专栏名称: 船山信安
船山院士网络安全团队唯一公众号,为国之安全而奋斗,为信息安全而发声!
目录
相关文章推荐
今天看啥  ›  专栏  ›  船山信安

基于flask常见trick——unicode&进制编码绕过

船山信安  · 公众号  ·  · 2024-10-06 00:00
    

文章预览

前言 Flask 是一个轻量级的 Python Web 框架,设计上追求简洁和灵活性,适合构建中小型的 Web 应用程序。 其出题方便,经常能在CTF比赛中见到,常见题型有debug模式算pin码、ssti、原型链污染等,其中后两者属于通用漏洞,且在flask框架下有比较成体系的利用方式。 本文就编码bypass为线索,针对后两者聊下相关trick。 unicode编码绕过 字符转unicode编码脚本 def string_to_unicode(input_string): # 将每个字符转换为 Unicode 转义序列 unicode_string = ''.join(f'\\u{ord(char):04x}' for char in input_string) return unicode_string # 测试字符串 input_string = "你好,世界!" # 转换为 Unicode 编码 unicode_encoded = string_to_unicode(input_string) print(f"Original String: {input_string}") print(f"Unicode Encoded: {unicode_encoded}") 先做个小lab import json # 包含 Unicode 编码的 JSON 字符串 json_data = '{"message": "Hello, \\u4e16\\u754c"}' # \\ ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览