ctf serialize 序列化和反序列化

反序列化

图片.png

和往常一样，先进入网址。

这里我们可以看到上面的源代码。

unserialize($str) === "$KEY"

我们举个例子

$arr=array();
 $arr['name']='张三';
 $arr['age']='22'; 
$arr['sex']='男'; 
$arr['phone']='123456789'; 
$arr['address']='上海市浦东新区'; var_dump($arr)； 
//输出： 
// array(5) {
 // ["name"]=> string(6) "张三" 
// ["age"]=> string(2) "22"
 // ["sex"]=> string(3) "男" 
// ["phone"]=> string(9) "123456789" 
// ["address"]=> string(21) "上海市浦东新区" // } 
//序列化： 
$info=serialize($arr); var_dump($info);
 //输出：
 //string(140) "a:5:{s:4:"name";s:6:"张三";s:3:"age";s:2:"22";s:3:"sex";s:3:"男";s:5:"phone";s:9:"123456789";s:7:"address";s:21:"上海市浦东新区";}" 
////////////////////////说明///////////////////////////////// 
//**a：5标志序列化为array包含5个键值对，s：4标志内容为字符串包含4个字符。**// 

$zhangsan=unserialize($info); 
var_dump($zhangsan);
 //输出：
 // array(5) { 
// ["name"]=> string(6) "张三"
 // ["age"]=> string(2) "22"
 // ["sex"]=> string(3) "男" 
// ["phone"]=> string(9) "123456789" 
// ["address"]=> string(21) "上海市浦东新区" // }

这里是反序列化
也即是说把$key反序列化一下我们会得到

s:7:D0g3!!!

我这里有个好玩的东西http://demo.php.cn/可以在线测评php

图片.png

因为是 $_GET的方式
所以我们在地址栏用get的输入格式就行了
http://120.79.33.253:9001/?str=s:7:"D0g3!!!"
这个就是我们需要的地址

黑体字就是我们需要的flag

图片.png