[SUCTF 2019]Pythonginx

最新推荐文章于 2022-07-16 18:13:24 发布
最新推荐文章于 2022-07-16 18:13:24 发布
阅读量438 收藏
点赞数
分类专栏: ssrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41628669/article/details/106091855
版权

知识点

  • ssrf
  • nginx配置文件
  • CVE-2019-10160:urlsplit NFKD 标准化漏洞
    题目源码

@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():
    url = request.args.get("url")
    host = parse.urlparse(url).hostname #解析出主机名
    if host == 'suctf.cc':
        return "我扌 your problem? 111"
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
更新10_linux,Debian 10.2发布下载,旧版本可直接升级,附更新介绍
weixin_33199783的博客
05-16 485
PackageReasonaegisubFix crash when selecting a language from the bottom of the Spell checker language list; fix crash when right-clicking in the subtitles text boxakonadiFix various crashes / deadlock...
Web-8(29-32)-BUUCTF平台
~airrudder~
04-11 3730
本篇内容 [BJDCTF 2nd]old-hack [BUUCTF 2018]Online Tool [0CTF 2016]piapiapia [ACTF2020 新生赛]Include 上一篇 | 目录 | 下一篇 [BJDCTF 2nd]old-hack [BUUCTF 2018]Online Tool [0CTF 2016]piapiapia [ACTF2020...
python ngnix_深刻理解Nginx之Nginx与Python(1)
weixin_39907316的博客
12-19 169
6 Python和Nginx6.1 介绍FastCGIFastCGI(Fast Common Gateway Interface)是基于CGI上的改进,是CGI的一种演变产物。尽管目的是保持相同的,FastCGI在CGI上提供了重大的提升,通过建立起下面的原则。l 代替对于每个请求孵化一个新进程,FastCGI采用持久化进程,伴随着能够处理多个请求的能力。l Web服务器和网关应用程序通过使用...
BUU刷题记录——2
weixin_43610673的博客
06-17 1542
[极客大挑战 2019]Upload 上传检测后缀名,文件内容不能有<? 上传a1.jpg GIF89a? <script language="php">eval($_REQUEST[cmd])</script> Bp抓包修改下文件名 不能有php /upload/a1.phtml?cmd=system(‘cat /flag’); [ACTF2020 新生赛]BackupFile /index.php.bak 下载源码 PHP的弱类型特性,int和string是无法直接比
_PE_Format.pdf
03-26
_PE_Form_PE_Format.pdf_PE_Format.pdf_PE_Format.pdfat.pdf_PE_Format.pdf_PE_Format.pdf
[SUCTF 2019]Pythonginx1
qq_63169208的博客
07-16 1283
还是太菜了加油加油
web buuctf [SUCTF 2019]Pythonginx1
weixin_44214568的博客
04-08 4982
知识点:1.nignx 2.idna编码与utf-8编码的漏洞 1.开题 查看源码,整理代码: @app.route('/getUrl', methods=['GET', 'POST']) def getUrl(): url = request.args.get("url") host = parse.urlparse(url).hostname //经过urlparse解析所得hostname不能为suctf.cc if ...
CVE-2019-2725漏洞环境搭建与测试
信息安全
08-07 8130
搭建漏洞环境(被攻击) 安装weblogic 10.3.6.0 关闭windows防火墙 打开安装包,一直下一步,直到出现如下界面 然后一直下一步 安装完成后 进入C:\Oracle\Middleware\user_projects\domains\base_domain,双击脚本 用浏览器访问http://127.0.0.1:7001/co...
对开源库 limdu 命令注入漏洞 (CVE-2020-4066) 的简要分析
smellycat000的专栏
09-29 505
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队开源库Limdu的trainBatch函数中存在一个命令注入漏洞(CVE-2020-4066)。Limdu 是 No...
【学习笔记16】buu [SUCTF 2019]Pythonginx
weixin_43553654的博客
05-16 554
打开一看发现给了一堆代码这样看不方便我们就去查看源码 @app.route('/getUrl', methods=['GET', 'POST']) def getUrl(): url = request.args.get("url") host = parse.urlparse(url).hostname if host == '...
SUCTF2019部分Web writeup
Sea_Sand息禅
11-27 1040
Easysql(堆叠注入) 2019强网杯有一道也是用的堆叠注入,这个也是,但是过滤的很严 1;show databases; 1;show tables; 这两个可以正常执行,拿到table名为Flag。 无论输入什么数字,最后返回的都是1,说明后台有所处理,输入0的话无返回结果。 from、or等都被过滤了 post方式传递,得到输入,然后执行语句,需要对后台sql语句进行猜解 从数字返回1来...
[suctf 2019]EasySQL
最新发布
09-12
[suctf 2019]EasySQL是一个SQL题目,与引用和引用中提到的设置sql_mode有关。具体来说,题目中使用了设置sql_mode=PIPES_AS_CONCAT的语句,这个设置的作用是将"||"操作符解释为字符串的连接操作符而不是或运算符。这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值