È possibile, tuttavia tutto dipende da come il server web (Nginx, Apache, ecc.) è impostato per servire quei file. Ad esempio, è molto possibile avere un server web che non sa nulla di PHP, e quindi se fornito un file .php
, lo restituirà semplicemente come testo semplice, cioè il tipo MIME di text/plain
.
Se hai il pieno controllo del server, probabilmente potresti configurarlo in modo che offra file con estensioni .pl
come text/html
... ma in questo caso non stai sfruttando alcuna vulnerabilità.
Non puoi "eseguire qualcosa come HTML", poiché HTML non è un linguaggio di programmazione, è un linguaggio di markup, quindi " H yper t ext M arkup L anguage ". È una sintassi che viene analizzata da un browser Web per visualizzare gli elementi su una pagina Web. Puoi pensare che HTML sia simile a Markdown, che è solo un'altra sintassi che viene poi utilizzata da un parser Markdown (come puoi vedere su GitHub).