文章总结: 这篇文章是2022网鼎杯web925题目的WriteUp,主要考察PHP反序列化漏洞。文章提供了题目代码,展示了一个包含__get和__toString魔术方法的PHP类,并指出这是一道较为简单的题目。文章属于付费系列合集的一部分,适合CTF初学者和Web安全学习者,以及网络安全培训讲师使用。 综合评分: 65 文章分类: CTF,WEB安全,代码审计
2022网鼎杯 web925
原创
DatouYoo
大头SEC
2025年11月22日 19:10 广东
前言
本题较为简单,考察PHP反序列化
前言
本篇考点:PHP反序列化(简单)
本系列为“2022网鼎杯Web真题复现合集”的第7篇,全合集预计10余篇(至少10篇),部分包含Docker可复现环境及WriteUp合集(所有的可复现环境及附件链接均会放在最后),定价为998微信豆,约为99人民币。
适合对象:
- 刚入门CTF想看看历史真题、对大量历史资料无从下手的师傅
- 已学习1-2年Web安全领域的师傅学习
- 适合一些身在网络安全培训前线的讲师们,大可以付费合集之后将赛题放在一些CTFd、GZCTF等平台,将“网络安全奥运会”的真题传递给更多非安全主业的学员们,供学员们学习
购买须知:
- 因所有的Docker复现环境都是赛后自行制作,与2022年实际赛题环境可能有部分出入,但不影响核心考点
- 2022年网鼎杯赛题基本都是以web123这种数字命名,详细考点可以看上方题目清单
- 部分SQL注入、SSTI等内容因为是黑盒,所以不在上方题目清单中,到时视情况放出一些WriteUp
- 不提供无偿赛题疑难解答等服务~(只卖艺不卖身)
- 部分赛题较为简单,比如PHP反序列化,不会写的太详细
- 不提供在线实时运行的环境,每篇文章文末都会给出附件、Docker环境地址,可以自行启动
WriteUp
题目:
<?php
class abaaba{
protected $DoNotGet;
public function __get($name){
$this->DoNotGet->$name = "two";
return $this->DoNotGet->$name;
}
public function __toString(){
return $this->Giveme;
}
}
`
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论