WEB新手之serialize’s revenge

　　最后一道题。

　　这道题提示比较少，一点也不友好。F12也没有什么线索。无奈之下用御剑扫下后台，发现了一个叫robots的txt文件。

　　打开robots.txt文件，可以得到一段代码，如下图所示。

　　审查代码，会发现这里有一个文件包含漏洞，我们可以利用filter以base64编码的方式读出backdoor.php。于是在url加上：

?text=php://input&file=php://filter/convert.base64-encode/resource=backdoor.php，得到一堆base64编码，如下图所示（部分截图）。

　　然后将得到的base64密文直接拿去解码，可以得到一份php文件的源码，如下图所示。

　　接着在这里可以看到有三个类，分别是Flag，Secret，和Safe。其中，可以观察到Secret类里含有file_get_contents函数，这个函数可以读取文件里面的内容，而且函数上面还有一个注释，写着“fllllllag.php”。这也提示了我们需要通过file_get_contents函数来读取这个文件。然后又观察到Flag类中有一个magic函数：_toString函数。并且函数里面有一个read操作，可以触发下面的file_get_contents函数。因此推测，在serialise的时候，应该是先定义一个Flag类，然后再定义一个Secret类，接着定义一个Flag类的变量。最后结果应该就是，通过magic函数中的read函数，调用file_get_contents函数来读取fllllllag.php。

　　这里补充一下，magic函数一般都是以下划线未开头命名的，在某些特殊情况会自动调用，而_toString函数是在对象被当作一个字符串使用时调用的。

　　根据上面的分析，利用反序列化漏洞，可以写出：

　　跑出“O:4:"Flag":1:{s:3:"obj";O:6:"Secret":1:{s:4:"file";s:13:"fllllllag.php";}}”，之后在backdoor.php中将这串字符赋值给secret，execute。查看源码，可以得到flag。如下图所示。