-
web254
第一眼找unserialize函数,结果没有;再找echo flag,有;再找类里面的属性,3个;再看看到居然有GET直接传参。。。直接?username=xxxxxx&password=xxxxxx -
web255
GET的两个参数和反序列化无关,就不用写进去,主要让VIP变成ture就行。
O:11:“ctfShowUser”:1{s:5:“isVip”;b:1}(这里少打一个;把我坑死了QAQ)加上还要URL输入才行,抓包输入的序列化都要URL输入吗?mark一下。GET就不记了Cookie:user=O%3A11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D
-
web256
ctfshow-web-反序列化
最新推荐文章于 2024-03-23 21:59:37 发布
文章讲述了作者在Web开发中遇到的问题,发现了一个GET请求参数被用作序列化,实际上与isVip属性相关,但误导性地与unserialize函数关联。作者强调了VIP权限验证的重要性,以及GET参数序列化在安全方面的潜在陷阱。
摘要由CSDN通过智能技术生成