进入靶机分析代码
这里看到我们重点需要进入read 利用 file_get_contents()获取flag.php中的内容
我们需要使op==2
filename='flag.php'
但是我们看到is_valid对我们的payload进行了限制 需要我们输入的字符串的字符ASCII码在32-125之间
同时我们还需要绕过_destruct() 也就是绕过 op==='2'
1.首先因为题目类型是protected,在我们进行序列化时会产生%00*%00,%00对应ASCII码0,这里我们可以利用php7.1+版本对属性类型不敏感,在序列化时将类型改为public
2.然后是===强等绕过 可以将 op=(int)2 将op改为int类型
最后得到payload
O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:7:"abcdefg";}
查看源码得到flag