本文分析了Hack The Box上的一个web题目，涉及在线教育平台的商城模块。通过对gRPC和Flask服务的分析，发现了利用链。修改DebugService参数后触发命令执行，最终构造恶意请求成功反弹shell并获取flag。