今天继续给大家介绍CTF刷题，本文主要内容是2020年网鼎杯青龙组web AreUSerialz详解。

免责声明：
本文所介绍的内容仅做学习交流使用，严禁利用文中技术进行非法行为，否则造成一切严重后果自负！
再次强调：严禁对未授权设备进行渗透测试！

一、题目简介

题目来源于2020年网鼎杯青龙组（目前可以在ctfhub平台上找到该题目），打开后直接显示源代码，如下所示：

二、PHP代码分析

接下来，我们对上述源代码进行分析：
首先，页面以GET的方法接收str参数，并对str参数进行反序列化操作，反序列化后会生成FileHandler类的对象，PHP函数结束前，会触发__destruct()函数，__destruct()函数会设置变量op的值，并且触发process()函数，process()函数会根据op的值来进行read()和write()方法。output()方法会将结果输出。
很显然，这个题目考察的是PHP反序列化相关的知识，要想解决这一题目，就要触发read()方法，并且设置filename变量为flag.php。在process()函数中，只有op变量的值为2时才会触发read()方法，否则会触发write()方法。而如果我们直接设置op变量的值为2，在__destruct()函数中就会强制性的将该值修改为1。但是，我们注意到__destruct()函数中比较使用了三个等号，而process()方法中的比较使用了两个等号。在PHP语言中，三个等号要求比较对象的值和类型都要相等，而两个等号要求比较对象的值相等。因此，在这里，我们可以设置op变量的值为数字2，这样一来，在__destruct()方法中，数字2不等于字符串2，因此__destruct()函数不会修改op变量的值，而在process()函数中，数字2和字符串2的值是相等的，因此会使得程序执行后续的read()函数。

三、解题实战

从上述分析，我们就可以编写合适的PHP代码，构造我们期望的FileHandler序列化后的字符串，然后将其赋予str参数并采用GET的方式提交即可。
我们编写生成序列化字符串的代码如下所示：

public $op=2;public $filename="./flag.php";public $content;}
$a=new FileHandler;
$str1=serialize($a);
echo $str1;
?>

注意，在这里我们不使用题目中原有的各个字段的protect属性，因为这样会使得序列化后的字符串出现不可打印字符，而题目中的is_valid()函数又会检验输入的字符串中是否有不可打印字符，因此，我们这里把protect属性修改为public。
上述PHP代码得到的序列化后的字符串如下所示：

这样，我们将上述字符串复制后，当作str参数的值，并采用GET的方式提交，则结果如下所示：

这样，我们就可以得到题目的flag了！
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200