打开页面后,发现一个文件上传的界面
点击选择文件后发现只能上传图片
查看源代码后发现提示,意思是上传的文件会以python的形式运行,并返回值
写一个简单的python脚本,作用是使用shell指令,改成图片上传,代码如下:
1 | import os |
之后为了方便改代码,我用burpsuite抓包后进行的,发现即使是jpg文件,也可以被运行
这里我先把ls改成了cat app.py看了一下网页的脚本,发现只有jpg,png和py3可以通过(这也是大部分人抓包后改成py却被过滤的原因)
之后我把文件后缀改成py3继续进行(其实不改也不影响)
直接在burp上改文件内容就行
把ls改成cat /flag,得到flag