mt_rand()伪随机数漏洞

最近在做一道关于种子爆破的题目,有关mt_rand()这个函数,也是我的第一篇博客

伪随机数

所谓伪随机数,可以理解为可预测性的,生成伪随机数是线性的,比如mt_rand()这个函数,如果知道他的分发seed种子,然后种子有了后,靠mt_rand()生成随机数。

题目

mt_rand()伪随机数漏洞

关键代码

<?php
#这不是抽奖程序的源代码!不许看!
header("Content-Type: text/html;charset=utf-8");
session_start();
if(!isset($_SESSION['seed'])){
$_SESSION['seed']=rand(0,999999999);
}

mt_srand($_SESSION['seed']);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
$str_show = substr($str, 0, 10);
echo "<p id='p1'>".$str_show."</p>";


if(isset($_POST['num'])){
    if($_POST['num']===$str){x
        echo "<p id=flag>抽奖,就是那么枯燥且无味,给你flag{xxxxxxxxx}</p>";
    }
    else{
        echo "<p id=flag>没抽中哦,再试试吧</p>";
    }
}
show_source("check.php");

根据代码可知是使用mt_srand()生成20位随机数,并且知道随机数的前10位

这时我们可以用到一款工具php_mt_seed*(PHP mt_rand()种子破解程序)*

具体解法是先用脚本将伪随机数转换成php_mt_seed可以识别的数据

贴上脚本
str1 = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'
str2 = 'liG57uc3Ls'
str3 = str1[::-1]
res = ''
for i in range(len(str2)):
    for j in range(len(str1)):
        if str2[i] == str1[j]:
            res += str(j) + ' ' + str(j) + ' ' + '0' + ' ' + str(len(str1) - 1) + ' '
            break
print(res)

运行结果mt_rand()伪随机数漏洞

然后使用php_mt_seed工具,需要先进行编译(推荐使用win子系统kali,一些需要kali的小程序就不需要开虚拟机了)

切换到php_mt_seed文件夹下shift+右键选择在此处打开Linux shell(L)

make编译一下mt_rand()伪随机数漏洞
运行即可得到结果

mt_rand()伪随机数漏洞

我们即可得到满足条件的seed:
seed = 0x320b6b85 = 839609221 (PHP 7.1.0+)
爆破出伪随机数和php版本.

然后改写源码,生成完整字符串
<?php
mt_srand(839609221);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo "<p id='p1'>".$str."</p>";
运行结果

mt_rand()伪随机数漏洞

即可得出完整的20位随机数

提交得flag

mt_rand()伪随机数漏洞

本题结束

上一篇:java – 如何确定性地从X / Y坐标生成伪随机模式?


下一篇:monkey测试