本文共 1214 字，大约阅读时间需要 4 分钟。

伙伴们有什么疑问， 或者我写的有什么纰漏可以和我说呀，评论或者私信都是可以的。相互交流。学的更快！！！

第一次写博客，，慌得很，先看源码压压惊吧 (￣_￣|||)

分析一波：

是一道反序列化的题，然后从ini_set能够看出来是包含session的类型，但是又不同于最最基础的那种session反序列化的题目。（这个先这样，，等我做做那种题目之后再来修改一下。。。）

这个题没有接收SESSION变量，那么就属于这个类型

没有$_SESSION变量赋值的题题

在PHP中有一个upload_process机制，会自动在$_SESSION中创建一个键值对，这个值刚好是我们用户可以控制的那部分，可以看下官方的描述

讲真的，我没看明白。但是我找到了他的名字，学工程的嘛，会用就行（找台阶）

当我们POST一个同名变量的时候，就能够添加一个我们可以控制键值的键值对了，嗯。

这就需要我们上传一个文件，同时POST一个与session.upload_process.name同名的变量，然后后端会自动将POST的这个变量进行序列化后，存储到session文件中。下次请求时就会反序列化这个session文件取出这个建，如果这个时候我们放入和取出这个session文件时用的session处理引擎不一样的话，就会出现任意代码执行的漏洞。

开始入手：

随便get一个phpinfo参数，先看看phpinfo有什么信息。

可以看到默认的session引擎时php_serialize但是题目使用的引擎时php。也就是我们放入的时候是用的php方法，取出来的时候用的php_serialize方法。 左边是局部变量，右边是全局变量

啰嗦的够多了，开始操作：

1.上传一个网页，POST那个同名的参数

2.burp操作改包

上传burp抓包，修改filename。。。这里这里，为什么是修改filename我也不清楚哎，，，等回头再看看

发包，就看到了。这里有几点要注意的地方： 1.语句后面的分号不要忘写了 2.burp中把反序列化里面的双引号转义一下，避免产生歧义

找到文件后，再找到目录就可以看到flag了。找目录的方法也有二：

一：用语句查询的方法来找

这里！！我找到为什么要修改filename了。。 。。。就是把filename赋值到session中，其实说起来也挺无语的，没有个说服力。。

而后，就这样，看图嘛🐎

用file_get_contents函数将文件内容写入一个字符串中，然后打印出来

二看phpinfo的信息了

上面那个是当前执行的脚本文件的目录。然后就也是刚刚那个操作，就出来了。 好啦，，妈呀，终于写✍（糊弄）完了 链接:：.

参考：https://www.cnblogs.com/zzjdbk/p/12995217.html