ctf serialize 序列化和反序列化

Posted 2023-03-18

参考技术A 反序列化

和往常一样，先进入网址。

我们举个例子

这里是反序列化
也即是说把$key反序列化一下我们会得到

s:7:D0g3!!!

我这里有个好玩的东西 http://demo.php.cn/ 可以在线测评php

因为是 $_GET的方式
所以我们在地址栏用get的输入格式就行了
http://120.79.33.253:9001/?str=s:7 :"D0g3!!!"
这个就是我们需要的地址

黑体字就是我们需要的flag

序列化和反序列化

参考使用 类：

 

using System.IO;
using System.Runtime.Serialization;
using System.Runtime.Serialization.Formatters.Binary

class ConfigFileFactory
    {
        public static void SaveConfigurature()
        {
            IFormatter formatter = new BinaryFormatter();
            if (!Directory.Exists(FilePath.Instance.XmlConfigFilePath))
            {
                Directory.CreateDirectory(FilePath.Instance.XmlConfigFilePath); //文件路径

            }
            Stream stream = new FileStream(FilePath.Instance.XmlFullFileName, FileMode.OpenOrCreate, FileAccess.Write, FileShare.None);

            formatter.Serialize(stream, XXXXCLASS); //被序列化的类
            stream.Close();
        }

        public static SerializableSettingViewModel GetConfiguration()
        {
            Stream stream2 = new FileStream(FilePath.Instance.XmlFullFileName, FileMode.Open, FileAccess.Read, FileShare.None);
            IFormatter formatter = new BinaryFormatter();
            XXXXCLASS viewModel =  (XXXXCLASS)formatter.Deserialize(stream2); //反序列化的类
            stream2.Close();
            return viewModel;
        }
    }

其中 类中要标记为 可序列化 [Serializable]