远程命令、代码执行漏洞原理及案例演示

REC概述

我们到pikachu上

他让我们在这里，输入目标IP地址!
我们输入一下这个网址

之后我们再试试ipconfig，因为我用的是win系统，所以要用ipconfig命令，如果使用的是linux系统，就需要使用ifconfig命令，格式是一样的。

127.0.0.1 & ipconfig

意味着后端没有做严格的处理，我们还可以用其他的命令去执行其他操作，这样的漏洞是非常危险的，下图就是网页的后台，直接将变量拼接进来，没做处理

接下来我们来看看远程代码执行漏洞

我们来到pikachu上

随便提交一个

是挺奇怪的，那我再输入一段php代码

出来了什么不得了的东西，这就是一个远程代码执行漏洞

这个网页的后台同样也没有对输入做任何处理