Web_php_unserialize解题思路

 

分析一下

__construct：当使用 new 操作符创建一个类的实例时，构造方法将会自动调用

__destuct：在销毁一个类之前执行执行 __wakeup，unserialize()` 会检查是否存在一个`__wakeup()` 方法。如果存在，则会先调用 `__wakeup` 方法，预先准备对象需要的资源。

 

 

检查变量var是否存在然后在base64解密 正则过滤了首字母为o或c，冒号，一个或多个数字，冒号，忽略大小写 成功提示stop hacking，失败反序列化var变量 程序结束会销毁新建的Demo对象，触发__destruct()。

这只要对Demo这个类进行序列化，base64加密之后，赋值给var变量进行get传参就行了。

但是

1.反序列化时调用，__wakeup会把$file重置成index.php。

2.序列化开头又字母O,这里被正则过滤了。

想想办法

绕过__wakeup()：

绕过__wakeup()是利用CVE-2016-7124漏洞，例如O:4:"Demo":2:{s:10:"\0Demo\0file";s:8:"fl4g.php";}（正常是O:4:"Demo":1:...），反序列化化时不会触发__wakeup()。 （就是只需要令序列化字符串中标识变量数量的值大于实 际变量即可绕过__wakeup()函数）。

 绕过正则：

使用+可以绕过preg_match() 正则匹配这里匹配的是 O:4，我们用 O:+4 即可绕过。

 

 构造payload