web21
右键查看源代码
这里利用php://input 给$user传值,然后利用下面include()函数包含class.php
php://filter/read=convert.base64-encode/resource=class.php
将class.php的源码转换为base64编码;
没读出来抓包看一下
不知道为啥多加了一个‘=’,
解码看一下
反序列化 __toString()
#当一个对象被当作一个字符串使用时被调用
构造payload
看一下f1a9.php啥也没有,再读一下index.php
pass就是class.php反序列化序列化的参数