关于在flask框架上进行web文件上传漏洞测试的杂记

最新推荐文章于 2024-06-07 09:03:47 发布
最新推荐文章于 2024-06-07 09:03:47 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: 笔记 文章标签: python 服务器 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45071353/article/details/121527791
版权

关于在flask框架上进行web文件上传漏洞测试的杂记

昨天不是刚把服务器给部署好了嘛,其中针对sql注入,xss以及文件上传做了一定程度的防范,可是不知道防护效果如何,今天就花了几个小时对文件上传做了些简单的测试。

简单说明

首先来说下我后端针对文件上传做的基本防护吧。

第一就是针对文件名进行处理,在后端进行文件后缀名截取,只允许png,jpg,jpeg格式的图片上传,对不满足条件的文件进行删除并在前端输出相关提示。当然这个工作其实在前端也可以做。

第二就是用python的imghdr.what()函数进行文件的头文件识别,发现不是jpeg以及png格式的文件进行删除并输出相关提示。嗯,检查头文件的时候,jpeg和jpg是相同的头文件。

第三是对图片里面的内容进行识别。因为我服务器要求上传的是QR码,所以就用pyzbar库的decode函数对QR码进行解码。解码成功说明是QR码,进行下一步,解码不成功说明不是收款码进行删除处理并输出相关提示。

第四是对QR码里面的内容进行识别。因为我要求上传的是支付宝收款码,是QR码的一种。对支付宝收款码里面包含的收款地址进行正则匹配,不符合相关格式就进行删除处理,符合就进行下一步。

第五是对收款码地址进行查询,查询数据库里面有没有一样的,有就对文件进行删除并输出相关提示,没有就进行下一步。

简单测试

测试环节

首先用txt写了一句话木马01.php。

<?php eval($_POST['ant']); ?>

1.上传01.php 。上传失败,提示错误。因为要验证木马有没有被删除,就用蚁剑进行了连接测试。失败。
2.修改文件后缀名进行上传。上传失败,蚁剑连接失败。
3. 上传图片测试。提示不是png,

最低0.47元/天 解锁文章
初冬的早晨
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于FlaskPython Web应用测试框架设计源码
04-23
本项目是基于FlaskPython Web应用测试框架设计源码,共有36个文件,其中包括15个Python源文件,3个HTML页面,2个CSS模板文件,2个配置文件,1个Gitignore文件,1个YAML文件,1个LICENSE文件,1个in文件,1个README...
CTF之路:Flask_FileUpload文件上传漏洞利用、关于os.system()与更强大的os.popen()
zw05011的博客
01-08 3764
1.题目 BP上分析数据包,发现有提示: Give me the file, and I will return the Running results by python to you! 意思是:上传一个文件,系统将用python运行它,并返回结果 经验告诉我们,上传的文件里应该含有python可执行代码。 知识点 os.system()函数实现在程序中执行命令行命令 解题分析 上传文件发现似乎只能上传图片 这也没关系,可以把文件重命名为.png/jpg 打开一个file,写入代码 import os
[python]浅谈Flask的SSTI漏洞
记录学习,一起进步
04-03 1229
[python]浅谈Flask的SSTI漏洞
CTF-Bugku-WEB-Flask_FileUpload
最新发布
P5093的博客
06-07 814
个人学习记录笔记。
CTF-Flask_FileUpload-wp
qq_70303095的博客
10-14 159
看第一眼还没反应过来,这是什么poc直到我把poc写进图片里就明白了,这不就是把我前端上传的文件当作py文件来执行了吗。到这一步按照老规矩就是直接上payload了,我直接拿出我珍藏的payload。根据提示,猜测可能是SSTI注入,直接在文件里边写入一个模板看是否会被执行。上传,查看返回包,可以明显的看出被执行,已经确定是SSTI注入了。要是没看明白,那我们在图片里边输入打印的代码吧。以为一切顺利,结果全部失败,绕过也不行。到了日常emm时间,自我怀疑我是不是废物。我觉得这道题很有意思,简单记录一下。
BugKu:Flask_FileUpload
qq_47480932的博客
04-07 1206
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。时,服务器会检查是否有文件被上传,然后将文件保存到指定的上传文件夹中。首先对于这个有flask构建的web文件上传程序,其中包含了一个文件上传的端点。提示文件上传成功,但是没有flag呀,差点就要放弃了,先别着急,查看一下源代码。上传文件,与之前的上传步骤是一样的,拿到flag!
Python使用Flask框架同时上传多个文件的方法
09-22
主要介绍了Python使用Flask框架同时上传多个文件的方法,实例分析了PythonFlask框架操作文件实现上传的技巧,需要的朋友可以参考下
Flask Web开发入门之文件上传(八)
01-20
本章我们介绍Flask Web开发中涉及的文件上传模块 定义后台接收处理逻辑 # http://flask.pocoo.org/docs/0.12/patterns/fileuploads/ @app.route('/upload', methods=['POST']) def upload_file(): if ...
pythonWEB框架Flask中使用多个配置文件的解决方法
12-23
有些框架本身就支持多配置文件,例如Ruby On Rails,nodejs下的expressjs。python下的Flask虽然本身支持配置文件管理, 但单纯使用from_object和from_envvar却不是那么方便。有没有更好的办法? 答案是Flask-...
基于Flask框架的Funtrip旅游Web应用源码
03-25
项目简介:基于PythonFlask框架开发的旅游Web应用,致力于为用户提供便捷的在线旅游服务体验。 技术栈: - 主要编程语言:Python - 辅助技术:JavaScript, HTML, CSS, PHP 文件构成: - 总文件数:450个 - ...
基于SSTI的木马远控编写
willing-sir的博客
01-01 193
基于SSTI的木马远控编写 起因是要交实习作业,编写渗透测试平台,我觉得没有页面展示的平台算什么平台,于是乎写了个python flask+jinja2的web页面,但是在写后门远控这一块的时候,遇到了很多问题,没有办法把socket和web端结合起来,因为每次访问触发函数就会导致重复启用socket服务,造成端口冲突,指令也无法传递。当然,并不是说这种方式不可以,flask有其专门的webso...
【愚公系列】2023年06月 Bugku-WebFlask_FileUpload)
时光隧道
06-22 6165
Flask是一个使用Python编写的轻量级Web应用框架。它的设计目标是简单明了,易于扩展和维护。Flask提供了基本的Web开发所需的组件,如路由、请求和响应处理、会话管理、模板渲染等,同时还支持各种第三方扩展和插件,可以轻松地实现各种复杂的Web应用开发。Flask框架也因其灵活性和简易性而广受欢迎,被许多Web开发者用于构建Web应用和API。Flask是一个使用Python编写的轻量级Web应用框架。它的设计目标是简单明了,易于扩展和维护。
WEB攻防】Flask(Jinja2) 服务端模板注入漏洞 原理+防御
AAAAAAAAAAAA66的博客
12-19 6573
前面写CTF题目的时候做过几道SSTI模板注入的题目。最近又遇到了一个不错的CTF网站, http://bmzclub.cn 里面不但有CTF题目,更重要的是有漏洞环境,不需要自己去一个一个去安装,对于我这样的懒人简直是福音。 目录 Flask模板注入简介 Flask和Jinja2介绍: 注入原理 复现 手动注入 工具探测 Flask模板注入简介 Flask和Jinja2介绍: 1.Flask是一个轻量级的基于Pythonweb框架。 2.Jinja 模板只是一个属于.
关于Flask高级_上传文件与访问文件的方法
qq_55961861的博客
08-31 840
关于Flask高级_上传文件与访问文件的方法!
【SSTI】flask 模板注入最详解
weixin_53146913的博客
05-10 2040
一、flask是用python编写的一个轻量web开发框架。 二、flask使用jinjia2渲染引擎进行网页渲染,当处理不得当,未进行语句过滤,用户输入{{控制语句}},会导致渲染出恶意代码,形成注入。 三、flask基础知识: 1. __class__: 返回当前类(有字符串类,元组类,字典组等等) 所有的子类都有一个共同的父类object,如果没指定继承,默认父类是object 2. __mor__: 返回解析函数时,类的调用顺序,先调用str类,再调用object类,通过索引的方式__
XCTF 攻防世界 web 高手进阶区
qq_44657899的博客
12-04 3046
command_execution 题目描述:小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。 题目相关知识点: 一,windows系统有哪些命令行拼接符。 A&B 简单的拼接,A与B同时执行。 A&&B A执行成功,则执行B。 A|B A命令的输出作为B命令的输入执行。 A||B 若A命令执行失败,则执行B命令。 二,fi...
Flask用wtf上传文件
xiao-啸
08-28 690
主要代码 后端代码 from werkzeug.utils import secure_filename import os # 修改文件名称 def change_filename(filename): # os.path.splitext(“文件路径”) 分离文件名与扩展名;默认返回(fname, fextension)元组,可做切片操作 意思是filename是个元祖...
flask SSTI漏洞
jiet07的博客
08-07 4003
文章目录第一章flask ssti漏洞的代码(长什么样子)第二章 前言(基础知识储备)第三章 服务器端模板(SST)第四章 服务器模板注入(SSTI)第五章 例子(CTF)第五章 如何防御服务器模板注入参考资料附录 第一章flask ssti漏洞的代码(长什么样子) 1.1 代码 from flask import Flask from flask import request from flask import render_template_string from flask import render
Python Flask框架入门:最简单的Web应用搭建
"史上最简单的Python Flask框架搭建" 在深入讲解Python Flask框架之前,我们先要理解Web请求和响应的基本原理。Web应用是基于客户端-服务器模型的,用户在浏览器中输入URL并点击链接,这一动作会被浏览器转化为HTTP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值