qq_61988806的博客

这里except的参数可控我们让他成为键值的方式，最总我们要构造成upload_img方法,键为传入的index值为upload_img那返回给call就是this->upload_img()，进入upload_img方法后我们要设置checker的值为0，当值为0经过if($this->checker)时不进行判断然后设置ext为1进行复制文件的操作。这里我们可以把checker的值设置new Profile那就会变成调用Profile类中的index方法。魔术方法就这几个，继续分析寻找可以利用的漏洞。

我们打开js源码很明显这里当score大于60会出flag我们寻找到了getScore方法所在的地方之后发现他存在于Snake.prototype中再控制台中给getScore赋值再空格页面。

查看响应头发现有几个可能利用的信息1.hint 里面的Flag in localhost我们发现第一个是提示 第二个apache版本没有什么漏洞 但是php 7.3.15 存在cve漏洞这里题目规定 *.ctfhub.com 所以我们 要以这个结尾在 php 7.3中 get_headers()会截断URL中空字符后的内容所以我们可以通过空字符绕过通过%00截断这里显示要123我们构造127.0.0.123。

先找出口 很明显时 通过include 所以是append方法寻找调用append方法的地方发现__invoke魔术方法那调用__invoke方法当脚本尝试将对象调用为函数时触发寻找触发invoke的地方 发现 __get中function以函数执行get魔术方法读取不可访问的属性的值时会被调用寻找读取不可访问的属性的地方_toString 中$this->string->page 这里没有page这个属性的定义。