04 2023 档案
摘要:【第一章 web入门】afr_3——模板注入与proc文件夹 题目来源n1book,buu上的环境 看题 url中提供了name参数,类似在路径中进行了文件名查询然后展示: 随便输入一个数字: 说明肯定题目要求我们利用这个文件读取漏洞。但是输入flag之后显示no permission。所以尝试其他
阅读全文
摘要:【Flask模板注入】——概览 背景 Flask是python语言下的轻量级web应用框架,可以用来开发一些简单的网站。它使用Jinjia2渲染引擎(将html文件存放在templates文件夹中,当访问指定路由时,flask会渲染出相应的html页面)。 但是html文件中不一定都是html语言,
阅读全文
摘要:一、【CISCN2019 华北赛区 Day1 Web1】Dropbox 1 看题 首先是需要注册登录,然后进入是一个文件上传和下载的页面。尝试php一句话木马和burp抓包修改后缀的木马都失败,看来是过滤了。这时候对下载文件进行抓包: 尝试修改一下filename能不能抓到Index.php的包,这
阅读全文
