知识点：

        1.序列化的属性个数大于实际属性个数可以绕过_wakeup() 详见[CTF]PHP反序列化总结_ctf php反序列化-CSDN博客

        2.private属性类名和属性名前都会有多一个NULL，phpstorm运行结果可以显示出来，但是复制出去会变成空格，要手动把这两个空格换成%00

提到备份，扫一下目录，发现源码压缩包www.zip

里面的flag.php Syc{dog_dog_dog}交上去是错的。

再看其他源码，index.php 包含了class.php，并且有一个get传参select

看完class.php，明白了要传个序列化的Name变量去反序列化，满足class.php的条件即可获得flag。

 即让username=admin，password=100即可