攻防世界 Web 题解：Lottery 与 ics-05 漏洞分析

攻防世界的两个 Web 安全题目。Lottery 题目通过 PHP 弱类型比较漏洞，将数字数组替换为布尔值 true 绕过验证获取奖金。ics-05 题目利用文件包含读取源码，结合 IP 白名单限制和 preg_replace 函数的/e 修饰符执行系统命令，最终获取 flag。涉及知识点包括弱类型绕过、伪协议文件读取及正则表达式注入。

Kubernet发布于 2026/4/5更新于 2026/4/185 浏览

Lottery

打开靶场后发现加载缓慢，并提供了源码。该功能类似猜数字游戏，选对 7 个号码即可得到相应奖励。

注册后输入任意 7 个数字发现未中奖。尝试访问网站其他功能发现获取 flag 需要对应余额。

尝试使用抓包工具修改余额，但刷新页面后余额恢复原状，无法直接通过前端修改。

检查猜数字页面的 api.php 代码审计。核心逻辑中随机生成七位数字（random_win_nums），赋值给$win_number。判断传入数字与随机生成数字是否相等时使用了两个等号（==）进行弱类型比较。

代码如下

//部分代码
function random_num(){ 
    do { 
        $byte = openssl_random_pseudo_bytes(10, $cstrong); 
        $num = ord($byte); 
    } while ($num >= 250); 
    if(!$cstrong){ response_error('server need be checked, tell admin'); } 
    $num /= 25; 
    return strval(floor($num)); 
} 
function random_win_nums(){ 
    $result = ''; 
    for($i=0; $i<7; $i++){ 
        $result .= random_num(); 
    } 
    return $result; 
} 
function buy(){ 
    (); 
    (); 
     = []; 
     = []; 
     = (); 
     = ; 
    (=; <; ++){ 
        ([] == []){ 
            ++; 
        } 
    } 
     () { 
         :  = ; ; 
         :  = ; ; 
         :  = ; ; 
         :  = ; ; 
         :  = ; ; 
         :  = ; ; 
        :  = ; ; 
    } 
     +=  - ; 
    [] = ; 
    ([=>,=>, =>, =>, =>]); 
}

相关免费在线工具

curl 转代码

解析常见 curl 参数并生成 fetch、axios、PHP curl 或 Python requests 示例代码。在线工具，curl 转代码在线工具，online

Base64 字符串编码/解码

将字符串编码和解码为其 Base64 格式表示形式即可。在线工具，Base64 字符串编码/解码在线工具，online

Base64 文件转换器

将字符串、文件或图像转换为其 Base64 表示形式。在线工具，Base64 文件转换器在线工具，online

Markdown转HTML

将 Markdown（GFM）转为 HTML 片段，浏览器内 marked 解析；与 HTML转Markdown 互为补充。在线工具，Markdown转HTML在线工具，online

HTML转Markdown

将 HTML 片段转为 GitHub Flavored Markdown，支持标题、列表、链接、代码块与表格等；浏览器内处理，可链接预填。在线工具，HTML转Markdown在线工具，online

JSON 压缩

通过删除不必要的空白来缩小和压缩JSON。在线工具，JSON 压缩在线工具，online

<?php error_reporting(0); @session_start(); posix_setuid(1000); ?> <!DOCTYPE HTML> <html> <head> <meta charset="utf-8"> <meta name="renderer" content="webkit"> <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"> <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"> <link rel="stylesheet" href="layui/css/layui.css" media="all"> <title>设备维护中心</title> <meta charset="utf-8"> </head> <body> <ul> <li><a href="?page=index">云平台设备维护中心</a></li> </ul> <fieldset> <legend>设备列表</legend> </fieldset> <table></table> <script type="text/html">  <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开 | 关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}> </script> <script src="layui/layui.js" charset="utf-8"></script> <script> layui.use('table', function() { var table = layui.table, form = layui.form; table.render({ elem: '#test', url: '/somrthing.json', cellMinWidth: 80, cols: [ [ { type: 'numbers' }, { type: 'checkbox' }, { field: 'id', title: 'ID', width: 100, unresize: true, sort: true }, { field: 'name', title: '设备名', templet: '#nameTpl' }, { field: 'area', title: '区域' }, { field: 'status', title: '维护状态', minWidth: 120, sort: true }, { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true } ] ], page: true }); }); </script> <script> layui.use('element', function() { var element = layui.element; //导航的 hover 效果、二级菜单等功能，需要依赖 element 模块 //监听导航点击 element.on('nav(demo)', function(elem) { //console.log(elem) layer.msg(elem.text()); }); }); </script> <?php $page = $_GET[page]; if (isset($page)) { if (ctype_alnum($page)) { ?> <br /><br /><br /><br /> <div> <p><?php echo $page; die();?></p> <br /><br /><br /><br /> <?php }else{ ?> <br /><br /><br /><br /> <div> <p> <?php if (strpos($page, 'input') > 0) { die(); } if (strpos($page, 'ta:text') > 0) { die(); } if (strpos($page, 'text') > 0) { die(); } if ($page === 'index.php') { die('Ok'); } include($page); die(); ?> </p> <br /><br /><br /><br /> <?php }} //方便的实现输入输出的功能，正在开发中的功能，只能内部人员测试 if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') { echo "<br >Welcome My Admin ! <br >"; $pattern = $_GET[pat]; $replacement = $_GET[rep]; $subject = $_GET[sub]; if (isset($pattern) && isset($replacement) && isset($subject)) { preg_replace($pattern, $replacement, $subject); }else{ die(); } } ?> </body> </html>

攻防世界 Web 题解：Lottery 与 ics-05 漏洞分析

Lottery

更多推荐文章

相关免费在线工具

ics-05

总结

攻防世界 Web 题解：Lottery 与 ics-05 漏洞分析

Lottery

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具

ics-05

总结