bugku--SSI

最新推荐文章于 2024-07-24 14:29:19 发布
最新推荐文章于 2024-07-24 14:29:19 发布
阅读量361 收藏
点赞数
分类专栏: CTF—WriteUp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40657585/article/details/84261317
版权

先普及一波

1.介绍

SSI是英文"Server Side Includes"的缩写,翻译成中文就是服务器端包含的意思。

从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。

2.用法

①显示服务器端环境变量<#echo>

本文档名称:

<!–#echo var="DOCUMENT_NAME"–>

现在时间:

<!–#echo var="DATE_LOCAL"–>

显示IP地址:

<! #echo var="REMOTE_ADDR"–>

将文本内容直接插入到文档中<#include>

<! #include file="文件名称"–>

<!--#include virtual="index.html" -->

<! #include virtual="文件名称"–>

<!--#include virtual="/www/footer.html" -->

③显示WEB文档相关信息<#flastmod><#fsize>(如文件制作日期/大小等)

文件最近更新日期:

<! #flastmod file="文件名称"–>

文件的长度:

<!–#fsize file="文件名称"–>

④直接执行服务器上的各种程序<#exec>(如CGI或其他可执行程序)

<!–#exec cmd="文件名称"–>

<!--#exec cmd="cat /etc/passwd"-->

<!–#exec cgi="文件名称"–>

<!--#exec cgi="/cgi-bin/access_log.cgi"–>

3.题解

用bp抓包测试,发现过滤#,将#url编码%23得到flag

参考: https://www.secpulse.com/archives/66934.html

Hydra.
关注
专栏目录
ssi
04-22
NULL 博文链接:https://sammyfun.iteye.com/blog/1871867
webpack-ssi-include-loader:废弃寻找 SSI 的 html 内容包括模板字符串,
05-29
Webpack SSI 包含加载器 描述 这个包的创建是为了帮助那些必须使用 SSI 和 webpack 的开发人员。 它将有助于设置开发... yarn add webpack-ssi-include-loader module : { rules : [ ... . { test : / \. html?
bugku SSI
Superpig的博客
11-23 134
分析 1、看题目,很明显考点在SSI 2、看源码,传参得到flag 解: 构造参数 新姿势 SSI 详见 https://blog.csdn.net/zyl_wjl_1413/article/details/84403952
SSI接口与RS422的区别
最新发布
lijuncheng555的博客
07-24 291
SSl接口(Synchronous Serial Interface)是一种同步串行接口,用于连接计算机和外部设备。它使用一个时钟信号来同步发送和接收数据,并使用全双工技术来传输数据。它主要用于控制设备,如机器人,机床,编码器和编程器等。
shtml 是什么?
weixin_34194317的博客
09-27 162
shtml   shtml教程   SSI有什么用?   之所以要扯到ssi,是因为shtml--server-parsed HTML 的首字母缩略词。包含有嵌入式服务器方包含命令的 HTML 文本。在被传送给浏览器之前,服务器会对 SHTML 文档进行完全地读取、分析以及修改。   shtml和asp 有一些相似,以shtml命名的文件里,使用了ssi的一些指令,就像asp中的...
SSI技术
海阔天空
01-28 6636
<br />1.       SSI,通常称为“服务器端包含”技术。使用了SSI技术的文件默认的后缀名为.shtml,SSI技术通过在html文件中加入SSI指令让web服务器在输出标准HTML代码之前先解释SSI指令,并把解释完后的输出结果和HTML代码一起返回给客户端。<br />2.       SSI技术的优点:SSI技术是通用技术,它不受限于运行环境,在java、dotnet、CGI、ASP、PHP下都可以使用SSI技术;解释SSI的效率比解释JSP的效率快很多,因为JSP规范提供了太多的功能,这
使用自动 SSI-COV 算法进行操作模态分析:使用应用于环境振动数据的 SSI-COV 算法自动识别线状结构的模态参数-matlab开发
05-31
协方差驱动的随机子空间识别方法(SSI-COV)与聚类算法结合使用以自动分析稳定图。 该算法的灵感来自 Magalhaes 等人使用的算法。 [1]。 它已被应用于Lysefjord桥的环境振动监测[2],并与频域分解技术[3]进行了...
imx-ssi.rar_SOC_imx6q-ssi
09-24
标题中的"imx-ssi.rar_SOC_imx6q-ssi"揭示了我们即将探讨的是一个与飞思卡尔(Freescale)i.MX6Q SoC(系统级芯片)中的SSI(Serial Synchronous Interface,串行同步接口)相关的软件开发资源。这个RAR压缩包包含了...
SSI.rar_SSI SSI_SSI-DATA_SSI接口
09-24
本压缩包文件“SSI.rar”包含了关于SSI接口在easyarm1138平台上实现的相关资料,主要关注SSI-DATA,即数据传输部分。 首先,让我们深入理解SSI接口的工作原理。SSI接口采用串行方式传输数据,与SPI(Serial ...
zframe-ssi-core:【已停止维护,仅供学习】zframe-ssi整合框架中的zframe-ssi-core.jar的
06-10
zframe-ssi-core ######zframe-ssi的核心文件源码 一般不需要改动,自己修改后,运行mvn clean package,然后把新生成的两个jar包替换zframe-ssi项目中的lib/目录下的对应文件
SSI电子书
04-02
struts2开发指南,ibatis开发指南,spring开发指南 博文链接:https://raulhjf.iteye.com/blog/1455247
BUGKU-WEB Simple_SSTI_2
天泽岁月
02-06 589
BUGKU-WEB Simple_SSTI_2
Bugku:Simple_SSTI_2
weixin_52599204的博客
08-05 430
然后发现里面直接显示了 那么接下来就是找系统命令执行语句的语法。由于题目提示是模板注入,于是直接上payload。说实话原来也没怎么了解过这个框架 于是找了找命令。首先打开环境 提示需要传一个flag参数。这里引用大佬的博客 感兴趣的可以去看看。找到圈起来这条 把里面的。...
[bugku]Simple_SSTI_2
ZhShy
03-10 3437
进入页面之后F12没发现什么有用的东西。 照例看看config: http://114.67.175.224:12482/?flag={{config}} 没有flag 试一试 http://114.67.175.224:12482/?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}} __class__:用来查看变量所属的类,根据前面的变量形式可以得到其所属的类。 __i
关于SSI
David Yan的专栏
07-06 1537
SSI有什么用?  目前,主要有以下几种用用途:  1、显示服务器端环境变量  2、将文本内容直接插入到文档中  3、显示WEB文档相关信息 (如文件制作日期/大小等)  4、直接执行服务器上的各种程序(如CGI或其他可执行程序)  5、设置SSI信息显示格式(如文件制作日期/大小显示方式)  高级SSI可设置变量使用if条件语句。 使用SSI  SSI是为WEB服务器提供的一套命令,这些命令只要
SSI指令
IT部落阁
02-21 2713
SSI指令基本格式 程序代码: 示例: 说明: 1.是HTML语法中表示注释,当WEB服务器不支持SSI时,会忽略这些信息。 2.#include 为SSI指令之一。 3.file为include的参数,info.htm为参数值,在本指令中指将要包含的文档名。 注意: 1.。 2.上面的标点="",一个也不能少。 3.SSI指令是大小写敏感的,因此参数必须是小写才会起作
SSI框架
热门推荐
karlin999的博客
02-05 1万+
框架简介 MVC对于我们来说,已经不陌生了,它起源于20世纪80年代针对smalltalk语言的一种软件设计模式,现在已被广泛应用。近年来,随着java的盛行,MVC的低耦合性、高重用性、可维护性、软件工程的可管理性等诸多优点使其在java平台中很受欢迎,其间,也诞生了许多优秀的MVC框架,如专注于控制层的Struts、WebWork, Struts2, JSF等框架,专注于业务逻辑方面的Spr
Pepperl+Fuchs PCV-F200-SSI-V19 DataMatrix Positioning System手册
"Pepperl+Fuchs公司的PCV-F200-SSI-V19 DataMatrix定位系统是一款专用于自动化技术的二维码读取设备。该手册涵盖了产品介绍、符合性声明、安全指南、产品描述、安装步骤以及调试方法等重要内容。" 在"倍加莱二维码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值