文章总结： 本文发布了一个SSTI漏洞挑战赛，作者提供了测试环境链接及源码，要求绕过修复实现getshell。赛事设置奖金，第一名500元，截止下周四。作者指出题目存在非预期解，不看预期只看提交名次，并公布了上期fastjson挑战的获奖者。 综合评分： 60 文章分类： 渗透测试,漏洞分析,CTF,SRC活动

ssti挑战——有奖金

原创

珂字辈 珂字辈

珂技知识分享

2026年3月5日 16:19 湖北

拒绝废话

http://104.160.44.44:8078/login?username=admin

https://github.com/kezibei/vulnerable-challenge/tree/main/ssti

简介：小明知道这里有漏洞，但他认真修复了原组件的漏洞，你能绕过他的修复吗？

无flag，要求getshell(做到命令回显或者内存马)并且给出wp，wp提交方式直接回复公众号或者邮箱[email protected]

这题肯定存在非预期，我自己就想到了至少三种办法。因此不看预期不预期，就看wp提交的名次。第一位500，第二位300，第三位200，不要奖金的顺延给下一位。

下周四结束。

fastjson写文件挑战2忘记公布奖金获得者了，非预期第一个人是77，无限接近预期的是su18。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：珂技知识分享 珂字辈 珂字辈《ssti挑战——有奖金》