Toggle sidebar

исполнить webshell

Привет, есть уязвимое приложение (домашнее задание), суть в том что могу загрузить любой файл через форму upload. А выполнить (точнее прочитать) могу через обход пути: read?file=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Ftmp%2Ftq8as6.php

проблема в том что приложение написано на python tornado. и естественно php webshell Только отображается но не исполняется.

Подскажите можно ли закинуть и выполнить webshell и какие векторы еще можно попробовать имея такие уязвимости.
 
Нажмите, чтобы раскрыть...
Если приложение написано на Python я рекомендую попробовать template injection, на пример {{ Python код }}. Но без лишнего точна сказать не могу
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

xzotique
  • Статья Статья
Статья DNS Rebinding: Как заставить браузер жертвы атаковать самого себя
Ответы
0
Просмотры
2 тыс.
Безопасность веб-приложений
xzotique
xzotique
xzotique
  • Статья Статья
Статья Использование особенностей DNS-поддоменов для обхода CSP
Ответы
0
Просмотры
2 тыс.
Безопасность веб-приложений
xzotique
xzotique
Sergei webware
  • Статья Статья
Статья Уязвимость Ninja Forms RCE CVE-2026-0740: полный разбор эксплуатации и защиты WordPress
Ответы
0
Просмотры
677
Threat Intel
Sergei webware
Sergei webware
Sergei webware
  • Статья Статья
Статья Уязвимости десериализации: эксплуатация через ysoserial, phpggc и построение gadget chain
Ответы
0
Просмотры
386
Анализ уязвимостей и исследования
Sergei webware
Sergei webware
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →

Популярный контент

🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab

Верх Низ
Назад