$content = preg_replace('/ctfshow\{.+\}/i', 'ctfshow{<censored>}', $content); echo json_encode(['content' => $content]); 解题 代码里有$content = file_get_contents($page)file_get_contents和伪协议配合可以达到我们的效果php
password 的值不能相等,其实这点很好实现,因为反序列化后生成的 ctfShowUser 对象的属性是可以控制的,让 username 是任意字符串都可以 <?...true,1就是true php在反序列化时,底层代码是以;作为字段的分隔,以}作为结尾,并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现...