论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
逆向
[22275] 2021-08-21_从CTF中学习PHP反序列化的各种利用方式
文档创建者:
s7ckTeam
浏览次数:
3
最后更新:
2025-01-18
逆向
3 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-58
6万
主题
-6万
回帖
-58
积分
管理员
积分
-58
发消息
2021-08-21_从CTF中学习PHP反序列化的各种利用方式
从
C
T
F
中
学
习
P
H
P
反
序
列
化
的
各
种
利
用
方
式
I
F
O
N
L
Y
L
e
m
o
n
S
e
c
2
0
2
1
-
0
8
-
2
1
前
言
前
言
出
于
对
p
h
p
反
序
列
漏
洞
感
兴
趣
,
遂
写
一
文
总
结
一
下
在
学
习
P
H
P
反
序
列
化
的
漏
洞
过
程
中
遇
到
的
点
,
在
C
T
F
中
有
关
的
漏
洞
形
式
几
乎
是
必
出
_
_
w
a
k
e
u
p
(
)
对
应
的
C
V
E
编
号
:
C
V
E
-
2
0
1
6
-
7
1
2
4
存
在
漏
洞
的
P
H
P
版
本
:
P
H
P
5
.
6
.
2
5
之
前
版
本
和
7
.
0
.
1
0
之
前
的
7
.
x
版
本
漏
洞
概
述
:
魔
法
函
数
被
绕
过
,
导
致
执
行
了
一
些
非
预
期
效
果
的
漏
洞
漏
洞
原
理
:
d
e
m
o
:
<
?
p
h
p
h
i
g
h
l
i
g
h
t
_
f
i
l
e
(
_
_
F
I
L
E
_
_
)
;
e
r
r
o
r
_
r
e
p
o
r
t
i
n
g
(
0
)
;
c
l
a
s
s
c
o
n
v
e
n
t
{
v
a
r
$
w
a
r
n
=
"
N
o
h
a
c
k
e
r
.
"
;
f
u
n
c
t
i
o
n
_
_
d
e
s
t
r
u
c
t
(
)
{
e
v
a
l
(
$
t
h
i
s
-
>
w
a
r
n
)
;
}
f
u
n
c
t
i
o
n
_
_
w
a
k
e
u
p
(
)
{
f
o
r
e
a
c
h
(
g
e
t
_
o
b
j
e
c
t
_
v
a
r
s
(
$
t
h
i
s
)
a
s
$
k
=
>
$
v
)
{
$
t
h
i
s
-
>
$
k
=
n
u
l
l
;
}
}
}
$
c
m
d
=
$
_
P
O
S
T
[
c
m
d
]
;
u
n
s
e
r
i
a
l
i
z
e
(
$
c
m
d
)
;
?
>
可
以
看
到
,
这
里
在
进
行
_
_
w
a
k
e
u
p
(
)
当
对
象
的
属
性
(
变
量
)
数
大
于
实
际
的
个
数
时
,
_
_
w
a
k
e
u
p
(
)
魔
法
函
数
被
绕
过
u
n
s
e
r
i
a
l
i
z
e
时
,
方
法
中
遍
历
将
对
象
属
性
给
删
除
,
导
致
无
法
执
行
函
数
,
造
成
代
码
执
行
,
但
是
在
存
在
该
漏
洞
的
p
h
p
版
本
中
,
我
们
就
能
绕
过
这
个
点
,
达
到
代
码
执
行
的
效
果
p
h
p
s
e
s
s
i
o
n
反
序
列
化
反
序
列
化
首
先
要
知
道
了
是
P
H
P
s
e
s
s
i
o
n
的
引
擎
的
差
异
,
这
也
是
导
致
这
个
漏
洞
的
根
本
原
因
和
利
用
条
件
s
e
s
s
i
o
n
的
存
储
机
制
的
存
储
机
制
p
h
p
中
的
s
e
s
s
i
o
n
中
的
内
容
并
不
是
放
在
内
存
中
的
,
而
是
以
文
件
的
方
式
来
存
储
的
,
存
储
方
式
就
是
由
配
置
项
s
e
s
s
i
o
n
.
s
a
v
e
_
h
a
n
d
l
e
r
来
进
行
确
定
的
,
默
认
是
以
文
件
的
方
式
存
储
。
存
储
的
文
件
是
以
s
e
s
s
_
s
e
s
s
i
o
n
i
d
来
进
行
命
名
的
有
三
种
方
式
默
认
使
用
p
h
p
:
格
式
p
h
p
_
s
e
r
i
a
l
i
z
e
:
格
式
经
过
序
列
化
函
数
处
理
的
值
p
h
p
_
b
i
n
a
r
y
:
键
名
的
长
度
对
应
的
A
S
C
I
I
字
符
+
键
名
+
经
过
序
列
化
函
数
处
理
的
值
在
p
h
p
.
i
n
i
中
有
如
下
配
置
:
_
_
w
a
k
e
u
p
e
v
a
l
键
名
|
键
值
(
经
过
序
列
化
函
数
处
理
的
值
)
在
p
h
p
s
t
u
d
y
中
,
s
e
s
s
i
o
n
文
件
是
存
放
在
目
录
中
第
一
种
,
默
认
p
h
p
格
式
:
<
?
p
h
p
s
e
s
s
i
o
n
_
s
t
a
r
t
(
)
;
$
_
S
E
S
S
I
O
N
[
'
n
a
m
e
'
]
=
'
1
F
o
n
l
Y
'
;
v
a
r
_
d
u
m
p
(
$
_
S
E
S
S
I
O
N
)
;
?
>
/
/
a
r
r
a
y
(
1
)
{
[
"
n
a
m
e
"
]
=
>
s
t
r
i
n
g
(
6
)
"
1
F
o
n
l
Y
"
}
查
看
s
e
s
s
i
o
n
文
件
为
:
第
二
种
,
p
h
p
_
s
e
r
i
a
l
i
z
e
格
式
:
<
?
p
h
p
i
n
i
_
s
e
t
(
'
s
e
s
s
i
o
n
.
s
e
r
i
a
l
i
z
e
_
h
a
n
d
l
e
r
'
,
'
p
h
p
_
s
e
r
i
a
l
i
z
e
'
)
;
s
e
s
s
i
o
n
_
s
t
a
r
t
(
)
;
$
_
S
E
S
S
I
O
N
[
'
n
a
m
e
'
]
=
'
1
F
o
n
l
Y
'
;
v
a
r
_
d
u
m
p
(
$
_
S
E
S
S
I
O
N
)
;
?
>
/
/
a
r
r
a
y
(
1
)
{
[
"
n
a
m
e
"
]
=
>
s
t
r
i
n
g
(
6
)
"
1
F
o
n
l
Y
"
}
是
使
用
p
h
p
_
s
e
r
i
a
l
i
z
e
进
行
序
列
话
都
会
加
上
。
同
时
使
用
p
h
p
_
s
e
r
i
a
l
i
z
e
会
将
s
e
s
s
i
o
n
中
的
k
e
y
和
v
a
l
u
e
都
会
进
行
序
列
化
。
第
三
种
,
p
h
p
_
b
i
n
a
r
y
格
式
:
s
e
s
s
i
o
n
.
s
a
v
e
_
p
a
t
h
=
"
"
-
-
设
置
s
e
s
s
i
o
n
的
存
储
路
径
s
e
s
s
i
o
n
.
s
a
v
e
_
h
a
n
d
l
e
r
=
"
"
-
-
设
定
用
户
自
定
义
存
储
函
数
,
如
果
想
使
用
P
H
P
内
置
会
话
存
储
机
制
之
外
的
可
以
使
用
本
函
数
(
数
据
库
等
方
式
)
s
e
s
s
i
o
n
.
a
u
t
o
_
s
t
a
r
t
b
o
o
l
e
n
-
-
指
定
会
话
模
块
是
否
在
请
求
开
始
时
启
动
一
个
会
话
,
默
认
为
0
不
启
动
s
e
s
s
i
o
n
.
s
e
r
i
a
l
i
z
e
_
h
a
n
d
l
e
r
s
t
r
i
n
g
-
-
定
义
用
来
序
列
化
/
反
序
列
化
的
处
理
器
名
字
。
默
认
使
用
p
h
p
e
x
t
e
n
s
i
o
n
/
t
m
p
/
t
m
p
n
a
m
e
|
s
:
6
:
"
1
F
o
n
l
Y
"
;
a
:
1
:
{
s
:
4
:
"
n
a
m
e
"
;
s
:
6
:
"
1
F
o
n
l
Y
"
;
}
a
:
1
<
?
p
h
p
i
n
i
_
s
e
t
(
'
s
e
s
s
i
o
n
.
s
e
r
i
a
l
i
z
e
_
h
a
n
d
l
e
r
'
,
'
p
h
p
_
b
i
n
a
r
y
'
)
;
s
e
s
s
i
o
n
_
s
t
a
r
t
(
)
;
$
_
S
E
S
S
I
O
N
[
'
n
a
m
e
'
]
=
'
1
F
o
n
l
Y
'
;
v
a
r
_
d
u
m
p
(
$
_
S
E
S
S
I
O
N
)
;
?
>
不
可
显
的
为
,
的
长
度
为
4
在
A
S
C
I
I
表
中
就
是
E
O
T
s
e
s
s
i
o
n
序
列
化
注
入
漏
洞
序
列
化
注
入
漏
洞
:
当
序
列
化
的
引
擎
和
反
序
列
化
的
引
擎
不
一
致
时
,
就
可
以
利
用
引
擎
之
间
的
差
异
产
生
序
列
化
注
入
漏
洞
当
序
列
化
的
引
擎
和
反
序
列
化
的
引
擎
不
一
致
时
,
就
可
以
利
用
引
擎
之
间
的
差
异
产
生
序
列
化
注
入
漏
洞
比
如
这
里
先
实
例
化
一
个
对
象
,
然
后
将
其
序
列
化
为
如
果
传
入
在
使
用
引
擎
的
时
候
序
列
化
后
的
s
e
s
s
i
o
n
文
件
是
这
样
的
这
时
,
将
当
做
键
名
,
当
做
键
值
,
将
键
值
进
行
反
序
列
化
输
出
,
这
时
就
造
成
了
序
列
化
注
入
攻
击
n
a
m
e
s
:
6
:
"
1
F
o
n
l
Y
"
;
E
O
T
n
a
m
e
4
O
:
7
:
"
_
1
F
o
n
l
Y
"
:
1
:
{
s
:
3
:
"
c
m
d
"
;
N
;
}
|
O
:
7
:
"
_
1
F
o
n
l
Y
"
:
1
:
{
s
:
3
:
"
c
m
d
"
;
N
;
}
p
h
p
_
s
e
r
i
a
l
i
z
e
a
:
1
:
{
s
:
4
:
"
n
a
m
e
"
;
s
:
3
1
:
"
|
O
:
7
:
"
_
1
F
o
n
l
Y
"
:
1
:
{
s
:
3
:
"
c
m
d
"
;
N
;
}
"
;
}
a
:
1
:
{
s
:
4
:
"
n
a
m
e
"
;
s
:
3
1
:
"
O
:
7
:
"
_
1
F
o
n
l
Y
"
:
1
:
{
s
:
3
:
"
c
m
d
"
;
N
;
}
这
个
点
在
之
前
的
高
校
战
疫
中
就
考
查
过
,
利
用
的
就
是
p
h
p
s
e
s
s
i
o
n
的
序
列
化
机
制
差
异
导
致
的
注
入
漏
洞
相
关
题
目
:
h
t
t
p
:
/
/
w
e
b
.
j
a
r
v
i
s
o
j
.
c
o
m
:
3
2
7
8
4
/
p
h
a
r
反
序
列
化
反
序
列
化
最
初
是
在
B
l
a
c
k
H
a
t
上
安
全
研
究
员
S
a
m
e
T
h
o
m
a
s
分
享
的
议
题
.
p
h
a
r
反
序
列
化
漏
洞
,
利
用
p
h
a
r
文
件
会
以
序
列
化
的
形
式
存
储
用
户
自
定
义
的
m
e
t
a
-
d
a
t
a
这
一
特
性
,
拓
展
了
p
h
p
反
序
列
化
漏
洞
的
攻
击
面
。
该
方
法
在
文
件
系
统
函
数
文
件
系
统
函
数
(
f
i
l
e
_
e
x
i
s
t
s
(
)
、
i
s
_
d
i
r
(
)
等
)
参
数
可
控
的
情
况
下
,
配
合
p
h
a
r
:
/
/
伪
协
议
伪
协
议
,
可
以
不
依
赖
u
n
s
e
r
i
a
l
i
z
e
(
)
直
接
进
行
反
序
列
化
操
作
。
关
于
p
h
a
r
文
件
的
结
构
解
释
网
上
已
经
有
很
多
了
这
里
直
接
贴
代
码
了
,
相
信
很
多
师
傅
都
是
喜
欢
看
代
码
<
?
p
h
p
c
l
a
s
s
T
e
s
t
O
b
j
e
c
t
{
}
/
/
生
成
p
h
a
r
文
件
的
格
式
@
u
n
l
i
n
k
(
"
p
h
a
r
.
p
h
a
r
"
)
;
$
o
=
n
e
w
T
e
s
t
O
b
j
e
c
t
(
)
;
$
p
h
a
r
=
n
e
w
P
h
a
r
(
"
p
h
a
r
.
p
h
a
r
"
)
;
/
/
后
缀
名
必
须
为
p
h
a
r
$
p
h
a
r
-
>
s
t
a
r
t
B
u
f
f
e
r
i
n
g
(
)
;
$
p
h
a
r
-
>
s
e
t
S
t
u
b
(
"
<
?
p
h
p
_
_
H
A
L
T
_
C
O
M
P
I
L
E
R
(
)
;
?
>
"
)
;
/
/
设
置
s
t
u
b
$
p
h
a
r
-
>
s
e
t
M
e
t
a
d
a
t
a
(
$
o
)
;
/
/
将
自
定
义
的
m
e
t
a
-
d
a
t
a
存
入
m
a
n
i
f
e
s
t
$
p
h
a
r
-
>
a
d
d
F
r
o
m
S
t
r
i
n
g
(
"
t
e
s
t
.
t
x
t
"
,
"
t
e
s
t
"
)
;
/
/
添
加
要
压
缩
的
文
件
/
/
签
名
自
动
计
算
$
p
h
a
r
-
>
s
t
o
p
B
u
f
f
e
r
i
n
g
(
)
;
?
>
这
是
我
生
成
的
一
个
e
x
p
p
h
a
r
文
件
,
可
以
看
到
我
们
的
p
a
y
l
o
a
d
是
序
列
化
存
储
的
p
h
a
r
反
序
列
化
可
以
利
用
的
函
数
利
用
时
,
使
用
这
个
协
议
即
可
伪
造
伪
造
p
h
a
r
文
件
为
其
他
格
式
文
件
为
其
他
格
式
只
需
要
改
文
件
头
s
t
u
b
即
可
,
p
h
p
识
别
p
h
a
r
文
件
是
通
过
其
文
件
头
的
s
t
u
b
,
更
确
切
一
点
来
说
是
这
段
代
码
,
对
前
面
的
内
容
或
者
后
缀
名
是
没
有
要
求
的
。
那
么
我
们
就
可
以
通
过
添
加
任
意
的
文
件
头
+
修
改
后
缀
名
的
方
式
将
p
h
a
r
文
件
伪
装
成
其
他
格
式
的
文
件
利
用
条
件
利
用
条
件
p
h
a
r
:
/
/
_
_
H
A
L
T
_
C
O
M
P
I
L
E
R
(
)
;
?
>
$
p
h
a
r
-
>
s
e
t
S
t
u
b
(
"
G
I
F
8
9
a
"
.
"
<
?
p
h
p
_
_
H
A
L
T
_
C
O
M
P
I
L
E
R
(
)
;
?
>
"
)
;
p
h
a
r
文
件
能
够
上
传
文
件
操
作
函
数
参
数
可
控
,
,
等
特
殊
字
符
没
有
被
过
滤
有
可
用
的
魔
术
方
法
作
为
”
跳
板
”
b
y
p
a
s
s
p
h
a
r
:
/
/
不
能
出
现
在
首
部
不
能
出
现
在
首
部
这
时
候
我
们
可
以
利
用
或
函
数
,
和
同
样
适
用
于
。
p
a
y
l
o
a
d
:
P
o
s
t
g
r
e
s
q
l
p
g
s
q
l
C
o
p
y
T
o
F
i
l
e
和
p
g
_
t
r
a
c
e
同
样
也
是
能
使
用
的
,
只
是
它
们
需
要
开
启
p
h
a
r
的
写
功
能
M
y
S
Q
L
L
O
A
D
D
A
T
A
L
O
C
A
L
I
N
F
I
L
E
也
会
触
发
这
个
p
h
p
_
s
t
r
e
a
m
_
o
p
e
n
_
w
r
a
p
p
e
r
.
:
/
p
h
a
r
c
o
m
p
r
e
s
s
.
z
l
i
b
:
/
/
c
o
m
p
r
e
s
s
.
b
z
i
p
2
:
/
/
c
o
m
p
r
e
s
s
.
z
l
i
b
:
/
/
c
o
m
p
r
e
s
s
.
b
z
i
p
2
:
/
/
p
h
a
r
:
/
/
c
o
m
p
r
e
s
s
.
z
l
i
b
:
/
/
p
h
a
r
:
/
/
p
h
a
r
.
p
h
a
r
/
t
e
s
t
.
t
x
t
<
?
p
h
p
$
p
d
o
=
n
e
w
P
D
O
(
s
p
r
i
n
t
f
(
"
p
g
s
q
l
:
h
o
s
t
=
%
s
;
d
b
n
a
m
e
=
%
s
;
u
s
e
r
=
%
s
;
p
a
s
s
w
o
r
d
=
%
s
"
,
"
1
2
7
.
0
.
0
.
1
"
,
"
p
o
s
t
g
r
e
s
"
,
"
s
x
"
,
"
1
2
3
4
5
6
"
)
)
;
$
p
d
o
-
>
p
g
s
q
l
C
o
p
y
F
r
o
m
F
i
l
e
(
'
a
a
'
,
'
p
h
a
r
:
/
/
t
e
s
t
.
p
h
a
r
/
a
a
'
)
;
但
是
需
要
修
改
m
y
s
q
l
d
配
置
,
因
为
不
是
默
认
配
置
字
符
串
逃
逸
字
符
串
逃
逸
0
C
T
F
2
0
1
6
p
i
a
p
i
a
p
i
a
读
完
了
下
载
下
来
的
这
几
个
源
码
后
,
发
现
有
用
的
只
在
c
l
a
s
s
.
p
h
p
和
c
o
n
f
i
g
.
p
h
p
(
唯
一
存
在
f
l
a
g
字
段
的
内
容
,
说
明
f
l
a
g
一
定
是
在
c
o
n
f
i
g
.
p
h
p
里
面
,
那
么
现
在
的
目
标
就
是
去
读
取
c
o
n
f
i
g
.
p
h
p
的
内
容
)
在
r
e
g
i
s
t
e
r
.
p
h
p
中
:
在
p
r
o
f
i
l
e
.
p
h
p
中
:
存
在
以
及
的
参
数
,
如
果
为
c
o
n
f
i
g
.
p
h
p
就
能
读
取
到
f
l
a
g
,
p
h
o
t
o
输
出
是
以
b
a
s
e
6
4
的
形
式
[
m
y
s
q
l
d
]
l
o
c
a
l
-
i
n
f
i
l
e
=
1
s
e
c
u
r
e
_
f
i
l
e
_
p
r
i
v
=
"
"
$
u
s
e
r
-
>
u
p
d
a
t
e
_
p
r
o
f
i
l
e
(
$
u
s
e
r
n
a
m
e
,
s
e
r
i
a
l
i
z
e
(
$
p
r
o
f
i
l
e
)
)
;
/
/
必
定
存
在
一
个
序
列
化
操
作
文
件
操
作
函
数
可
控
p
h
o
t
o
p
h
o
t
o
$
p
h
o
t
o
=
b
a
s
e
6
4
_
e
n
c
o
d
e
(
f
i
l
e
_
g
e
t
_
c
o
n
t
e
n
t
s
(
$
p
r
o
f
i
l
e
[
'
p
h
o
t
o
'
]
)
)
;
/
/
如
果
p
h
o
t
o
为
c
o
n
f
i
g
.
p
h
p
就
可
以
读
取
f
l
a
g
这
里
的
正
则
过
滤
掉
了
(
5
)
,
如
果
存
在
w
h
e
r
e
等
字
段
,
就
用
(
6
)
来
替
换
在
u
p
d
a
t
e
.
p
h
p
中
对
数
组
p
r
o
f
i
l
e
进
行
序
列
化
储
存
后
,
在
p
r
o
f
i
l
e
.
p
h
p
进
行
反
序
列
化
,
然
后
这
道
题
的
考
点
就
在
这
两
步
操
作
中
的
一
个
很
细
节
的
点
在
反
序
列
化
时
,
会
自
动
忽
略
掉
能
够
正
确
序
列
化
之
后
的
内
容
(
也
就
是
构
造
闭
合
构
造
闭
合
)
,
从
而
忽
略
掉
通
过
抓
包
来
看
一
下
数
组
的
中
元
素
的
传
递
的
顺
序
,
也
是
n
i
c
k
n
a
m
e
是
位
于
p
h
o
t
o
之
前
的
,
所
以
可
以
想
办
法
让
n
i
c
k
n
a
m
e
足
够
长
,
把
u
p
l
o
a
d
那
部
分
字
段
给
”
挤
出
去
”
专
业
术
语
:
反
序
列
化
长
度
变
化
尾
部
字
符
串
逃
逸
反
序
列
化
长
度
变
化
尾
部
字
符
串
逃
逸
w
h
e
r
e
h
a
c
k
e
r
u
n
s
e
r
i
a
l
i
z
e
(
)
u
p
l
o
a
d
/
m
d
5
(
f
i
l
e
n
a
m
e
)
再
来
理
清
一
下
思
路
:
要
使
要
使
p
h
o
t
o
字
段
的
内
容
为
字
段
的
内
容
为
c
o
n
f
i
g
.
p
h
p
,
构
造
闭
合
如
下
构
造
闭
合
如
下
这
里
一
共
3
4
个
字
符
.
那
么
在
原
来
的
n
i
c
k
n
a
m
e
中
的
一
共
是
1
7
0
个
字
符
,
加
上
后
为
2
0
4
个
字
符
,
相
差
3
4
个
字
符
,
因
为
正
则
匹
配
把
w
h
e
r
e
替
换
为
h
a
c
k
e
r
,
每
替
换
一
个
就
增
加
1
个
字
符
,
现
在
用
3
4
个
w
h
e
r
e
就
可
以
增
加
3
4
个
字
符
,
导
致
构
造
的
的
效
果
为
是
为
了
闭
合
n
i
c
k
n
a
m
e
部
分
.
而
后
面
这
部
分
,
就
单
独
成
为
了
p
h
o
t
o
的
部
分
(
尾
部
字
符
串
逃
逸
尾
部
字
符
串
逃
逸
)
,
到
达
效
果
绕
过
正
则
表
达
式
和
长
度
限
制
绕
过
正
则
表
达
式
和
长
度
限
制
使
用
数
组
绕
过
n
i
c
k
n
a
m
e
[
]
=
p
a
y
l
o
a
d
:
"
;
}
s
:
5
:
"
p
h
o
t
o
"
;
s
:
1
0
:
"
c
o
n
f
i
g
.
p
h
p
"
;
}
w
h
e
r
e
.
.
.
.
w
h
e
r
e
.
.
.
"
;
}
s
:
5
:
"
p
h
o
t
o
"
;
s
:
1
0
:
"
c
o
n
f
i
g
.
p
h
p
"
;
}
"
;
}
s
:
5
:
"
p
h
o
t
o
"
;
s
:
1
0
:
"
c
o
n
f
i
g
.
p
h
p
"
;
}
"
;
}
s
:
5
:
"
p
h
o
t
o
"
;
s
:
1
0
:
"
c
o
n
f
i
g
.
p
h
p
"
;
}
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页