2403_88003384的博客

这个地方可以尝试去写入文件，同时check.php也包含了/inc/inc.php，所以check.php的序列化处理器就是php的！因此满足我对session反序列总结的两个条件（1，可控。现在index.php发包控制$_SESSION['limit']，然后再访问check.php触发/inc/inc.php里面的析构函数，最后访问log-webshell.php进行rce即可！这里可以发现$_SESSION['limit']的内容可控，通过抓包改$_COOKIE['limit']。

这里肯定是要用file_get_contents函数去读取的，那么我们就得让$_SESSION['img']=base64_encode('d0g3_f1ag.php')，然而我们并不能直接控制这个值，非得直接控制的话,还有一个sha1加密！s:1:"a（经过计算23个，也就是说user里面需要少23个=4*5+3），所以user的值应该为flagflagflagflagflagphp。

分析：满足条件（1.替换，2.不可控），利用可控的username去把password的给隔离出去，我们自己构造一个password，构造";file_get_contents("php://input")只读流，这里涉及到php伪协议的一些东西，这里后面有机会在水一水！

当__unserialize方法和__wakeup方法同时存在，反序列化时忽略__wakeup方法而执行__unserialize。这两个魔术方法需要php7.4以上才能生效。当__serialize和__sleep方法同时存在，序列化时忽略__sleep方法而执行__serialize。这里的逻辑就是file_put_contens函数而不是eval，因为__invoke无法触发。这里不用担心code怎么去构造，直接把username命名为877.php即可。总结题目不难，但我觉得还是有记录的意义！