bugku web

已于 2022-11-19 16:26:35 修改
阅读量705 收藏
点赞数
文章标签: web安全 http
于 2022-11-18 17:28:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ershuiyan/article/details/127926369
版权

Simple_SSTI_1

  1. 打开场景,观察页面。
    干净的界面和这句话,第一反应看源代码。
    界面
  2. 查看网页源代码。
    重点是源代码里面的提示,安全钥匙,传参。源码
  3. URL传参
    了解http传参规则使用“?”标识传参。
    URL传参
    发送请求,返回flag。
    (第一眼还没发现回显flag)
    flag

Flask_FileUpload

文件上传漏洞

1.查看网页源代码
根据网页源代码显示,结果是通过python返回中,但是经过文件测试只能上传jpg,png文件,所以要将执行的python语句进行伪装。

源代码

2.编写文件
编写一个包含python语句的1.jpg文件。(注意代码格式,直接修改文件后缀名)
代码

3.文件上传
上传jpg文件,查看源代码会有flag。
flag
也可以通过直接上传jpg文件,burpsuite抓包写入内容。

二水雁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BugKu:Flask_FileUpload
qq_47480932的博客
04-07 1259
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。时,服务器会检查是否有文件被上传,然后将文件保存到指定的上传文件夹中。首先对于这个有flask构建的web文件上传程序,其中包含了一个文件上传的端点。提示文件上传成功,但是没有flag呀,差点就要放弃了,先别着急,查看一下源代码。上传文件,与之前的上传步骤是一样的,拿到flag!
bugku-web-文件上传-个人笔记
sunquan705的博客
11-10 641
bugku-web-文件上传-个人笔记
BugKu-Web-Flask_FileUpload(模板注入与文件上传
m0_73734159的博客
12-13 883
Flask也被称为“microframework”,因为它使用简单的核心,用扩展来增加其他功能。Flask的核心组件包括Werkzeug,一个WSGI工具箱,以及Jinja2,一个模板引擎。这为开发人员提供了更大的灵活性,可以根据应用程序的需求选择最适合的组件。在开发Web应用程序时,Flask提供了一个构建块,允许开发人员根据需要自由地选择和组合不同的组件。总的来说,Flask是一个轻量级的Web应用框架,具有简单性和灵活性,适合小型团队在短时间内实现功能丰富的中小型网站或Web服务。
bugku-web-文件上传
m0_57954651的博客
11-02 1911
不可以上传 php文件 说明一共存在三个过滤 请求头部的 Content-Type 文件后缀 请求数据的Content-Type
bugku 文件上传
m0_73721944的博客
11-26 454
(依次尝试php4,phtml,phtm,phps,php5(包括一些字母改变大小写))分别将后缀名修改为php2, php3, php4, php5, phps, pht, phtm, phtml(php的别名),发现只有php4没有被过滤。第二个是文件的的Content-Type: application/octet-stream,改成image/jpeg。只能上传图像,不能上传PHP文件,那应该是寻找漏洞上传PHP文件。Multipart里的部分字母改成大写的。第三个是文件后缀名改成php4。
BUGKU--POST上传
m0_65766842的博客
03-01 244
1
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
bugku web题INSERT INTO注入.docx
05-16
### bugku Web题INSERT INTO注入知识点详解 #### 一、背景与目标 在CTF(Capture The Flag)比赛中,Web安全挑战是常见的题型之一。本文档中的“bugku web题INSERT INTO注入”是一个典型的利用SQL注入漏洞进行攻击...
web留言板
06-06
Web留言板 (0分) 设计一个简单的基于Web的留言板,要求如下:1)系统中所有页面,如果用户没登录,则让用户返回到登录页面login.jsp(说明:login.jsp页面填写用户的用户名和密码);2)留言板(message.jsp)页面中...
bugku题的web类解析
01-29
这个是我自习写的bugkuweb的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
bugku杂项题writeup
11-22
bugku杂项题writeup
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
bugku——Flask_FileUpload
yc20030119的博客
08-21 788
照例先检查一下源代码(显示文件只能通过jpg或者png进行上传,并且是用python进行返回)那条件都了解了,接下来就是写对应的文件了(我用笔记本写的相对应的文件)第一个文件上传结果为目录(惊奇的发现里面有flag文件)然后将文件的后缀名改成png结尾的文件。第二个文件(text1)然后将两个文件分别上传。第一个文件(text)
bugku——文件上传——web——shell
最新发布
m0_75007575的博客
05-04 243
explode() 函数使用一个字符串分割另一个字符串,并返回由字符串组成的数组。separator:在哪里分割字符串。limit:规定数组元素的个数。string:要分割的字符串。
文件上传bugku
ndjnddjxn的博客
04-19 580
Flask是一个较小的Python web框架,只提供了一个强劲的核心,其他的功能都需要使用拓展来实现。意味着可以根据自己的需求量身打造,一般来说就是利用它来搭建网站。Flask的核心组件包括Werkzeug,一个WSGI工具箱,以及Jinja2,一个模板引擎。Flask使用BSD授权,这意味着它遵循开源许可证,允许用户自由地使用、修改和分发分析:首先对于这个有flask构建的web文件上传程序,其中包含了一个文件上传的端点 /uploader。
Bugku CTF Web Flask_FileUpload
网安小趴菜
10-20 982
Bugku CTF Web Flask_FileUpload
bugku sodirty
09-03
- *1* *3* [Bugku解题 web 【四】](https://blog.csdn.net/weixin_46703850/article/details/115184847)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值