[NISACTF 2022]babyupload wp

最新推荐文章于 2025-08-12 12:03:33 发布
原创 最新推荐文章于 2025-08-12 12:03:33 发布 · 1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#flask #web安全

文章描述了一个CTF挑战,其中涉及一个Web应用的文件上传功能。由于代码审计发现的绝对路径拼接漏洞,上传文件名以/开头时,可以绕过限制读取服务器根目录下的flag文件。通过将文件名设置为/flag,攻击者能够直接访问到flag的内容。

[NISACTF 2022]babyupload

一开始以为是传统的文件上传,但是怎么传传不上去

在这里插入图片描述
在这里插入图片描述

按f12查看源代码,显示有/source文件,直接访问然后下载了一个备份文件

在这里插入图片描述

然后开始代码审计。。。。(难蚌)

from flask import Flask, request, redirect, g, send_from_directory
import sqlite3
import os
import uuid

app = Flask(__name__)

SCHEMA = """CREATE TABLE files (
id text primary key,
path text
);
"""


def db():
    g_db = getattr(g, '_database', None)
    if g_db is None:
        g_db = g._database = sqlite3.connect("database.db")
    return g_db


@app.before_first_request
def setup(
最低0.47元/天 解锁文章
[NISACTF 2022]babyupload
ph0ebus的博客
02-01 1195
从一道赛题学习利用os.path.join() 处理路径拼接的问题
CTF之upload
qq_74263993的博客
05-19 776
那我们就使用hex()和conv()两个函数,将字符转换成16进制再转换成十进制,123' +(selecselectt conv(hex(database()),16, 10))+ '.jpg,但是发现变成科学计数法了,经过多次尝试发现当输出的数字超过12位后便会以科学计数法的方式输出。那么便抓包修改一下,我们上传一个图片格式文件,将名字里加个select,发现上传后的文件没了select这个字符串,那么应该就是存在文件名位置的sql注入了,而select应该是被过滤成空了。
[NISACTF 2022]babyuploadwp
wikey 的博客
03-30 708
有一个小问题,我们在尝试上传图片马也就是//php木马时,burp会自行改形式为image/jpeg图片内容,我们既然需要伪造//flag文件,就需要改相应的格式。如: text/plain。这道题学会了个新姿势就是当res[0]为绝对路径时,我们可以直接跳转到最后文件地址而不需要补齐界面的文件,直接跳转//flag界面。所以用burp修改文件名为 //flag,跳转就读取到//flag文件了。当res[0]为绝对路径时,打开的就是绝对路径,不会进行拼接。给了上传地址直接访问就可。
NSS [NISACTF 2022]babyupload
Jay17的博客
07-09 363
NSS [NISACTF 2022]babyupload
CTF】[NISACTF 2022]babyupload
西原一点红的博客
06-19 404
文件上传
NISACTF 2022 MISC 部分WP
qq_51447967的博客
04-28 2654
[NISACTF 2022]bilala的二维码 题目提示如下 bilala说,里面会不会还藏着什么东西呢,图片分辨率好像有用诶,压缩包密码好像和战队名字相关 下载得到一张缺少定位符号的二维码,手动补全,然后扫描。 扫描得到一个URL,如下 https://video.gz2.com.cn/h666G/h666G_kzwIVy 进去下载得到一张图片,如下 对图片进行分析 可以看到第一张图片后面又附加了一张图片,然后第二张图片后面有个压缩包,全部提取出来。 看了下图片没有发现什么,然后去分析压
[NISACTF 2022]easyssrf wp(SSRF入门)
Leaf_initial的博客
04-11 2383
curl_init(url)函数初始化一个新的会话,返回一个cURL句柄,供curl_setopt(),curl_exec()和curl_close() 函数使用。上述测试代码中,file_get_contents() 函数将整个文件或一个url所指向的文件读入一个字符串中,并展示给用户,我们构造类似。函数,应该是防止通过file变量进行file协议读取,所以将file命令过滤掉,无所谓,我们可以直接利用file变量来进行读取文件。我们通常要利用filex协议来进行文件读取,下面是file的最简单的用法。
[NISACTF 2022]checkin
m0_60716947的博客
10-18 1370
010 editor使用
绝对路径拼接漏洞 [NISACTF 2022]babyupload
m0_75178803的博客
02-26 1192
打开题目最开始以为是文件上传的漏洞结果发现无论我们上传什么文件都会显示bad filename去网上看了大佬的wp知道我们直接去看源代码得到提示 /source那我们去访问一下这个路径看看得到一个下载文件用记事本打开得到源代码如下代码审计一下后端就行了", 403try:", (id,))open看大佬的解释是说:上传的文件不能有后缀名,上传后生成一个uuid,并将uuid和文件名存入数据库中,并返回文件的uuid。
[GXYCTF2019]BabyUpload wp
m0_55185160的博客
03-21 5579
打开题目是一个普通的文件上传,首先上传一个普通的一句话木马得到 发现后缀名过滤了ph,所以我们上传一个图片马 上传类型也受限制了,所以把数据类型改为image/ipeg 诶这里说明它检测的是文本的内容, ...
[NISACTF 2022]
snowlyzz的博客
09-09 6567
NISACTF部分WP
[NISACTF 2022]上
qq_62046696的博客
07-26 6706
在php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
NSSCTF中的pop、babyupload、cve版本签到、奇妙的MD5、easy_html
2401_82388450的博客
05-28 1454
1.学习了php反序列化的pop链2.了解了的绝对路径拼接漏洞3.修改主机位时,当主机位必须以123结尾,如:127.0.0.1修改为127.0.0.1234.关于MD5的奇妙的字符串。
[HFCTF2020]BabyUpload
nigo134的博客
06-04 1298
通过上传session文件伪造session。
CTF-文件上传
weixin_44770698的博客
12-18 531
CTF练习
buuctf_NSBlogin_http_upload(极客2019+ACTF2020新生赛)
最新发布
m0_73118788的博客
08-12 476
今天做web
NSS题目练习5
cyy001128的博客
05-31 803
当上传的文件名为 /flag ,上传后通过uuid访问文件后,查询到的文件名是 /flag ,那么进行路径拼接时,uploads/ 将被删除,读取到的就是根目录下的 flag 文件。然而,这个函数有一个少有人知的特性,如果拼接的某个路径以 / 开头,那么包括基础路径在内的所有前缀路径都将被删除,该路径将视为绝对路径。拼接意味着只能读取上传后的文件,而且上传的文件没有后缀名,不能直接利用,但。题目提示泄露,直接用dirsearch扫描,发现一个文件,访问后下载。读取 flag 文件,在文件名前被。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leafzzz__

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值