[NISACTF 2022]babyupload

[NISACTF 2022]babyupload wp

信息搜集

进入页面：

在这里插入图片描述

尝试文件上传，但是各种后缀名我都试过了，过不去。

在源码中发现提示，存在 ./source 路径：

在这里插入图片描述

访问该路径得到源码：

from flask import Flask, request, redirect, g, send_from_directory
import sqlite3
import os
import uuidapp = Flask(__name__)SCHEMA = """CREATE TABLE files (
id text primary key,
path text
);
"""def db():g_db = getattr(g, '_database', None)if g_db is None:g_db = g._database = sqlite3.connect("database.db")return g_db@app.before_first_request
def setup():os.remove("database.db")cur = db().cursor()cur.executescript(SCHEMA)@app.route('/')
def hello_world():return """<!DOCTYPE html>
<html>
<body>
<form action="/upload" method="post" enctype="multipart/form-data">Select image to upload:<input type="file" name="file"><input type="submit" value="Upload File" name="submit">
</form>
<!-- /source -->
</body>
</html>"""@app.route('/source')
def source():return send_from_directory(directory="/var/www/html/", path="www.zip", as_attachment=True)@app.route('/upload', methods=['POST'])
def upload():if 'file' not in request.files:return redirect('/')file = request.files['file']if "." in file.filename:return "Bad filename!", 403conn = db()cur = conn.cursor()uid = uuid.uuid4().hextry:cur.execute("insert into files (id, path) values (?, ?)", (uid, file.filename,))except sqlite3.IntegrityError:return "Duplicate file"conn.commit()file.save('uploads/' + file.filename)return redirect('/file/' + uid)@app.route('/file/<id>')
def file(id):conn = db()cur = conn.cursor()cur.execute("select path from files where id=?", (id,))res = cur.fetchone()if res is None:return "File not found", 404# print(res[0])with open(os.path.join("uploads/", res[0]), "r") as f:return f.read()if __name__ == '__main__':app.run(host='0.0.0.0', port=80)

这道题的要求就两个：看懂 python 代码；os.path.join 绝对路径拼接。

加强 python 基础

为了能更好的看懂本次 python 代码，我推荐以下文章：

python 连接数据库

Python getattr() 函数

关于python中的查询数据库内容中用到的fetchone()函数

`request.files` 介绍

在 Flask 框架中，request.files 是一个代表上传文件的特殊字典对象。它允许您访问用户通过 HTTP 请求上传的文件。具体来说，在 Flask 中，当您的应用程序收到一个带有文件上传的 POST 请求时，可以使用 request.files 来获取上传文件的信息。

request.files 是一个字典，它的键是文件域( input 标签的 name 属性值)，而值是一个 FileStorage 对象，该对象提供了访问和操作上传文件的方法和属性。

例如，假设您的 HTML 表单中有一个文件上传域，其 name 属性为 "file" ：

<form action="/upload" method="post" enctype="multipart/form-data">Select image to upload:<input type="file" name="file"><input type="submit" value="Upload File" name="submit">
</form>

那么您可以通过以下方式访问上传文件：

file = request.files['file']

上面的代码将返回上传文件的 FileStorage 对象，您可以使用该对象的方法和属性来获取文件的详细信息，如文件名、内容类型、保存文件等：

filename = file.filename          # 获取上传文件的文件名
file.save('/path/to/save/file')   # 将上传文件保存到指定路径

通过 request.files，您可以轻松地处理和管理用户上传的文件数据。注意，为了使用 request.files，您的请求必须使用 enctype="multipart/form-data" 编码类型，这是用于文件上传的标准编码类型。

关于 python 的 flask 框架，在学 SSTI 模板注入时有所学习。

源码分析

# 设置了一个路由，当以 POST 方式访问 ./upload 页面时，就会触发 upload() 函数
@app.route('/upload', methods=['POST'])
def upload():if 'file' not in request.files:return redirect('/')
# 从 HTML 表单中获取 file 对象，即用户上传的文件file = request.files['file']
# 文件名中不能有小数点if "." in file.filename:return "Bad filename!", 403
# 调用 db() 函数连接数据库conn = db()cur = conn.cursor()
# 调用 uuid 模块以某种方式生成文件的 uiduid = uuid.uuid4().hextry:cur.execute("insert into files (id, path) values (?, ?)", (uid, file.filename,))except sqlite3.IntegrityError:return "Duplicate file"conn.commit()
# 将文件保存到 ./uploads/ 路径下file.save('uploads/' + file.filename)
# 返回最终保存的文件路径return redirect('/file/' + uid)

不过在此段代码中 file.save('uploads/' + file.filename) 并没有起到作用，推测原因是 uploads/ 路径不存在。

下面来看这段代码：

# 设定路由，当访问 /file/<id> 路径时触发 file 函数，其中 <id> 为用户输入的任意值，该值会被作为 file 函数的参数值
@app.route('/file/<id>')
def file(id):
# 连接数据库conn = db()cur = conn.cursor()
# 执行 SQL 语句，根据 id 查找 pathcur.execute("select path from files where id=?", (id,))
# fetchone 函数的作用在上面的博客中已提到，执行该语句后，res[0] 就是 SQL 语句查询到的 path ，根据源代码，path 就是传入的文件名res = cur.fetchone()if res is None:return "File not found", 404# print(res[0])
# os.path.join 函数拼接路径，再 open 打开文件with open(os.path.join("uploads/", res[0]), "r") as f:return f.read()