老八小超市儿

shopxo模板

默认密码admin/shopox登录后台

在网站管理 -> 主题管理 -> 主题安装 -> 更多主题下载里面下载一个主题

下载下来之后，在 default/static 里面放一句话木马，重新上传。

上传后再用那牛逼的蚁剑，使用payload：

url/public/static/index/default/shell.php

可以看到假flag，提示日期，查看auto.sh文件

查看写文件

该文件可以任意写，把flag写到hint即可。