qq_62989306的博客

在31行，$serialize_info 是对 $_SESSION 序列化并且通过 filter 函数过滤后的序列字符串。38、39行file_get_contents读取的是反序列化后的img的值，所以我们要控制 $_SESSION 序列化字符串里的img这个的值为d0g3_f1ag.php。第三个if有个 file_get_contents ，那应该就是要去读取 d0g3_f1ag.php 这个文件的内容了。显而易见，img的值是d0g3_f1ag.php的base64编码。函数用于销毁给定的变量。

分析源代码，我们知道题目对num进行了过滤，可是没有说num不能包含字母。说明前端服务器是对num进行了字母的过滤的。对于后端也就是代码的过滤，我们相对容易绕过。CL和TE直接导致前端转发的服务器400，而且完整转发了post包给后端。两个CL直接导致前端转发的服务器400，而且完整转发了post包给后端。搜集网上的wp，有两种解法：http走私、PHP的字符串解析特性。，所以就绕过了前端，同时后端经过转换。：返回指定目录中的文件和目录的数组。，num前面加了一个空格。重点：绕过前端的过滤！

小白一看就懂！！！那么要绕过这个匹配，就需要config.php后面不允许有其他的字符出现，但是我们又需要传参。，就可以读取到config.php的文件内容了。所以可以写一个脚本，测试出能绕过这个正则的。知道这两个的作用后，如果我们发送。跑完发现所有的不可见字符都可以！点击source可以看到源码。发现不太可能利用咧 ~返回路径中的文件名部分。