文件上传注入——【XCTF】upload writeup
最新推荐文章于 2023-08-14 14:12:54 发布
本文详细介绍了如何利用文件名注入攻破一个名为upload的XCTF挑战。通过分析题目限制,发现只能上传jpg文件,但可以上传包含恶意代码的图片。由于后端对文件内容未做检查,而是关注文件名,因此利用SQL注入攻击。通过双写绕过、16进制转换、substr函数等方法,成功获取数据库名、表名、字段名及值,最终揭示了隐藏的flag。
摘要由CSDN通过智能技术生成