打开靶机
提示有备份,可以用工具扫描,我还没有配置好环境,搜了一下其他师傅的:备份的地址在这:
/www.zip
下载后得到这几个文件:
index.php就是上面打开的网页,其中有一段php代码:就是说引用class.php,然后把通过get传入的参数反序列化
class.php,定义了一个Name对象,当Name.username=admin;Name.password=100时,给出flag。这里的难点在于,Name实例化的时候会调用wakeup函数,把username修改为guest
解决的方法利用反序列化中,当当成员属性数目大于实际数目时才可绕过wakeup
首先我们构造一个实现一个Name实例,然后进行序列化,把这里的2改成大于2的数字,即可实现绕过wakeup函数。
payload:O%3a4%3a%22Name%22%3a4%3a%7bs%3a14%3a%22%00Name%00username%22%3bs%3a5%3a%22admin%22%3bs%3a14%3a%22%00Name%00password%22%3bs%3a3%3a%22100%22%3b%7d
