反序列化
图片.png
和往常一样,先进入网址。
这里我们可以看到上面的源代码。
unserialize($str) === "$KEY"
我们举个例子
$arr=array();
$arr['name']='张三';
$arr['age']='22';
$arr['sex']='男';
$arr['phone']='123456789';
$arr['address']='上海市浦东新区'; var_dump($arr);
//输出:
// array(5) {
// ["name"]=> string(6) "张三"
// ["age"]=> string(2) "22"
// ["sex"]=> string(3) "男"
// ["phone"]=> string(9) "123456789"
// ["address"]=> string(21) "上海市浦东新区" // }
//序列化:
$info=serialize($arr); var_dump($info);
//输出:
//string(140) "a:5:{s:4:"name";s:6:"张三";s:3:"age";s:2:"22";s:3:"sex";s:3:"男";s:5:"phone";s:9:"123456789";s:7:"address";s:21:"上海市浦东新区";}"
////////////////////////说明/////////////////////////////////
//**a:5标志序列化为array包含5个键值对,s:4标志内容为字符串包含4个字符。**//
$zhangsan=unserialize($info);
var_dump($zhangsan);
//输出:
// array(5) {
// ["name"]=> string(6) "张三"
// ["age"]=> string(2) "22"
// ["sex"]=> string(3) "男"
// ["phone"]=> string(9) "123456789"
// ["address"]=> string(21) "上海市浦东新区" // }
这里是反序列化
也即是说把$key反序列化一下我们会得到
s:7:D0g3!!!
我这里有个好玩的东西http://demo.php.cn/可以在线测评php
图片.png
因为是 $_GET的方式
所以我们在地址栏用get的输入格式就行了
http://120.79.33.253:9001/?str=s:7:"D0g3!!!"
这个就是我们需要的地址
黑体字就是我们需要的flag
图片.png
