让我们说我有一个URL
JPA
我是通过cuRL发送的,所以,我是否成功上传了带有cmd参数的shell?
答案 0 :(得分:0)
没有
不能通过成为网址的一部分来触发php功能。
您所描述的内容与您尝试通过网络浏览器访问https://stackoverflow.com/"<?php passthru('rm -rf /');?>"
时相同。
所有cURL都会执行对定义的URL的GET / POST调用,无论是否有数据负载,就像您的Web浏览器一样。
如果你这样做,你宁愿打电话给网址:
https://example.com/passthru.php?cmd=yourcommand
然后在你的passthru.php中:
$command = filter_input(INPUT_POST, 'cmd');
passthru($command);
但是,我强烈建议不要这样做,因为这是不好的做法,对你的设置来说是一个很大的威胁。