前言
这次的培训因为种种原因,效果不太好,录屏也没有录上。我本来是想着抽时间重新录一次课,但周内没啥空余时间,因此我就想写博客复现一下这次培训。朱爹告诉我讲的太难了,想到大家基本都是零基础,我决定按照朱爹的思路,尽量讲的简单,那么我们正式开始。
正文
基础函数及系统命令
在正式讲命令执行漏洞前,我们先来了解几个常用的函数和用法,以便后面理解。
phpinfo()
phpinfo()是PHP语言的函数,效果是查看当前服务器的PHP信息,作为最基础的函数,一个页面只要能够运行phpinfo(),那就代表其他函数基本都能够执行了。因此phpinfo()函数常用来测试,测试PHP代码能否运行。
$_GET['']
$_GET[’’]是PHP语言的函数,通过 URL 参数传递给当前脚本的变量的数组。(摘自百度),也就是由网页链接来向服务器传入参数,GET函数有特定的格式,举个例子,如果我们可以通过GET函数给www.baidu.com传入一个参数’a‘,而这个传入的’a‘赋值为123,那么格式如下:
www.baidu.com?a=123
如上面所示,GET函数具体格式就是在网址(也就是url)后加上’?’,再加上要传入的参数名字和它的赋值即可。
$_POST['']
$_POST[’’]是PHP语言的函数,和GET类似,也是给服务器传入参数,不过方法不同,格式不同,为了方便,我们一般选择使用插件来进行POST传参。这里推荐新人使用Firefox免费的插件max hackbar,下面是详细的插件安装过程:
首先你要有个火狐浏览器