bugku-web-Flask_FileUpload

查看页面源码

这里提示给他一个文件,它将返回一个python运行结果给我,并且提示只能上传jpg和png文件

传递一个图片

查看源码

传递一个非图片

将源码写入新建的txt文件中

print('hello world')

将文件后缀改为jpg

上传

上传成功

查看源码

得到运行结果

我利用python的os模块进行查看

先是dir

发现对面为linux系统

改为ls

直接查看到三个文件

一个python两个无后缀的文件

先cat查看两个无后缀

显示读取错误

爆出对方框架源码

这里看到对面python为3.7版本,而且有一个app.py存在,与上述爆出相符

这里说要解压缩的值太多,说明是压缩包吗?

运行对方app.py程序

直接给对方干卡顿了

利用cat显示对方app.py中的信息

终于

直接提交cat flag

成功

相关推荐
thinking_talk4 分钟前
腾讯云AI Agent安全中心综合评测
人工智能·安全·腾讯云
山东穆柯传感器14 分钟前
安全触边损坏如何维修及更换配件
网络·安全
Rocket-Luo1 小时前
谈谈企业中的网络安全
网络·安全·web安全
技术不好的崎鸣同学2 小时前
[BJDCTF2020]The mystery of ip 思路及解法
网络·安全·web安全
江畔柳前堤3 小时前
第16章:docker企业级实战综合项目
运维·git·安全·docker·容器·eureka
Bruce_Liuxiaowei3 小时前
2026年7月第1周网络安全形势周报
人工智能·安全·web安全·ai·智能体
星幻元宇VR4 小时前
公共安全主题展厅设备【防洪防汛安全科普系统】
科技·学习·安全
红糖奶茶5 小时前
【实测有效】 如何关闭Windows自动更新?【图文详解】win10/win11关闭自动更新
其他·安全
A-刘晨阳5 小时前
关键基础设施安全底座:自主可控时序大模型TimechoAI的国产化实践与深度时序分析能力
大数据·数据库·安全·时序数据库
E_ICEBLUE11 小时前
在 Python 中快速锁定 Excel 单元格与行列
python·安全·excel