BugKu_Flask_FileUpload

最新推荐文章于 2022-07-27 16:13:43 发布
最新推荐文章于 2022-07-27 16:13:43 发布
阅读量540 收藏
点赞数 2
分类专栏: CTF 文章标签: 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44959263/article/details/119113458
版权

Flask_FileUpload

访问目标,发现一个文件上传模块
在这里插入图片描述
f12查看源码,发现仅允许上传.jpg文件和.png文件,并在下方发现一条提示:对于上传的文件会被当作python文件执行
在这里插入图片描述
编写一个可以查看flag的脚本,并以.jpg作为文件后缀
在这里插入图片描述
尝试上传,发现上传成功,并正确以python的方式执行,成功拿到flag
在这里插入图片描述

Kobalos Baku
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
detection_flask.py
12-31
detection_flask.py
BugKu-Web-Flask_FileUpload(模板注入与文件上传)
最新发布
m0_73734159的博客
12-13 844
Flask也被称为“microframework”,因为它使用简单的核心,用扩展来增加其他功能。Flask的核心组件包括Werkzeug,一个WSGI工具箱,以及Jinja2,一个模板引擎。这为开发人员提供了更大的灵活性,可以根据应用程序的需求选择最适合的组件。在开发Web应用程序时,Flask提供了一个构建块,允许开发人员根据需要自由地选择和组合不同的组件。总的来说,Flask是一个轻量级的Web应用框架,具有简单性和灵活性,适合小型团队在短时间内实现功能丰富的中小型网站或Web服务。
BugKuFlask_FileUpload
m0_54082441的博客
05-01 1993
Flask_FileUpload 点击链接进入,f12查看提示信息,提示信息说:需要上传文件,上传的文件由python执行,文件类型应该为jpg或png 那我们就创建相关的文件进行上传,以获取相关的信息,我创建了两个txt文件,text是读取网站的根目录,text2是查看flag,之后我把类型改为png,然后依次上传,查看结果。 上传text,可以得到如下信息,我们可以看见里面有flag 上传text2,我们就会得到flag信息了 所以答案为:flag{04b136..
Bugku-Flask_FileUpload
weixin_58595795的博客
07-27 1845
1、F12打开开发者工具,查看网页源代码,发现一段注释,(意思为给我一份文件,我会通过python运行后将结果返回给你)
BugkuFlask_FileUpload
金 帛的博客
05-06 1500
Bugku的WP
bugku Flask_FileUpload
stantic的博客
03-16 1097
进去是上传一个文件,ctrl+u看一下 只允许上传jpg和png文件,提示说上传的文件会一python执行,那就构建一个名为4.jpg的文件,内容为 import os os.system('cat /flag') os.system用来执行cmd指令,在cmd输出的内容会直接在控制台输出 flag{6d8855f8728b8b233cd51d3f792fbd53} ...
第三次课c3.zip_flask_flask网站_网站 python
09-23
使用python,flask框架搭建类似Instagram网站
Douban_Flask.zip
08-10
Douban_Top250爬虫结果搭建的网站,爬虫代码:https://blog.csdn.net/m0_46299185/article/details/119149827?spm=1001.2014.3001.5501
paddleOCR_flask_web服务化.rar
08-20
paddleOCR+flask实现web接口化服务,直接调用接口识别图像中的文字,支持脚本测试
douban_flask.rar
11-07
douban_flask.rar
flask-file-upload:轻松上传Flask文件
02-05
Flask&SqlAlchemy一起使用的库可将文件存储在服务器上和数据库中 阅读文档: 安装 请安装最新的稳定版本: pip install flask-file-upload 常规Flask配置选项 (重要:在启动FileUpload之前,需要设置以下配置变量) # This is the directory that flask-file-upload saves files to. Make sure the UPLOAD_FOLDER is the same as Flasks's static_folder or a child. For example: ap
Bugku 解题学习 Flask_FileUpload
qq_42411587的博客
08-07 544
WEB 1. 题目来源 Flask_FileUpload 解题需要3个金币(还挺贵的) 2. 解题过程 打开链接,显示如下: 查看源代码 这里的提醒大致意思是,如果给一个文件,将使用python执行这个文件,那基本思路有了,就是使用python代码探查一下目录,找找有没有一些可能保存flag的文件。 如下代码:查看./目录有哪些文件 import os print(os.system('ls ./')) 将上述文件保存后,修改后缀为.jpg,上传后,查看新页面的源代码: 查看app.p
BugKu-web篇-Flask_FileUpload
jiuyongpinyin的博客
05-28 993
BugKu-web篇-Flask_FileUpload 首先自己踩了个坑,就是上传文件成功后,我以为会直接回显,结果还是需要查看源代码,这道题需要了解Python的后缀名 python文件后缀总结: (1).py:这通常是您编写的输入源代码。 (2).py3:Python3脚本(Python3脚本通常以.py而不是.py3结尾,很少使用)。 (3).pyc:这是编译好的字节码。如果导入一个模块,python将生成一个*.pyc包含字节码的文件,以便再次导入它更容易(也更快)。 .pyc二进制文件
Bugku WEB Flask_FileUpload
lin的博客
04-12 1245
1.打开是个提交界面 看源码 2.只允许jpg,png文件 而且提示说上传的文件会用python执行 3.上传,查看response
BugKu-Flask_FileUpload
nextlubricate的博客
04-24 1917
根据题目提示文件上传 f12查看,发现做了过滤只能上传.jpg .png,
二十、bugku Flask_FileUpload
山兔的博客
09-06 226
远程代码执行 import os os.system('echo $FLAG$') system函数可以将字符串转化成命令在服务器上运行 查看上传页面源代码,有一行注释,写明了上传py文件会运行。 编辑python 代码,内容为引入 import os os.system('echo $FLAG$') ,修改文件名为:1.jpg。上传后查看网页源代码即可获得falg。 import os os.system('cat app.py') ...
bugku Flask_FileUpload wp(小宇特详解)
小宇的web博客
06-17 215
bugku Flask_FileUpload wp(小宇特详解) 1.这里先分析一下源码。 这里只能提交jpg和png,而且是用python来运行的 2.这里先创建一个记事本,写入下面的代码 3.修改后缀为jpg后,上传,分析源码
bugku flask_fileupload
06-06
"bugku" 可能是指 Bugku 平台,而 "flask_fileupload" 可能是指 Flask 框架中的文件上传功能。 如果您需要更具体的信息,请提供更多上下文或细节,以便我更好地理解您的问题并为您提供更准确的答案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值