• [GWCTF 2019]枯燥的抽奖

    前置知识:

    1.什么是伪随机数

    一句话概括:可预测的随机数

    2.函数mt_rand()存在伪随机数伪造

    官方文档的示例:

    2. echo mt_rand() . "\n";
    3. echo mt_rand() . "\n";
    4.  
    5. echo mt_rand(5, 15);
    6. ?>

    以上例程的输出类似于:

    1604716014

    1478613278

    6

    3.利用工具 php_mt_seed

    链接:GitHub - openwall/php_mt_seed: PHP mt_rand() seed cracker

    clone到本地之后,要make一下

    mt_rand的算法从PHP 3.0.6开始就一直在变化,php_mt_seed 4.0 支持以下几个大的版本: PHP 3.0.7 to 5.2.0PHP 5.2.1 to 7.0.xand PHP 7.1.0+

    具体要用哪个版本工具会提示你:

    图示案例中提示使用php 7.1以上的版本来伪造随机数

    小试身手

    测试代码:

    2. // php 7.2
    3.  
    4. function white_list() {
    5.  
    6.     return mt_rand();
    7.  
    8. }
    9.  
    10. echo white_list(), "\n";
    11.  
    12. echo white_list(), "\n";
    13.  
    14. echo white_list(), "\n";

    假设我们现在是白名单其中的一员,且我们的白名单字符串为1456004143能否获取其他人的白名单字符串?

    输入命令:

    ./php_mt_seed 1035656029

    得到回显

    然后使用mt_srand() 还原种子:

    2.  
    3.  
    4. mt_srand(1810951568);//手工播种
    5.  
    6. echo mt_rand() . " ";
    7. echo mt_rand() . " ";
    8. echo mt_rand() . " ";

    得到回显,成功拿到其他白名单。

    正是因为伪随机数存在伪造的情况,所以伪随机数不用于session的生成,secret的生成等待

    解题:

    进入页面:

    给了我们一部分的字符串

    发现有一个check.php,访问后得到源码:

    1.  
    2. #这不是抽奖程序的源代码!不许看!
    3. header("Content-Type: text/html;charset=utf-8");
    4. session_start();
    5. if(!isset($_SESSION['seed'])){
    6. $_SESSION['seed']=rand(0,999999999);
    7. }
    8.  
    9. mt_srand($_SESSION['seed']);
    10. $str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
    11. $str='';
    12. $len1=20;
    13. for ( $i = 0; $i < $len1; $i++ ){
    14.     $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
    15. }
    16. $str_show = substr($str, 0, 10);
    17. echo "
      ".$str_show."
      "      ;
    18.  
    19.  
    20. if(isset($_POST['num'])){
    21.     if($_POST['num']===$str){
    22.         echo "
      抽奖,就是那么枯燥且无味,给你flag{xxxxxxxxx}
      "      ;
    23.     }
    24.     else{
    25.         echo "
      没抽中哦,再试试吧
      "      ;
    26.     }
    27. }
    28. show_source("check.php");

    这里使用了mt_rand()函数。但是这里生成字符串用到了abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ一整串字符串。不是用数字,所以我们要使用脚本还原成数字再利用工具破解

    我们已经有了这段字符的前十个字母: lNWTvHufgV

    我们捋一捋这个代码的逻辑:(括号为代码的行数)

    1.生成种子 (1-9)

    2.设置生成的字符(10-12)

    3.生成长度为20的随机字符(13-15)

    其中$str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1); 的意思就是截取$str_long1的某个字符

    贴上脚本:(生成字符的和解密的都放在一起了)

    2.  
    3. /* 生成解密序列  第一个脚本
    5. $pass_now = "lNWTvHufgV";
    7. $allowable_characters = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';
    9. $len = strlen($allowable_characters) - 1;
    12. for($j = 0; $j < strlen($pass_now); $j++)
    14. {
    16.    for ($i = 0; $i < $len; $i++) {
    18.        if($pass_now[$j] == $allowable_characters[$i])
    20.        {
    22.            echo "$i $i 0 61 ";
    24.            break;
    26.        }
    28.    }
    30. }
    31. // 第一个脚本
    32. */
    33.  
    34. /* 生成伪造字符串
    35. // 第二个脚本
    36. function user_password($length = 20)
    37. {
    39.     $allowable_characters = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';
    41.     $len = strlen($allowable_characters) - 1;
    43.     $pass = '';
    45.     for ($i = 0; $i < $length; $i++) {
    47.         $pass .= $allowable_characters[mt_rand(0, $len)];
    49.     }
    51.     return $pass;
    53. }
    55. mt_srand(184172544);
    57. echo user_password(), "\n";
    58. // 第二个脚本
    59. */

    使用的时候把相应的地方取消注释

    解释一下脚本的构造原理:

    1.$allowable_characters 是题目给的生成的序列,而且要注意长度

    2.两个for循环找字母生成的所在位置

    3.echo "$i $i 0 61 "; 这么构造是因为使用工具的时候若有多个参数,每四个一组, 前两个参数表示mt_rand第一次输出的区间,后两个参数表示mt_rand输出的区间 所以前两个就是都是$i后面两个就是$allowable_characters 的长度有关,这里长度为62,所以是0 61

    使用第一个脚本生成解密序列:

    可以看到seed=184172544

    利用第二个脚本解密

    得到flag

  • 相关阅读:
    【BurpSuite】插件开发学习之retire-js
    TOOLLLM: FACILITATING LARGE LANGUAGE MODELS TO MASTER 16000+ REAL-WORLD APIS
    Leetcode刷题详解——使用最小花费爬楼梯
    【Java知识体系】Redis实用教程,深入原理
    07. 算法之一致性哈希算法介绍
    前后端分离前端部署方案是什么?
    vue3 Driver.js 页面分步引导
    3.获取元素
    深入研究一下mysql
    持续集成部署-k8s-深入了解 Pod:生命周期
  • 原文地址:https://blog.csdn.net/qq_64201116/article/details/126841972