bugku-web-Flask_FileUpload

最新推荐文章于 2024-04-27 15:05:51 发布
最新推荐文章于 2024-04-27 15:05:51 发布
阅读量263 收藏
点赞数 1
分类专栏: CTF靶场 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75121443/article/details/137099745
版权


查看页面源码

这里提示给他一个文件,它将返回一个python运行结果给我,并且提示只能上传jpg和png文件

传递一个图片

查看源码


传递一个非图片

将源码写入新建的txt文件中
print('hello world')
将文件后缀改为jpg

上传

上传成功
查看源码

得到运行结果

我利用python的os模块进行查看
先是dir


发现对面为linux系统

改为ls

直接查看到三个文件
一个python两个无后缀的文件
先cat查看两个无后缀


显示读取错误

爆出对方框架源码
这里看到对面python为3.7版本,而且有一个app.py存在,与上述爆出相符

这里说要解压缩的值太多,说明是压缩包吗?

运行对方app.py程序

直接给对方干卡顿了


利用cat显示对方app.py中的信息


终于

直接提交cat flag


成功

白牧羊人
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flask--master_flask_
10-03
flask简易框架介绍说明,实现工程的构建,基础架构的说明
toutiao-backend_Flask框架_flask_
09-30
基于python语言,利用flask框架开发的类似新闻头条web
python-flask-microservice_Flask框架_flask_phyton_
09-30
python flask easyui 整合的快速web开发框架
REST-API-SENSOR_flask_python_
10-03
Simple code to create a Restful API with flask.
example-flask-package-python3.8_flask_python_programming_
10-03
flask example project
【愚公系列】2023年06月 Bugku-WebFlask_FileUpload
时光隧道
06-22 6106
Flask是一个使用Python编写的轻量级Web应用框架。它的设计目标是简单明了,易于扩展和维护。Flask提供了基本的Web开发所需的组件,如路由、请求和响应处理、会话管理、模板渲染等,同时还支持各种第三方扩展和插件,可以轻松地实现各种复杂的Web应用开发。Flask框架也因其灵活性和简易性而广受欢迎,被许多Web开发者用于构建Web应用和API。Flask是一个使用Python编写的轻量级Web应用框架。它的设计目标是简单明了,易于扩展和维护。
BugKu-Web-Flask_FileUpload(模板注入与文件上传)
m0_73734159的博客
12-13 743
Flask也被称为“microframework”,因为它使用简单的核心,用扩展来增加其他功能。Flask的核心组件包括Werkzeug,一个WSGI工具箱,以及Jinja2,一个模板引擎。这为开发人员提供了更大的灵活性,可以根据应用程序的需求选择最适合的组件。在开发Web应用程序时,Flask提供了一个构建块,允许开发人员根据需要自由地选择和组合不同的组件。总的来说,Flask是一个轻量级的Web应用框架,具有简单性和灵活性,适合小型团队在短时间内实现功能丰富的中小型网站或Web服务。
BugKu-web篇-Flask_FileUpload
jiuyongpinyin的博客
05-28 984
BugKu-web篇-Flask_FileUpload 首先自己踩了个坑,就是上传文件成功后,我以为会直接回显,结果还是需要查看源代码,这道题需要了解Python的后缀名 python文件后缀总结: (1).py:这通常是您编写的输入源代码。 (2).py3:Python3脚本(Python3脚本通常以.py而不是.py3结尾,很少使用)。 (3).pyc:这是编译好的字节码。如果导入一个模块,python将生成一个*.pyc包含字节码的文件,以便再次导入它更容易(也更快)。 .pyc二进制文件
BugKu-CTF(web篇)---Flask_FileUpload
Nailaoyyds的博客
03-07 3216
WEB题型 文件上传和远程代码执行 列出上传文件夹下的文件 两个文件夹和一个py文件 看一下app.py的内容 发现有一个/flag的文件 上传得到flag
网络安全与密码学
最新发布
weixin_61074128的博客
04-27 495
一、密码学是一门研究信息安全保密的学科,主要涉及对信息进行加密、解密以及相关的安全技术和理论。它通过使用各种加密算法和技术,将明文信息转换为密文,以确保信息在传输和存储过程中的保密性、完整性和真实性。密码学在通信、电子商务、金融、军事等领域都有着广泛的应用。密码学包括对称加密、非对称加密、哈希函数、数字签名等重要内容。同时,密码学也在不断发展和创新,以应对不断变化的安全挑战。大家要注意的是我们平时用来认证身份的密码(passwd)翻译成口令更准确。
网络安全思考题
weixin_62304542的博客
04-27 529
网络安全渗透思考题
rmallox勒索病毒威胁网络安全:如何避免数据被锁定
wx_shuju315的博客
04-21 635
在面对被勒索病毒攻击导致的数据文件加密问题时,技术支持显得尤为重要,您可添加我们技术服务号(shuju315),我们的专业团队拥有丰富的数据恢复经验和技术知识,能够迅速定位问题并提供最佳解决方案。我们需要认识到勒索病毒的危害,不轻信来历不明的邮件、链接或附件,避免下载和安装非正规渠道的软件和应用程序。另外,定期备份重要数据也是防范勒索病毒的有效手段。为了防止自己的电脑被.rmallox勒索病毒攻击,我们可以采取一系列预防措施,从提高安全意识、加强系统防护到定期备份数据,全方位地保护我们的电脑安全
【网络安全】常见的网路安全设备及功能作用总结
白帽黑客八哥的博客
04-22 380
一种整合多种安全功能(如防火墙、防病毒、内容过滤等)于一体的网络安全设备。
【网络安全】HTTP协议 — 特点
享你所想
04-23 928
【问题】为什么登录一个某些网站后,间隔一段时间,网站还是知道我们是谁呢?方法是为了告知服务器,该请求的意图是什么,向服务器所请求的资源下达命令。Http协议规定,请求从客户端发起,由服务端来响应该请求并返回。2)持久连接(HTTP keep alive)有问题可私聊:QQ:3375119339。1.URI(统一资源标识符)1)持久连接要解决的问题。五、持久连接&管线技术。1.不保存状态的协议。六、cookie技术。
网络安全实训Day16
Yisitelz的博客
04-26 414
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
网络安全新挑战:通用人工智能(AGI)等级保护指南
junge_sys的博客
04-24 732
通用人工智能(Artificial General Intelligence,AGI),又称强人工智能或深度人工智能,是一种高度先进的智能系统,它具备与人类相似甚至超越的智能属性,包括学习、推理、问题解决以及对新环境的自适应能力。因此,在定级过程中,需对数据的安全性进行细致评估,并采取相应的保护措施。综上所述,鉴于AGI系统在业务关键性、数据敏感度、系统复杂性、法规遵从性、行业监管适应性以及市场声誉影响力等方面的多重考量,其等保定级应至少设定为三级,以确保全面满足各项严苛要求,为企业的智能化转型保驾护航。
网络安全(黑客技术)—2024自学
Android_wxf的博客
04-17 1543
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
Web安全--万能密码大全+图片马合成方法
余十步的博客
04-25 344
万能密码大全:asp、aspx、php、jsp万能密码大全。
bugku flask_fileupload
06-06
Bugku Flask FileUpload是一个用于在Flask Web应用程序中处理文件上传的库。它支持多种文件上传解决方案,包括本地文件系统、Amazon S3、Google Cloud Storage等。非常感谢您的提问。如果我理解正确的话,您想知道...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值