pikachu靶场-RCE-exec eval – 作者:知非知非知非

看看提示：

小课堂时间：

PHP eval() 函数：这个函数的作用是把字符串当成 PHP 代码来计算：

这个附一个菜鸟教程的例子：

<?php

$string = “beautiful”;

$time = “winter”;

$str = ‘This is a $string $time morning!’;

echo $str. PHP_EOL;

eval(“\$str = \”$str\”;”);

echo $str;

?>

This is a $string $time morning!

This is a beautiful winter morning!

这里，我们直接输入php探针！！！

phpinfo();

输出：

接着，我们看一下源代码！！！提交的名称未过滤，直接执行，导致代码执行漏洞！！！

来源：freebuf.com 2021-07-26 08:27:43 by: 知非知非知非