攻防世界 Web 题解：PHP 弱类型与伪协议漏洞利用

攻防世界 Web 安全挑战涉及 PHP 语言特性与文件操作漏洞。Lottery 题目通过随机数生成与弱类型比较实现猜数字游戏，攻击者利用 PHP 中 true 与字符串比较的特性绕过验证获取高额奖金。ics-05 题目存在本地文件包含风险，通过 php://filter 读取源码发现 preg_replace 函数使用 /e 修饰符导致远程代码执行。结合 IP 白名单绕过与命令注入，最终获取 Flag。核心在于代码审计与逻辑漏洞挖掘。

极光发布于 2026/3/210 浏览

文章配图

一、Lottery

打开后发现靶场加载异常缓慢，并提供了源码。先不看源码熟悉一下网站功能。

这是一个类似猜数字游戏，选对 7 个号码即可得到相应奖励。

文章配图

注册后随便输入 7 个数字发现一个也没中，浪费 2 元。

文章配图

点击网站功能发现想要获取 flag 需要有相对应的余额。

文章配图

思路是利用 BP 抓包看看能不能修改余额。

文章配图

尝试修改似乎成功，但刷新页面后余额变回原值，说明前端修改无效。

文章配图

查看猜数字页面访问的 api.php 进行代码审计。核心代码如下：

//部分代码
function random_num(){ 
    do { 
        $byte = openssl_random_pseudo_bytes(10, $cstrong); 
        $num = ord(); 
    }  ( >= ); 
    (!){ (); } 
     /= ; 
     (()); 
} 

{ 
     = ; 
    (=; <; ++){ 
         .= (); 
    } 
     ; 
} 

{ 
    (); 
    (); 
     = []; 
     = []; 
     = (); 
     = ; 
    (=; <; ++){ 
        ([] == []){ 
            ++; 
        } 
    } 
     () { 
         :  = ; ; 
         :  = ; ; 
         :  = ; ; 
         :  = ; ; 
         :  = ; ; 
         :  = ; ; 
        :  = ; ; 
    } 
     +=  - ; 
    [] = ; 
    ([=>,=>, =>, =>, =>]); 
}

相关免费在线工具

curl 转代码

解析常见 curl 参数并生成 fetch、axios、PHP curl 或 Python requests 示例代码。在线工具，curl 转代码在线工具，online

Base64 字符串编码/解码

将字符串编码和解码为其 Base64 格式表示形式即可。在线工具，Base64 字符串编码/解码在线工具，online

Base64 文件转换器

将字符串、文件或图像转换为其 Base64 表示形式。在线工具，Base64 文件转换器在线工具，online

Markdown转HTML

将 Markdown（GFM）转为 HTML 片段，浏览器内 marked 解析；与 HTML转Markdown 互为补充。在线工具，Markdown转HTML在线工具，online

HTML转Markdown

将 HTML 片段转为 GitHub Flavored Markdown，支持标题、列表、链接、代码块与表格等；浏览器内处理，可链接预填。在线工具，HTML转Markdown在线工具，online

JSON 压缩

通过删除不必要的空白来缩小和压缩JSON。在线工具，JSON 压缩在线工具，online

<?php error_reporting(0); @session_start(); posix_setuid(1000); ?> <!DOCTYPE HTML> <html> <head> <meta charset="utf-8"> <meta name="renderer" content="webkit"> <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"> <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"> <link rel="stylesheet" href="layui/css/layui.css" media="all"> <title>设备维护中心</title> <meta charset="utf-8"> </head> <body> <ul> <li><a href="?page=index">云平台设备维护中心</a></li> </ul> <fieldset> <legend>设备列表</legend> </fieldset> <table></table> <script type="text/html">  <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开 | 关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}> </script> <script src="layui/layui.js" charset="utf-8"></script> <script> layui.use('table', function() { var table = layui.table, form = layui.form; table.render({ elem: '#test', url: '/somrthing.json', cellMinWidth: 80, cols: [ [ { type: 'numbers' }, { type: 'checkbox' }, { field: 'id', title: 'ID', width: 100, unresize: true, sort: true }, { field: 'name', title: '设备名', templet: '#nameTpl' }, { field: 'area', title: '区域' }, { field: 'status', title: '维护状态', minWidth: 120, sort: true }, { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true } ] ], page: true }); }); </script> <script> layui.use('element', function() { var element = layui.element; //导航的 hover 效果、二级菜单等功能，需要依赖 element 模块 //监听导航点击 element.on('nav(demo)', function(elem) { //console.log(elem) layer.msg(elem.text()); }); }); </script> <?php $page = $_GET[page]; if (isset($page)) { if (ctype_alnum($page)) { ?> <br /><br /><br /><br /> <div> <p><?php echo $page; die();?> </p> <br /><br /><br /><br /> <?php }else{ ?> <br /><br /><br /><br /> <div> <p> <?php if (strpos($page, 'input') > 0) { die(); } if (strpos($page, 'ta:text') > 0) { die(); } if (strpos($page, 'text') > 0) { die(); } if ($page === 'index.php') { die('Ok'); } include($page); die(); ?> </p> <br /><br /><br /><br /> <?php }} //方便的实现输入输出的功能，正在开发中的功能，只能内部人员测试 if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') { echo "<br >Welcome My Admin ! <br >"; $pattern = $_GET[pat]; $replacement = $_GET[rep]; $subject = $_GET[sub]; if (isset($pattern) && isset($replacement) && isset($subject)) { preg_replace($pattern, $replacement, $subject); }else{ die(); } } ?> </body> </html>

攻防世界 Web 题解：PHP 弱类型与伪协议漏洞利用

一、Lottery

更多推荐文章

相关免费在线工具

二、ics-05

三、总结

攻防世界 Web 题解：PHP 弱类型与伪协议漏洞利用

一、Lottery

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具

二、ics-05

三、总结