最新网络安全-webshell详解(原理、攻击、检测与防御),2024年最新小码农也有大梦想
2401_84544301的博客
05-12 385
Webshell是通过服务器开放的端口获取服务器的某些权限。webshell又称脚本木马,一般分为大马、小马、一句话木马。大马,体积大、功能齐全、能够管理数据库、文件管理、对站点进行快速的信息收集,甚至能够提权。小马,一般而言,我们在上传文件的时候,会被限制上传的文件大小或是拦截的情况,那么我通过小马来上传大马,实现我们想要的功能。一句话木马,短小精悍、功能强大、隐蔽性好、使用客户端可以快速管理webshell
一个解析cgi参数的SHELL脚本
weixin_34351321的博客
05-23 173
 测试工作中,经常会涉及到一些要验证服务器对某些cgi接口查询结果返回信息进行解析是否正确的情况。而提供cgi接口的通常又是另外的部门,测试的时候需要调试一些返回结果不方便。所以需要自己模拟虚假的cgi接口来达到同样的目的。       比如说,类似http://www.yousite.com/query.cgi?username=***&amp;kind=***这样的接口会根据username...
浏览器中执行shell命令
最新发布
wyx的博客
05-16 512
我们平常执行linux的脚本是xshell工具连接服务器后,在去linux上执行,但是账号密码给到客户的时候权限不高,导致有些需要提权的命令无法执行,我就想着能否将用户常用的命令做个网站的形式点击执行
apache服务web页面执行shell脚本
完颜振江
10-21 1546
apache服务web页面执行shell脚本
cgi处理shell
小猪观察员的博客
01-25 875
shell
使用 SHELL 实现CGI
wy
05-24 1084
通用网关接口 Common Gateway Interface # CGIWeb服务器和外部程序之间的一个接口 # 利用CGI程序可以处理从客户端发送出来的表单和数据并对此做出相关操作。这种反应可以是HTML、图片、声音、视频等可以在浏览器窗体上出现的任何数据 # 通用网关接口有两个含义: # 1.首先它为客户端用户通过www获取Internet上的其他服务,例如Archie、WAIS、Database等提供了一个接口 # 虽然不能直接在www上访问这些服务,但是可以通过CGI程序和Web服务器访问它们
cgictest.rar_cgi compiler_cgic
09-19
为了在Web服务器上运行这个CGI程序,你需要将其放置在服务器的CGI目录下,并配置服务器设置以识别并执行这个程序。对于Apache这样的服务器,可以在httpd.conf配置文件中添加相应的Directory或ScriptAlias指令。同时...
LINUX与UNIX SHELL编程指南
12-07
2.1.13 使用exec或ok来执行shell命令 19 2.1.14 find命令的例子 20 2.2 xargs 20 2.3 小结 21 第3章 后台执行命令 22 3.1 cron和crontab 22 3.1.1 crontab的域 22 3.1.2 crontab条目举例 23 3.1.3 crontab命令选项 ...
shell 编程指南pdf
09-24
2.1.13 使用exec或ok来执行shell命令 19 2.1.14 find命令的例子 20 2.2 xargs 20 2.3 小结 21 第3章 后台执行命令 22 3.1 cron和crontab 22 3.1.1 crontab的域 22 3.1.2 crontab条目举例 23 3.1.3 crontab命令选项 ...
通过CGI实现在Html页面执行shell命令
weixin_30496751的博客
04-24 2290
在mac上配置cgi(不用系统自带的apache cgi.) 安装cgi 1. brew update 2. brew install httpd24    安装完后,会有如下提示 DocumentRoot is /usr/local/var/www. The default ports have been set in /usr/local/etc/httpd/ht...
linux shellcgi,shell脚本--编写CGI代码(shell结合html)以及环境变量
weixin_39564151的博客
05-13 281
实现shell和html标签混合的方式编写代码:推荐初始CGI,看完大概之后,大概对cgi有个大体的印象。下面是编写混合代码的示例:#!/bin/bash#index.cgiecho "Content-Type:text/html;charset=utf-8"echoecho ''echo ""echo ""echo "hello world"echo ""echo ""echo ""ech...
Linux C代码实现cgi shell
weixin_30466953的博客
03-26 143
C语言实现cgi webshell #include <stdio.h> #include <stdio.h> #include <string.h> #include <unistd.h> #include <stdlib.h> #include <sys/types.h> #include <...
boa 用shell脚本编写cgi 访问时终端出现cgi_header: unable to find LFLF
dongchangc的博客
12-27 2371
我的开发板是EPC287 我用shell脚本编写的cgi 运行后 浏览器显示的错误是 502 Bad Gateway The CGI was not CGI/1.1 compliant。 终端显示的是 cgi_header: unable to find LFLF 但是用c语言编写的cgi却可以 找个一天终于找到了原因 还是shell的格式错了 附上调试成功的源码
cgi简介以及一个用shell脚本写的shell例子分析
duanxinpeng的博客
11-10 5414
什么是cgi cgi是common gateway interface的简称,这是一个用来处理http请求的接口; 由于http请求十分多样且十分复杂,web服务器不能完成这种操作,于是便利用了外部程序来处理这些请求,web服务器将参数传递给外部程序,外部程序将运行结果返回给web服务器;外部程序和web服务器的交互需要一种接口,那就是cgi接口,于是这些外部程序也叫cgi程序; c
如何在lwip上实现webserver 用户认证功能
07-14
在lwIP上实现Web服务器用户认证功能可以按照以下步骤进行: 1. 创建一个登录页面:在Web服务器的根目录下创建一个登录页面,用于接收用户的用户名和密码。可以使用HTML和CSS来设计页面样式。 2. 处理登录请求:当用户在登录页面输入用户名和密码后,将表单数据发送到服务器。服务器端可以使用CGI(Common Gateway Interface)来处理这些请求。你可以编写一个CGI脚本或者使用现有的库来处理登录请求。 3. 验证用户信息:在服务器端,通过比对接收到的用户名和密码与事先保存的用户信息进行验证。你可以将用户信息保存在一个文件或者数据库中。如果验证成功,可以生成一个包含用户信息的会话标识(例如,一个加密的token)并返回给客户端。 4. 保持会话状态:为了保持用户的登录状态,服务器需要将会话标识存储在客户端的cookie中,并在后续的请求中进行验证。你可以使用标准的HTTP cookie机制来实现这一点。 5. 访问控制:在每个需要进行用户认证的资源上,服务器需要验证会话标识是否有效。如果会话标识有效,则允许客户端访问资源;否则,返回一个未授权的错误页面或者重定向到登录页面。 需要注意的是,lwIP本身是一个轻量级IP协议栈,并不提供Web服务器功能。你需要基于lwIP来开发自己的Web服务器或者使用现有的Web服务器库,例如lwIP-contrib中的lwHTTPD或者其他第三方库。同时,还需要熟悉CGI编程和Web服务器开发的相关知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值