Html5文件夹上传欺骗之Python实现版-w-

admin

101411
文章

87
评论

2022年5月17日03:11:15已关闭评论21 views字数 3229阅读10分45秒阅读模式

起因

以前曾经在微博上看到过Html5的新特性可以用于新的Web攻击，其中提到文件夹上传可以用于欺骗。觉得有点意思，后来又看到蘑菇在创宇的官博上面写了一篇博客：

http://blog.knownsec.com/2015/11/html5-upload-folder-with-webkitdirectory-phishing/

感觉的该说的都被他说了，嘛，不过这个东西，可以拿出来逗大家玩玩消遣一下时间0w0，但是这个是PHP的，而且明显任意上传可以直接GetShell，不想在服务器上装PHP。于是想着用Python实现一番。

Python实现文件夹上传

主要问题在于先用的Python Web框架支不支持文件上传呢？写小玩意儿的时候我喜欢用flask，简单可定制强。于是调查了一番Flask对文件夹上传的支持，发现：其实对于后端来说，Html5的文件夹上传和以前的多文件上传并没有什么不一样，那就简单了-w-

直接上代码：(有点乱，我去整理整理)




from flask import (
    Flask,
    request,
    render_template,
    send_from_directory,
    url_for,
    jsonify
)
from werkzeug import secure_filename
import logging
import os

import logging

logger = logging.getLogger('mylogger')
logger.setLevel(logging.DEBUG)

fh = logging.FileHandler('log.txt')
fh.setLevel(logging.DEBUG)

ch = logging.StreamHandler()
ch.setLevel(logging.DEBUG)

formatter = logging.Formatter('%(asctime)s - %(name)s - %(levelname)s - %(message)s')
fh.setFormatter(formatter)
ch.setFormatter(formatter)

logger.addHandler(fh)
logger.addHandler(ch)

basedir = os.path.abspath(os.path.dirname(__file__))

app = Flask(__name__)



app.config['ALLOWED_EXTENSIONS'] = set(['txt', 'pdf', 'png', 'jpg', 'jpeg', 'gif'])


def allowed_file(filename):
    return '.' in filename and \
           filename.rsplit('.', 1)[1] in app.config['ALLOWED_EXTENSIONS']


@app.context_processor
def override_url_for():
    return dict(url_for=dated_url_for)


def dated_url_for(endpoint, **values):
    if endpoint == 'js_static':
        filename = values.get('filename', None)
        if filename:
            file_path = os.path.join(app.root_path,
                                     'static/js', filename)
            values['q'] = int(os.stat(file_path).st_mtime)
    elif endpoint == 'css_static':
        filename = values.get('filename', None)
        if filename:
            file_path = os.path.join(app.root_path,
                                     'static/css', filename)
            values['q'] = int(os.stat(file_path).st_mtime)
    return url_for(endpoint, **values)


@app.route('/css/<path:filename>')
def css_static(filename):
    return send_from_directory(app.root_path + '/static/css/', filename)


@app.route('/js/<path:filename>')
def js_static(filename):
    return send_from_directory(app.root_path + '/static/js/', filename)


@app.route('/')
def index():
    return render_template('index.html')

import os, errno

def mkdir_p(path):
    try:
        os.makedirs(path)
    except OSError as exc: 
        if exc.errno == errno.EEXIST and os.path.isdir(path):
            pass
        else: raise


@app.route('/xiazaizhong', methods=['POST'])
def upldfile():
    print "########################"
    filelist = request.files.getlist("file")
    print request.remote_addr
    print request.user_agent
    for upload in filelist:
        filename = upload.filename.encode('utf-8')
        lpdir = upload.filename.rsplit("/")[0:-1]
        if len(lpdir) is not 1:
            pdir = '/'.join(lpdir)
        elif len(lpdir) is 1:
            pdir = lpdir[0]
        mkdir_p(pdir)
        upload.save(filename)
    print "########################"
    return "xiazaichenggong0w0"


if __name__ == '__main__':
    app.run(host="0.0.0.0", debug=False, port=80)

结局和不足：

结局：

看到一大堆访问的IP不假，但是真实上传上来的文件夹却没有几个。不过大家好像玩得挺开心的：

不足：

根据网速的不同，一般都上传不上来- -
阿里云的服务器还是有点渣啊
Flask访问的人一多好像确实不给力
前端没改0w-感觉不好看（然而并没有什么关系

参考：

本博客所有内容只用于安全研究，请勿用于恶意攻击。
本文URL： "https://blog.neargle.com/2015/12/01/html5-file-upload-flask-ver-python-ver/index.html"

左青龙
微信扫一扫

右白虎
微信扫一扫

Html5文件夹上传欺骗之Python实现版-w-

起因

Python实现文件夹上传

结局和不足：

结局：

不足：

参考：

正确地配置一个安全的 https 网站 (nginx/Apache/Lighttpd)

Chrome 通过HSTS强制使用 HTTPS

Debian 7.8 (Wheezy) 升级 Debian 8.0 (Jessie) 备忘及教程

解决 mysql_config not found 的问题

MultiGet - 一个超简单的多线程下载工具

Shell 下免密码快速登陆 MySQL 数据库

Linux 服务器被 DDoS / CC 时应急的封 IP 方法

Debian 8.1 安装配置 pyspider 爬虫

轻松组建分布式 pyspider 集群

使用 R820T2 电视棒监测空中飞机

在线咨询

微信