Привет, есть уязвимое приложение (домашнее задание), суть в том что могу загрузить любой файл через форму upload. А выполнить (точнее прочитать) могу через обход пути: read?file=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F ..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Ftmp%2Ftq8a s6.php

проблема в том что приложение написано на python tornado. и естественно php webshell Только отображается но не исполняется.

Подскажите можно ли закинуть и выполнить webshell и какие векторы еще можно попробовать имея такие уязвимости.

Если приложение написано на Python я рекомендую попробовать template injection, на пример {{ Python код }}. Но без лишнего точна сказать не могу