2017年5月14日
Natas Wargame Level 15 Writeup(Content-based Blind SQL Injection)
摘要: sourcecode核心代码: sql语句为:SELECT * from users where username="username";可以注入,但注入成功后并不能实现什么功能。如果查询“成功”,仅仅会显示This user exists.查询失败:This user doesn't exist. 阅读全文
posted @ 2017-05-14 20:10 QiuhaoLi 阅读(271) 评论(0) 推荐(0) 编辑
Natas Wargame Level 13 Writeup(文件上传漏洞,篡改file signature,Exif)
摘要: sourcecode核心代码: 关键部分已标为红色,该脚本的初期分析参见上一篇writeup。 这是exif_imagetype()的介绍(http://php.net/manual/en/function.exif-imagetype.php) 为什么该函数会通过读取文件的第一个字节签名来判断图片 阅读全文
posted @ 2017-05-14 00:33 QiuhaoLi 阅读(411) 评论(0) 推荐(0) 编辑