资讯

精准传达 • 有效沟通

从品牌网站建设到网络营销策划,从策略到执行的一站式服务

ApacheSSI远程命令执行漏洞

漏洞原理:
在测试任意文件上传漏洞的时候,目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持,我们可以上传一个shtml文件,并利用语法执行任意命令。

十载的罗湖网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。全网营销推广的优势是能够根据用户设备显示端的尺寸不同,自动调整罗湖建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。创新互联从事“罗湖网站设计”,“罗湖网站推广”以来,每个客户项目都认真落实执行。

漏洞复现:
shtml包含有嵌入式服务器方包含命令的文本,在被传送给浏览器之前,服务器会对SHTML文档进行完全地读取、分析以及修改。
正常上传PHP文件是不允许的,我们可以上传一个shell.shtml文件:

Apache SSI 远程命令执行漏洞
然后上传就行了
Apache SSI 远程命令执行漏洞
点进去
Apache SSI 远程命令执行漏洞
解析成功,远程命令执行,pwd命令可以随便改。


网页标题:ApacheSSI远程命令执行漏洞
浏览路径:http://cdkjz.cn/article/gpjpho.html
多年建站经验

多一份参考,总有益处

联系快上网,免费获得专属《策划方案》及报价

咨询相关问题或预约面谈,可以通过以下方式与我们联系

大客户专线   成都:13518219792   座机:028-86922220