第三题 统一门派 题目进去是一个ruoyi管理系统 虚晃的点 若依管理系统有好几个洞，题目给的看上去是2020版本的ruoyi若依管理系统历史漏洞通过都试了一下，但是好像不太行后端是jackson，2021护网期间爆出了一个0day，但是没有pocswagger--api管理页面信息泄露猜测秘钥，进一步爆破目录，爆破api，尝试未授权访问结合了半天…

web6-考核 题目类型 题目来自星盟ctf训练平台 是一道纯正的phar反序列化与代码审计结合的题目 关于phar反序列化 首先要做phar反序列化的话，得好好的补一下unserialize()的课了 做的时候要心里有数，得知道反序列化的时候触发哪些魔法方法，序列化的时候触发哪些魔法方法 我是这样理解的，本质上phar反序列化是跟unserial…