如何让文件里PHP代码被服务器解析执行

  |  

按照一般植入webshell的方法通常是上传一段包含恶意代码文件,然后让服务器解析文件里的恶意代码从而得到get shell的目的。那么问题来了,文件中什么的字符会被当成php代码来解析?PHP代码中指令怎么分割?什么样的文件服务器会去解析?(本文章默认要执行的文件已在网站目录下的情况)

关于python ssti的思考

  |  

0x1关于ssti的讲解

1.什么是ssti?

SSTI就是服务器端模板注入(Server-Side Template Injection).在一般的ctf中主要考查python比较多,故这篇文章主要是分析python下的ssti。

|