摘要：my first cms 搜索版本 跳转到登录页面 爆破出用户密码admin Admin123 Extensions > User Defined Tags -> Add User Defined Tag 一句话木马 Run拿到flag 全世界最简单的CTF 拿到源码 格式化 const expre 阅读全文

摘要：反序列化 [MRCTF2020]Ezpop 简单的pop 查看源码 用反序列化触发wakeup方法，preg_match将$this->source进行字符串正则匹配，$show1会被当成字符串 进而触发tostring tostring是把对象当成字符串调用时被触发， $show = new Sh 阅读全文

摘要：反序列化 漏洞原理： 通过构造一个包含魔术方法的类，然后在魔术方法中调用命令执行或代码执行函数，接着实例化这个类的一个对象 并将该对象序列化后传递给程序，当程序反序列化该对象时触发魔术方法从而执行命令或代码 serialize函数输出格式： NULL被序列化为：N Boolean型数据序列化为：b: 阅读全文

摘要：魔术方法 总结 __construct()，类的构造函数 __destruct()，类的析构函数 __call()，在对象中调用一个不可访问方法时调用 __callStatic()，用静态方式中调用一个不可访问方法时调用 __get()，获得一个类的成员变量时调用 __set()，设置一个类的成员变 阅读全文