ApacheSSI遠程命令執(zhí)行漏洞

漏洞原理：
在測試任意文件上傳漏洞的時候，目標服務端可能不允許上傳php后綴的文件。如果目標服務器開啟了SSI與CGI支持，我們可以上傳一個shtml文件，并利用語法執(zhí)行任意命令。

十載的羅湖網站建設經驗，針對設計、前端、開發(fā)、售后、文案、推廣等六對一服務，響應快，48小時及時工作處理。全網營銷推廣的優(yōu)勢是能夠根據用戶設備顯示端的尺寸不同，自動調整羅湖建站的顯示方式，使網站能夠適用不同顯示終端，在瀏覽器中調整網站的寬度，無論在任何一種瀏覽器上瀏覽網站，都能展現(xiàn)優(yōu)雅布局與設計，從而大程度地提升瀏覽體驗。創(chuàng)新互聯(lián)從事“羅湖網站設計”,“羅湖網站推廣”以來，每個客戶項目都認真落實執(zhí)行。

漏洞復現(xiàn)：
shtml包含有嵌入式服務器方包含命令的文本，在被傳送給瀏覽器之前，服務器會對SHTML文檔進行完全地讀取、分析以及修改。
正常上傳PHP文件是不允許的，我們可以上傳一個shell.shtml文件：

Apache SSI 遠程命令執(zhí)行漏洞
然后上傳就行了

點進去

解析成功，遠程命令執(zhí)行，pwd命令可以隨便改。

分享名稱：ApacheSSI遠程命令執(zhí)行漏洞
路徑分享：http://aaarwkj.com/article40/gpjpho.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供電子商務、品牌網站設計、響應式網站、定制開發(fā)、微信小程序、網站建設

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內容

欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

ApacheSSI遠程命令執(zhí)行漏洞