WEB-PUT练习

PUT方法滥用:Flask应用中的安全漏洞与利用
原创 已于 2023-04-25 15:56:01 修改 · 389 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#flask #python #后端 #php

于 2023-04-25 15:52:21 首次发布
文章讨论了HTTPPUT方法在Web应用程序中的使用,特别是通过Flask框架。PUT方法可能导致服务器安全漏洞,如存储敏感信息或恶意代码。示例代码显示了一个未受保护的PUT路由,允许任何用户通过PUT请求读取flag文件内容。Nikto扫描检测到PUT提交,提示可能的安全问题,提到了利用此漏洞上传shell的可能性。

HTTP协议中的PUT方法是将指定资源的内容替换为请求中所包含的新内容。PUT方法可以用于上传或更新文件,也可以用于创建新的资源。当PUT方法可用时,客户端可以将文件上传到Web服务器并将其存储为已命名的文件或文件夹。但在某些情况下,PUT方法可能会导致服务器安全漏洞,例如,PUT请求可能会导致服务器存储敏感信息或恶意代码。因此,在一些安全标准中,PUT方法被视为不安全的,很多Web服务器默认情况下是禁用PUT方法的。

[GDOUCTF 2023]EZ WEB

访问页面没事东西,源码提示就在眼前,看到了/src,访问是个py文件

import flask
app = flask.Flask(__name__)
@app.route('/', methods=['GET'])
def index():
  return flask.send_file('index.html')
@app.route('/src', methods=['GET'])
def source():
  return flask.send_file('app.py')
@app.route('/super-secret-route-nobody-will-guess', methods=['PUT'])
def flag():
  return open('flag').read()

这里我访问chat,我太菜了

这是一个使用 Flask 框架编写的 Python 代码,它创建了一个 Web 应用程序,并定义了三个路由:

  1. "/" 路由:使用 GET 方法返回 "index.html" 文件。
  2. "/src" 路由:使用 GET 方法返回 "app.py" 文件。
  3. "/super-secret-route-nobody-will-guess" 路由:使用 PUT 方法打开名为 "flag" 的文件并将其中的内容返回给客户端。

可以看出,第三个路由是一个秘密路由,只有当请求方法为 PUT 并且路径为 "/super-secret-route-nobody-will-guess" 时才能访问。它会打开名为 "flag" 的文件并将其中的内容返回给客户端。这可能是一个漏洞,因为未对该路由进行身份验证或授权检查,攻击者可以通过篡改 HTTP 请求来绕过安全控制,获取敏感信息或执行恶意操作。

PUT请求?用bp抓包,改一下请求方式,然后改文件路径在发包,就返回falg了

[NSSRound#1 Basic]basic_check

Dir没扫出来有用的东西

Nikto扫描扫描出PUT提交

这和上一题也是put提交,那么用bp抓一下,上传个shell?

上传成功

找到NSSCTF{0f3453aa-6199-442e-bb08-04d3cd2a2515}

web靶机系列-put上传
rlenew的博客
05-28 494
主机:192.168.136.133 靶机:192.168.136.140 用namp扫描靶机地址 发现开放80、22端口,用dirb、nikto扫描,没有发现可用的漏洞,扫描只有一个网址可以进入http://192.168.136.140/test/ 测试一下是否存在PUT漏洞,发现有put漏洞 发现存在PUT方法 用 /usr/share/webshells/php 目录下php-reverse-shell.php,上传上去 火狐的RESTClient可用,可以PUT,但不能直接传文件,但可以选
CTFSHOW-web入门-sql注入(web201——web213)(系统练习sqlmap)
最新发布
JL20050725的博客
08-18 914
这次过滤了*空格与=,那么便不能用/**/来替换空格了,可以用+替换空格,用like替换等于。对应的绕waf函数是,space2plus.py,equaltolike.py。但是经过我的测试发现无法成功,并且内置绕过空格的现在都不好用了。我们可以自己写一个自定义的绕waf脚本。可以采用: Tab %09、换行符 %0A、回车符 : %0D 代替空格。这里我参考了my6n师傅的做法。为了不影响原本的 tamper,在tamper目录下新建一个Mytamper目录(用于存放自定义的脚本)。
Web Api其中的PUT功能演示
weixin_34289454的博客
03-18 159
Insus.NET这几天均在学习Web API知识,并练习。怎样获取数据,提交数据或是保存数据。你可以温习一下《Post model至Web Api创建或是保存数据》http://www.cnblogs.com/insus/p/4343833.html 和《添加JSON Data到已经存在的JSON文件中》http://www.cnblogs.com/insus/p/4344547.html ,这...
ms08067web-PUT
BROTHERYY的博客
09-28 481
使用burp修改为PUT方式,并传递参数 将得到的base64解密得到flag MS08067{76097a2f47164aedb5744854021d1eba} 也可以用python脚本来实现 import base64 import requests url = 'http://106.52.110.188:21028/' r = requests.session() a = r.put(url=url,data='MS08067') base= base64.b64decode(a.conte.
[GDOUCTF 2023]EZ WEB 学习笔记
ZhangAweio的博客
04-26 1271
其中 '/super-secret-route-nobody-will-guess' 路由返回的内容可能是敏感信息。看到题目没啥提示,说他保证flag就在附近。那我们只需要抓包、改包发送PUT请求就行了。发现了个提示的文件/src 我们打开它。我们F12查看源码看看有啥有用的东西。
[GDOUCTF 2023]EZ WEB
2403_88631327的博客
03-02 952
查看源代码访问/src文件,得到一段python代码这段代码是使用 Flask 框架编写的 Python Web 应用。
codeup-web-exercises
04-05
"codeup-web-exercises"是一个聚焦于网络编程的练习项目,主要使用JavaScript语言进行实现。在Web开发领域,网络编程是构建动态、交互式网站的关键部分,它涉及到客户端与服务器之间的数据交换,使得用户能够在...
Restful-CRUD练习.zip
05-06
Restful风格的CRUD练习资料主要涵盖了Web服务开发中的核心概念,特别是针对资源操作的创建(Create)、读取(Retrieve)、更新(Update)和删除(Delete)操作。REST(Representational State Transfer,表现层状态转移)是...
python-web-programming.rar
06-22
Python Web编程是一个广泛的领域,它涵盖了使用Python语言构建网络应用程序的所有方面。Python因其简洁明了的语法和丰富的库支持而成为Web...记得结合实际练习,理论知识和实践相结合,才能更好地掌握Python Web编程。
HTTP PUT方法和POST方法的区别
weixin_30468137的博客
10-13 720
这两个方法看起来都是讲一个资源附加到服务器端的请求,但其实是不一样的。一些狭窄的意见认为,POST方法用来创建资源,而PUT方法则用来更新资源。这个说法本身没有问题,但是并没有从根本上解释了二者的区别。事实上,它们最根本的区别就是:POST方法不是幂等的,而PUT方法则有幂等性。那这又衍生出一个问题,什么是幂等? 幂等(idempotent、idempotence)是一个抽象代数的概念...
2023羊城杯 DASCTF EZ-Misc
09-03
2023羊城杯 DASCTF EZ-Misc
[GDOUCTF 2023] ——web方向全Write up
Leaf_initial的博客
04-17 2695
魔术方法,然后可以看到__wakeup()中会指向classroom类的hahaha函数,hahaha所需要的变量条件在school类的。把`’ [] " _ {{}} \ .都过滤了但是比较幸运的是可以用{%%},看了看他的config和self,发现都可以用。test.txt也看过了,里面和/orzorz.php中的内容一样,不过是文档形式,这里不赘述。可以看出这个通过flask框架写的一个网页,通过代码审计我们可以得知,只需要向。所以,双等号是不要求类型相同的,所以我们可以构造payload。
webdav常用方法和概念总结
热门推荐
Mustang's Note
09-10 1万+
摘要:本文论述 WebDAV。作为对 HTTP 1.1 的扩展,它已经成为一种重要的 Web 通讯协议。 本文还描述了 WebDAV 的定义,以及它在客户端/服务器结构中的用途。简介随着对 Internet 标准和网络互操作性的日益关注,作为 HTTP 1.1 的扩展,WebDAV(Web 分布式创作和版本控制)已经成为重要的 Web 通讯协议(有关详细信息,请参阅 IETF RFC 2616)。
[GDOUCTF 2023] 部分web题解
qq_44640313的博客
04-18 2052
GDOUCTF 2023,主要见识了fenjing的使用
文件上传漏洞
weixin_58954236的博客
09-02 1891
文件上传是Web 应用必备功能之一,如,头像上传,附件分享等。如果服务器配置不当或者没有进行足够的过滤,Web 用户就可以上传任意文件,包括恶意脚本文件,exe 程序等等,这就造成了任意文件上传漏洞。
安全测试--WEB,微信端渗透测试报告
Qton_优快云的博客
02-27 4319
测试流程: 1.先用wvs扫 2.暴力破解 3.稍微看下请求包有什么不妥的地方没有,比如明文传输,cookie放太多个人信息,等等 4.一边看wvs结果可以一边找sql注入点,比如查询的地方 5.一边看wvs一边看xss的注入点,比如存储数据的地方 6.找文件上传的地方,尝试绕过,传马 7.有短信/邮箱服务的试一下炸弹 8.扫一下开启的端口,看看有没有开启不安全的服务等等 。。。差不多这样吧 都...
webapi中put、get、post、delete的用法
自我修炼之路
03-30 5202
点击打开链接
web学习(3)——四种网络请求方式GET/POST/PUT/DELETE
zzhou——blog
03-04 1245
GET和POST两种基本请求方法的区别 四种网络请求方式详解
Restful-CRUD练习资料分享
CRUD操作是Web开发中最基本的数据处理操作。在进行CRUD练习时,我们通常会用到各种数据库或数据存储技术,如关系型数据库MySQL、PostgreSQL,或者是文档型数据库MongoDB等。对于每一种CRUD操作,都需要编写相应的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值