当前位置: 首页 > 原创新闻 > 如果没有 unserialize ,你还能反序列化吗

如果没有 unserialize ,你还能反序列化吗

发表于:2021-08-27 15:23 作者: 王大美女 阅读数(3681人)

image.png 

 


 每周五固定节目又来了!倍受期待的《Weekly CTF》系列之<第二十八周 | phar>它在同一时间又见面了,这是一个免费的课程且每周有更新,大家可以多多关注。

 

先来看看题目的描述:

image.png 

好的,又是一道反序列化的题。鉴于实验室的实验量已经很大,这种基础知识点基本全覆盖到了,机智的我直接在官网搜索关键字“phar”,果然有相关实验,而且还是一个有writeupCTF题,内心狂喜

 

image.png 

 

这下不用拐弯去要线索了,直接甩出一个链接就可以让你们通过自学解出这道题,正美滋滋时看到实验状态为未开放……原来这个课程还有别的实验没写完,上线时间未定。哦豁这表示只有我能看到,心情由狂喜逐渐转为平静。

 

不过不要灰心,既然是PHP的题,把关键词换成PHP一样可以找到相关信息。实验室里关于PHP有一个课程《PHP函数漏洞审计》,里面关于安全特性专门写过三个实验,其中就有伪协议,且实验内容就是从大量CTF赛题源码中抽取出来的,其它还有代码审计、危险函数之类的实验。现在就是串起知识点的时候,从前学过的零散技能总会在某个时刻派上用场,以前经常会看到学习者问:“我学了这个实验有什么用呢?在别的场景也用不上。”这个问题其实就是太急功近利了,如果是操作性的东西那么直接百度更快,但原理方面的东西只能靠系统学习基础知识,一个实验能讲到的知识点可能只有一两个,但实际场景就需要用到多个知识点了。这就是多练习多学习的用处,靠平时的沉淀去应对复杂的环境。

 

image.png 

 

最后回到主题,从题目和描述看基本就能确定解题方向了,所以没有去要线索,毕竟大佬只会淡淡地来一句:有手就行。没有头绪的同学可以在稍晚一点去知名学习网站哔哩哔哩搜搜关键字,或许会有惊喜发现。率先做出来的也可以自己发布writeup或者解题视频,万一被官方看上说不定有小奖励呢!

 

下周我们同一时间见! 

image.png 

 

链接直达: https://www.yijinglab.com/expc.do?ec=ECIDaafa-ce0f-4f84-9e09-90f35fe0e2ee