SWPUCTF 2021 新生赛ez_unserialize – 星雨の小破站

SWPUCTF 2021 新生赛ez_unserialize

2025-1-18 23:22

|

CTF,CTF-web,NSSCTF

|

283

238 字

|

2 分钟

本文最后更新于521 天前，其中的信息可能已经过时，如有错误请发送邮件到big_fw@foxmail.com

Pasted image 20241129205211.png

Pasted image 20241129205202.png

发现disallow，说明应该和robots有关。
在robots.txt文件中，“Disallow”指令用于告诉搜索引擎爬虫不要抓取指定的URL路径或目录，例如“Disallow: /private/”表示不抓取网站中“private”目录下的页面。
Pasted image 20241129205233.png

猜测robots.txt文件！
发现php文件
Pasted image 20241129205309.png

访问该文件

Pasted image 20241129205605.png

分析代码，发现用get传序列化字符串并且只要admin为字符串admin以及passwd为字符串ctf，即可显示flag
以下是php代码：
<?php
class wllm{
public $admin="admin";
public

passwd=”ctf”; }

class=new wllm;

a = s e r i a l i z e (

class);
echo $a;
?>
访问获得序列化字符串

Pasted image 20241129210647.png

传值得到flag

Pasted image 20241129210825.png

总结

php序列化
使用php生成序列化字符串
robots.txt 爬虫协议，规定哪些可爬，哪些不可爬

文末附加内容

暂无评论

发送评论编辑评论

Markdown

悄悄话

邮件提醒

|´・ω・)ノ

ヾ(≧∇≦*)ゝ

(☆ω☆)

（╯‵□′）╯︵┴─┴

￣﹃￣

(/ω＼)

∠( ᐛ 」∠)＿

(๑•̀ㅁ•́ฅ)

→_→

୧(๑•̀⌄•́๑)૭

٩(ˊᗜˋ*)و

(ノ°ο°)ノ

(´இ皿இ｀)

⌇●﹏●⌇

(ฅ´ω`ฅ)

(╯°A°)╯︵○○○

φ(￣∇￣o)

ヾ(´･･｀｡)ノ"

( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃

(ó﹏ò｡)

Σ(っ °Д °;)っ

( ,,´･ω･)ﾉ"(´っω･｀｡)

╮(╯▽╰)╭

o(*////▽////*)q

＞﹏＜

( ๑´•ω•) "(ㆆᴗㆆ)

颜文字

Emoji

小恐龙

花!