python os.path.join特性

前言：看到phith0n师傅的文章讲述的python os.path.join可能出现的问题，这边简单的记录下

参考文章：https://wx.zsxq.com/dweb2/index/topic_detail/455524148448

os.path.join特性

test2.py

 # coding=utf-8
 
import os
import sys
 
BASE_DIR = '/Users/lingchi'
path = sys.argv[1]
 
if path.find('./') >= 0 or path.find('..') >= 0:
    raise ValidationError('...')
 
path = os.path.join(BASE_DIR, 'static', path)
 
with open(path, 'rb') as f:
    print(f.read())

当我们能控制path这个位置的时候，就可以造成任意文件读取漏洞，如下图所示

os.path.join特性分析

这边可以看python的源码，位置在python3.10/posixpath.py中可以看到join函数的实现代码

在join的时候，是可以用绝对路径的，如果使用绝对路径，将忽略这个路径之前已经Join的所有内容。

posted @ 2023-10-08 22:41 zpchcbd 阅读(97) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· java zt-zip库的解压遍历特性以及变向绕过

· python中的CodeObject

· python中 OS模块中 os.path.join() 函数用法简介

· os.path.join() 用法

· 【python】os.path.join()

记录部分个人学习和部分实战的笔记我会慢慢补全部分空白的文章 :)

python os.path.join特性

os.path.join特性

os.path.join特性分析

我的标签

随笔档案

博客友链

	# coding=utf-8

	import os
	import sys

	BASE_DIR = '/Users/lingchi'
	path = sys.argv[1]

	if path.find('./') >= 0 or path.find('..') >= 0:
	raise ValidationError('...')

	path = os.path.join(BASE_DIR, 'static', path)

	with open(path, 'rb') as f:
	print(f.read())

记录部分个人学习和部分实战的笔记 我会慢慢补全部分空白的文章 :)

python os.path.join特性

os.path.join特性

os.path.join特性分析

我的标签

随笔档案

博客友链

记录部分个人学习和部分实战的笔记我会慢慢补全部分空白的文章 :)