update

Author: gsbp

content/post/d3ctf2025.md

@@ -1,5 +1,5 @@
 +++
-date = '2025-06-1T21:00:00+08:00'
+date = '2025-06-01T21:00:00+08:00'
 draft = false
 title = 'D3CTF 2025-WP'
 author='GSBP'
@@ -382,4 +382,6 @@ list_objects()
 download_file("flag", "downloaded_example.txt")
 ```
 
-## tidy quic
+## tidy quic
+
+在写了在写了

public/about/index.html

@@ -7,7 +7,7 @@
     <title>About Me | GSBP&#39;s Blog</title>
     <meta name="description"
         content="一名大二在读学生
-Syclover主力成员
+Syclover核心成员,主力成员&amp;Nu1L成员
 对各种安全感兴趣，目前主要学习的还的是Web安全（Java 安全、偶然也会学点云安全,等）
 最爱吃，最喜欢吃的是🍉，最喜欢干的事情就是大夏天抱着半个西瓜拿勺子挖着吃然后看视频
 什么都想学，但什么都不会
@@ -23,7 +23,7 @@
   <meta property="og:site_name" content="GSBP&#39;s Blog">
   <meta property="og:title" content="About Me">
   <meta property="og:description" content="一名大二在读学生
-Syclover主力成员
+Syclover核心成员,主力成员&amp;Nu1L成员
 对各种安全感兴趣，目前主要学习的还的是Web安全（Java 安全、偶然也会学点云安全,等）
 最爱吃，最喜欢吃的是🍉，最喜欢干的事情就是大夏天抱着半个西瓜拿勺子挖着吃然后看视频
 什么都想学，但什么都不会
@@ -38,7 +38,7 @@
   <meta name="twitter:card" content="summary">
   <meta name="twitter:title" content="About Me">
   <meta name="twitter:description" content="一名大二在读学生
-Syclover主力成员
+Syclover核心成员,主力成员&amp;Nu1L成员
 对各种安全感兴趣，目前主要学习的还的是Web安全（Java 安全、偶然也会学点云安全,等）
 最爱吃，最喜欢吃的是🍉，最喜欢干的事情就是大夏天抱着半个西瓜拿勺子挖着吃然后看视频
 什么都想学，但什么都不会
@@ -161,7 +161,7 @@ <h1>GSBP&#39;s Blog</h1>
         <h1 class="title is-1">About Me</h1>
         <div class="content about-content">
             <p>一名大二在读学生</p>
-<p>Syclover主力成员</p>
+<p>Syclover核心成员,主力成员&amp;Nu1L成员</p>
 <p>对各种安全感兴趣，目前主要学习的还的是Web安全（Java 安全、偶然也会学点云安全,等）</p>
 <p>最爱吃，最喜欢吃的是🍉，最喜欢干的事情就是大夏天抱着半个西瓜拿勺子挖着吃然后看视频</p>
 <p><strong>什么都想学，但什么都不会</strong></p>

public/categories/index.html

@@ -156,7 +156,7 @@ <h1>Categories</h1>
                         <a class="title is-5 is-size-6-mobile" href="http://localhost:1313/categories/wp/">WP</a>
 
                         <strong>
-                        <sup style="font-size:16px;">5</sup>
+                        <sup style="font-size:16px;">6</sup>
                         </strong>
                     </div>
                 </div>
@@ -172,7 +172,7 @@ <h1>Categories</h1>
                         <a class="title is-5 is-size-6-mobile" href="http://localhost:1313/categories/java%E5%AE%89%E5%85%A8/">Java安全</a>
 
                         <strong>
-                        <sup style="font-size:16px;">4</sup>
+                        <sup style="font-size:16px;">5</sup>
                         </strong>
                     </div>
                 </div>

public/categories/java安全/index.html

@@ -185,6 +185,16 @@ <h2 class="archive-title">Category: Java安全</h2>
 
 
 
+        <article class="archive-item">
+            <a href="http://localhost:1313/post/d3ctf2025/" class="archive-item-link hover-underline-animation">D3CTF 2025-WP</a>
+            <span class="archive-item-date">
+                January 1, 0001
+            </span>
+
+        </article>
+
+    
+
 </div>
 
         </main><footer class="footer">

public/categories/java安全/index.xml

@@ -36,5 +36,12 @@
       <guid>http://localhost:1313/post/jdk17%E6%89%93jackson&#43;ldapattruibute%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96/</guid>
       <description>&lt;h2 id=&#34;起因&#34;&gt;起因&lt;/h2&gt;&#xA;&lt;p&gt;本月五号的时候打了个软件攻防赛，里面有道java当时没做出来，用的ldapAttribute+Jackson死活没通，后面自己调试了一下，这里做个记录&lt;/p&gt;&#xA;&lt;h2 id=&#34;题目分析&#34;&gt;题目分析&lt;/h2&gt;&#xA;&lt;p&gt;题目名叫&lt;code&gt;JDBCParty&lt;/code&gt;,jdk版本是17，里面给了个接口源码如下&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;    @PostMapping({&amp;#34;/dbtest&amp;#34;})&#xA;    public ResponseEntity&amp;lt;String&amp;gt; dbtest(String data) {&#xA;        try {&#xA;            User credentials = (User)Utils.deserialize(data);&#xA;            Class.forName(this.driverClassName);&#xA;&#xA;            try (Connection connection = DriverManager.getConnection(this.url, credentials.getUsername(), credentials.getPassword())) {&#xA;                if (connection.isValid(5)) {&#xA;                    return ResponseEntity.ok(&amp;#34;connect success&amp;#34;);&#xA;                } else {&#xA;                    return ResponseEntity.status(HttpStatus.INTERNAL_SERVER_ERROR).body(&amp;#34;connect failed&amp;#34;);&#xA;                }&#xA;            }&#xA;        } catch (Exception e) {&#xA;            e.printStackTrace();&#xA;            return ResponseEntity.status(HttpStatus.INTERNAL_SERVER_ERROR).body(&amp;#34;connect failed &amp;#34; + e.getMessage());&#xA;        }&#xA;    }&#xA;}&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;表面上是给了个JDBC的入口，但是我们能控的只有username和password，打不了jdbc。&lt;/p&gt;&#xA;&lt;p&gt;实际入口是那个反序列化，从这个反序列化里面做文章&lt;/p&gt;&#xA;&lt;p&gt;然后看看题目给的依赖&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;- &amp;#34;BOOT-INF/lib/spring-boot-3.3.5.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/spring-boot-autoconfigure-3.3.5.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/logback-classic-1.5.11.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/logback-core-1.5.11.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/log4j-to-slf4j-2.23.1.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/log4j-api-2.23.1.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/jul-to-slf4j-2.0.16.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/jakarta.annotation-api-2.1.1.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/snakeyaml-2.2.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/jackson-databind-2.17.2.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/jackson-annotations-2.17.2.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/jackson-core-2.17.2.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/jackson-datatype-jdk8-2.17.2.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/jackson-datatype-jsr310-2.17.2.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/jackson-module-parameter-names-2.17.2.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/tomcat-embed-core-10.1.31.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/tomcat-embed-el-10.1.31.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/tomcat-embed-websocket-10.1.31.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/spring-web-6.1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/spring-beans-6.1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/micrometer-observation-1.13.6.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/micrometer-commons-1.13.6.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/spring-webmvc-6.1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/spring-aop-6.1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/spring-context-6.1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/spring-expression-6.1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/thymeleaf-spring6-3.1.2.RELEASE.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/thymeleaf-3.1.2.RELEASE.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/attoparser-2.0.7.RELEASE.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/unbescape-1.1.6.RELEASE.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/slf4j-api-2.0.16.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/spring-core-6.1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/spring-jcl-6.1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/ojdbc11-21.14.0.0.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/tomcat-jdbc-10.1.31.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/tomcat-juli-10.1.31.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-swing-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-anim-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-parser-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-svg-dom-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-awt-util-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/xmlgraphics-commons-2.6.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/commons-io-1.3.1.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/commons-logging-1.0.4.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-bridge-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-xml-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-css-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-dom-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/xalan-2.7.2.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/serializer-2.7.2.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/xml-apis-1.4.01.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-ext-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-gui-util-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-gvt-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-script-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-shared-resources-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-util-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-constants-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/batik-i18n-1.14.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/xml-apis-ext-1.3.04.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/fastjson2-2.0.37.jar&amp;#34;&#xA;- &amp;#34;BOOT-INF/lib/spring-boot-jarmode-tools-3.3.5.jar&amp;#34;&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;有tomcat-jdbc,snakeYaml,EL,Jackson和fastjson2等等，题目指向性很强，就是让我们用一个JNDI通过Tomcat-JDBC打EL，snakeYaml表达式注入的操作&lt;/p&gt;</description>
     </item>
+    <item>
+      <title>D3CTF 2025-WP</title>
+      <link>http://localhost:1313/post/d3ctf2025/</link>
+      <pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate>
+      <guid>http://localhost:1313/post/d3ctf2025/</guid>
+      <description>&lt;h2 id=&#34;前言&#34;&gt;前言&lt;/h2&gt;&#xA;&lt;p&gt;跟着Syc打的，web方向差一题ak，算是有点可惜了&lt;/p&gt;&#xA;&lt;h2 id=&#34;d3model&#34;&gt;d3model&lt;/h2&gt;&#xA;&lt;p&gt;题目内就一个app.py&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;import keras&#xD;&#xA;from flask import Flask, request, jsonify&#xD;&#xA;import os&#xD;&#xA;&#xD;&#xA;&#xD;&#xA;def is_valid_model(modelname):&#xD;&#xA;    try:&#xD;&#xA;        keras.models.load_model(modelname)&#xD;&#xA;    except Exception as e:&#xD;&#xA;        print(e)&#xD;&#xA;        return False&#xD;&#xA;    return True&#xD;&#xA;&#xD;&#xA;app = Flask(__name__)&#xD;&#xA;&#xD;&#xA;@app.route(&amp;#39;/&amp;#39;, methods=[&amp;#39;GET&amp;#39;])&#xD;&#xA;def index():&#xD;&#xA;    return open(&amp;#39;index.html&amp;#39;).read()&#xD;&#xA;&#xD;&#xA;&#xD;&#xA;@app.route(&amp;#39;/upload&amp;#39;, methods=[&amp;#39;POST&amp;#39;])&#xD;&#xA;def upload_file():&#xD;&#xA;    if &amp;#39;file&amp;#39; not in request.files:&#xD;&#xA;        return jsonify({&amp;#39;error&amp;#39;: &amp;#39;No file part&amp;#39;}), 400&#xD;&#xA;    &#xD;&#xA;    file = request.files[&amp;#39;file&amp;#39;]&#xD;&#xA;    &#xD;&#xA;    if file.filename == &amp;#39;&amp;#39;:&#xD;&#xA;        return jsonify({&amp;#39;error&amp;#39;: &amp;#39;No selected file&amp;#39;}), 400&#xD;&#xA;    &#xD;&#xA;    MAX_FILE_SIZE = 50 * 1024 * 1024  # 50MB&#xD;&#xA;    file.seek(0, os.SEEK_END)&#xD;&#xA;    file_size = file.tell()&#xD;&#xA;    file.seek(0)&#xD;&#xA;    &#xD;&#xA;    if file_size &amp;gt; MAX_FILE_SIZE:&#xD;&#xA;        return jsonify({&amp;#39;error&amp;#39;: &amp;#39;File size exceeds 50MB limit&amp;#39;}), 400&#xD;&#xA;    &#xD;&#xA;    filepath = os.path.join(&amp;#39;./&amp;#39;, &amp;#39;test.keras&amp;#39;)&#xD;&#xA;    if os.path.exists(filepath):&#xD;&#xA;        os.remove(filepath)&#xD;&#xA;    file.save(filepath)&#xD;&#xA;    &#xD;&#xA;    if is_valid_model(filepath):&#xD;&#xA;        return jsonify({&amp;#39;message&amp;#39;: &amp;#39;Model is valid&amp;#39;}), 200&#xD;&#xA;    else:&#xD;&#xA;&#xD;&#xA;        return jsonify({&amp;#39;error&amp;#39;: &amp;#39;Invalid model file&amp;#39;}), 400&#xD;&#xA;&#xD;&#xA;if __name__ == &amp;#39;__main__&amp;#39;:&#xD;&#xA;    app.run(host=&amp;#39;0.0.0.0&amp;#39;, port=5001)&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;代码也没啥好审的，很明显就只有一个keras.models.load_model(modelname)能当作sink点，去网上搜一下相关漏洞就能找到现成的payload，题目不出网，外带到index.html即可&lt;/p&gt;</description>
+    </item>
   </channel>
 </rss>

public/categories/wp/index.html

@@ -195,6 +195,16 @@ <h2 class="archive-title">Category: WP</h2>
 
 
 
+        <article class="archive-item">
+            <a href="http://localhost:1313/post/d3ctf2025/" class="archive-item-link hover-underline-animation">D3CTF 2025-WP</a>
+            <span class="archive-item-date">
+                January 1, 0001
+            </span>
+
+        </article>
+
+    
+
 </div>
 
         </main><footer class="footer">

public/categories/wp/index.xml

@@ -43,5 +43,12 @@
       <guid>http://localhost:1313/post/2025suctf/</guid>
       <description>2025年的第一场XCTF</description>
     </item>
+    <item>
+      <title>D3CTF 2025-WP</title>
+      <link>http://localhost:1313/post/d3ctf2025/</link>
+      <pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate>
+      <guid>http://localhost:1313/post/d3ctf2025/</guid>
+      <description>&lt;h2 id=&#34;前言&#34;&gt;前言&lt;/h2&gt;&#xA;&lt;p&gt;跟着Syc打的，web方向差一题ak，算是有点可惜了&lt;/p&gt;&#xA;&lt;h2 id=&#34;d3model&#34;&gt;d3model&lt;/h2&gt;&#xA;&lt;p&gt;题目内就一个app.py&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;import keras&#xD;&#xA;from flask import Flask, request, jsonify&#xD;&#xA;import os&#xD;&#xA;&#xD;&#xA;&#xD;&#xA;def is_valid_model(modelname):&#xD;&#xA;    try:&#xD;&#xA;        keras.models.load_model(modelname)&#xD;&#xA;    except Exception as e:&#xD;&#xA;        print(e)&#xD;&#xA;        return False&#xD;&#xA;    return True&#xD;&#xA;&#xD;&#xA;app = Flask(__name__)&#xD;&#xA;&#xD;&#xA;@app.route(&amp;#39;/&amp;#39;, methods=[&amp;#39;GET&amp;#39;])&#xD;&#xA;def index():&#xD;&#xA;    return open(&amp;#39;index.html&amp;#39;).read()&#xD;&#xA;&#xD;&#xA;&#xD;&#xA;@app.route(&amp;#39;/upload&amp;#39;, methods=[&amp;#39;POST&amp;#39;])&#xD;&#xA;def upload_file():&#xD;&#xA;    if &amp;#39;file&amp;#39; not in request.files:&#xD;&#xA;        return jsonify({&amp;#39;error&amp;#39;: &amp;#39;No file part&amp;#39;}), 400&#xD;&#xA;    &#xD;&#xA;    file = request.files[&amp;#39;file&amp;#39;]&#xD;&#xA;    &#xD;&#xA;    if file.filename == &amp;#39;&amp;#39;:&#xD;&#xA;        return jsonify({&amp;#39;error&amp;#39;: &amp;#39;No selected file&amp;#39;}), 400&#xD;&#xA;    &#xD;&#xA;    MAX_FILE_SIZE = 50 * 1024 * 1024  # 50MB&#xD;&#xA;    file.seek(0, os.SEEK_END)&#xD;&#xA;    file_size = file.tell()&#xD;&#xA;    file.seek(0)&#xD;&#xA;    &#xD;&#xA;    if file_size &amp;gt; MAX_FILE_SIZE:&#xD;&#xA;        return jsonify({&amp;#39;error&amp;#39;: &amp;#39;File size exceeds 50MB limit&amp;#39;}), 400&#xD;&#xA;    &#xD;&#xA;    filepath = os.path.join(&amp;#39;./&amp;#39;, &amp;#39;test.keras&amp;#39;)&#xD;&#xA;    if os.path.exists(filepath):&#xD;&#xA;        os.remove(filepath)&#xD;&#xA;    file.save(filepath)&#xD;&#xA;    &#xD;&#xA;    if is_valid_model(filepath):&#xD;&#xA;        return jsonify({&amp;#39;message&amp;#39;: &amp;#39;Model is valid&amp;#39;}), 200&#xD;&#xA;    else:&#xD;&#xA;&#xD;&#xA;        return jsonify({&amp;#39;error&amp;#39;: &amp;#39;Invalid model file&amp;#39;}), 400&#xD;&#xA;&#xD;&#xA;if __name__ == &amp;#39;__main__&amp;#39;:&#xD;&#xA;    app.run(host=&amp;#39;0.0.0.0&amp;#39;, port=5001)&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;代码也没啥好审的，很明显就只有一个keras.models.load_model(modelname)能当作sink点，去网上搜一下相关漏洞就能找到现成的payload，题目不出网，外带到index.html即可&lt;/p&gt;</description>
+    </item>
   </channel>
 </rss>

public/index.html

@@ -684,6 +684,84 @@ <h1 class="post-title hover-underline-animation"><a class="post-link" href="/pos
 </article>
 
 
+        <article class="post">
+  <div class="single-container column is-centered">
+    <div class="archive" id="post-container">
+      <header class="post-header">
+        <h1 class="post-title hover-underline-animation"><a class="post-link" href="/post/d3ctf2025/">D3CTF 2025-WP</a></h1>
+       
+       
+      </header>
+      <div class="post-content">
+        <div class="excerpt post-summary">
+          <h2 id="前言">前言</h2>
+<p>跟着Syc打的，web方向差一题ak，算是有点可惜了</p>
+<h2 id="d3model">d3model</h2>
+<p>题目内就一个app.py</p>
+<pre tabindex="0"><code>import keras
+from flask import Flask, request, jsonify
+import os
+
+
+def is_valid_model(modelname):
+    try:
+        keras.models.load_model(modelname)
+    except Exception as e:
+        print(e)
+        return False
+    return True
+
+app = Flask(__name__)
+
+@app.route(&#39;/&#39;, methods=[&#39;GET&#39;])
+def index():
+    return open(&#39;index.html&#39;).read()
+
+
+@app.route(&#39;/upload&#39;, methods=[&#39;POST&#39;])
+def upload_file():
+    if &#39;file&#39; not in request.files:
+        return jsonify({&#39;error&#39;: &#39;No file part&#39;}), 400
+    
+    file = request.files[&#39;file&#39;]
+    
+    if file.filename == &#39;&#39;:
+        return jsonify({&#39;error&#39;: &#39;No selected file&#39;}), 400
+    
+    MAX_FILE_SIZE = 50 * 1024 * 1024  # 50MB
+    file.seek(0, os.SEEK_END)
+    file_size = file.tell()
+    file.seek(0)
+    
+    if file_size &gt; MAX_FILE_SIZE:
+        return jsonify({&#39;error&#39;: &#39;File size exceeds 50MB limit&#39;}), 400
+    
+    filepath = os.path.join(&#39;./&#39;, &#39;test.keras&#39;)
+    if os.path.exists(filepath):
+        os.remove(filepath)
+    file.save(filepath)
+    
+    if is_valid_model(filepath):
+        return jsonify({&#39;message&#39;: &#39;Model is valid&#39;}), 200
+    else:
+
+        return jsonify({&#39;error&#39;: &#39;Invalid model file&#39;}), 400
+
+if __name__ == &#39;__main__&#39;:
+    app.run(host=&#39;0.0.0.0&#39;, port=5001)
+</code></pre><p>代码也没啥好审的，很明显就只有一个keras.models.load_model(modelname)能当作sink点，去网上搜一下相关漏洞就能找到现成的payload，题目不出网，外带到index.html即可</p>
+        </div>
+        
+        <div class="post-time-container">
+          <span class="post-time"> 0001-01-01 </span>
+        </div>
+      </div>
+      
+    </div>
+  </div>
+</article>
+
+    
     <hr>
 <section class="pagination" >