看题目是反序列化的,反序列化应该是有点像python的数组转JSON,因为PHP我记得是运行时语言(?好像是这样叫,有可能加个分号什么的可以执行命令
打开只有一只可爱的胡桃。
直接开扫
flag.php进去空白的
根据我的百度seo经验 robots.txt一般有货 robots.txt是让搜索引擎爬虫看的
找到题目了
O:4:”wllm”:2:{s:5:”admin”;s:5:”admin”;s:6:”passwd”;s:3:”ctf”;}
因为不是new 一个对象 而是直接反序列化 所以_construct 构造函数不会执行
可以手搓序列化 : O 类名字符数 类名后面的是属性
得到flag