安洵杯-这不是文件上传复现

比赛时候这个题没有怼出来 因为对INSERT INTO语句不是很熟,看代码时候漏掉了那一部分,没想到可以用sql注入把序列化数据写进去,正好今天晚上没课,复现一下。

题目一共三个功能点,上传,查看文件和删除文件。
最开始测了一下感觉没啥思路,该过滤的都过滤了,如果是文件操作触发phar反序列化应该给[……]

继续阅读