l3m0n

摘要： 前言 反序列化可以控制类属性，无论是private还是public lemon这个类本来是调用，normal类的，但是现在action方法在evil类里面也有，所以可以构造pop链，调用evil类中的action方法。 注意的是，protected $ClassObj = new evil();是不 阅读全文