20210411web渗透学习之代码执行(又名代码注入)漏洞学习回顾记录(不定期更新)
学了很久的代码执行,这个漏洞很厉害,但是难挖,出于挖src的需求,结合ctf的实际情况,写下这篇文章。一、动态代码执行(实际很少了)也就是常说的$_GET['a']($_GET['b']);形式连续2个用户可控的输入前者包含后者那就可以考虑输入a=assert&b=命令 来执行,,如果$_GET['a']("$_GET['b']"),那就是把b当做字符串,就输入a=eval&b=命令 如:a=assert&b=system(id
