User-Profile-Image
hankin
  • 5
请到[后台->外观->菜单]中设置菜单。
  • 分类
    • 靶机渗透
    • 计算机小技巧
    • 未分类
    • 数据结构
    • 内网渗透
    • 代码审计
    • XSS
    • WEB安全漏洞学习
    • Web
    • python
    • PHP
    • NodeJS
    • MYSQL
    • Misc
    • JavaScript
    • Docker
    • CTF相关知识点
    • CTFWP
    • Crypto
    • Cobalt Strike
  • 页面
  • 友链
    • 三哥的博客
    • Root师傅的博客
    • EDS师傅的博客
    • 天正哥的博客
    • 天尘翼师傅的博客
    • 熵增师傅的github
    • 信仰的博客
    • Jadore的博客
Help?

Please contact us on our email for need any support

Support
    首页   ›   CTFWP   ›   正文
CTFWP

PHP伪随机数

2020-04-14 15:06:24
71  0 0

php中重要的几个随机函数

  • rand() 不指定参数时,范围0-32767
  • mt_rand() 不指定参数时,范围0-2^32-1
  • srand() 给rand()函数播种
  • mt_srand() 给mt_srand()函数播种

个人理解: mt_srand(seed)这个函数的意思,是通过分发seed种子,然后种子有了后,靠mt_rand()生成随机数。

为什么生成随机数会一样呢?我们多次访问。可以看到再次循环的输出的时候它的随机数并没有改变,依然是红框中出现的数字

其实,这就是伪随机数的漏洞,存在可预测性。

生成伪随机数是线性的,可以理解为y=ax,x就是种子,知道种子和一组伪随机数不是就可以推y(伪随机数了吗),当然实际上肯定更加复杂。

我知道种子后,可以确定你输出伪随机数的序列。
知道你的随机数序列,可以确定你的种子。  

用到的是爆破,已经有写好的C脚本了。 下载地址:https://www.openwall.com/php_mt_seed/php_mt_seed-4.0.tar.gz,可放到kali下执行

kali下,进入目录,make  
time ./php_mt_seed 第一个随机数 

该脚本用于爆破出种子。

接下来以[GWCTF 2019]枯燥的抽奖一题为例深入学习php伪随机数问题

首先进入题目

在源代码中看到有check.php的存在,访问获得源码

<?php
#这不是抽奖程序的源代码!不许看!
header("Content-Type: text/html;charset=utf-8");
session_start();
if(!isset($_SESSION['seed'])){
$_SESSION['seed']=rand(0,999999999);
}

mt_srand($_SESSION['seed']);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
$str_show = substr($str, 0, 10);
echo "<p id='p1'>".$str_show."</p>";

if(isset($_POST['num'])){
    if($_POST['num']===$str){x
        echo "<p id=flag>抽奖,就是那么枯燥且无味,给你flag{xxxxxxxxx}</p>";
    }
    else{
        echo "<p id=flag>没抽中哦,再试试吧</p>";
    }
}
show_source("check.php");

代码理解:

首先mt_srand的种子是一个键为seed的session值,并且该值要求是在0到 999999999之间取得的一个随机整数,再接着进行20次循环对str变量进行拼接赋值。这其中了解一下substr的语法: substr(string,start,length) 函数返回字符串的一部分。

$str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1); 

所以这段代码就可以拆分两部分理解,首先通过mt_rand函数计算0到62之间任意一个整数减一。求得所得的值在str_long1变量的字符串中所在的位置对应的字符。注意这里的排序方式同数组,第一位是0。

再把str的值取前10位的值赋给str_show变量

最后我们通过post方式传递一个num值,如果与str变量的值相等,输出flag。

滤清思路后 先用脚本将伪随机数转换成php_mt_seed可以识别的数据,得出页面显示字符所用的随机数

str1='abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'
str2='yY8woJo2bZ'#是页面上显示的
res=''
for i in range(len(str2)):
    for j in range(len(str1)):
        if str2[i] == str1[j]:
            res+=str(j)+' '+str(j)+' '+'0'+' '+str(len(str1)-1)+' '
            break
print(res)

因为我们知道页面中给出的10位数只是其中一部分,所以我们可以通过这个已知去推出对应的随机数。

再用php_mt_seed-4.0进行爆破种子

可以看到得到483282717,但是需要php7.1.0以上版本运行,于是可以本地构造获得所有随机数。

<?php
mt_srand(483282717);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
$str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);
}
echo "$str";
?>

最后将得到的随机数填入得到flag

评论 (0)

点击这里取消回复。

欢迎您 游客  

近期文章
  • SUCTF 2019 Guess_game
  • Python pickle反序列化
  • [安洵杯 2019]easy_serialize_php
  • Session反序列化
  • 原生类序列化
近期评论
    文章归档
    • 2021年1月
    • 2020年12月
    • 2020年11月
    • 2020年9月
    • 2020年7月
    • 2020年6月
    • 2020年5月
    • 2020年4月
    • 2020年3月
    • 2020年2月
    • 2020年1月
    分类目录
    • Cobalt Strike
    • Crypto
    • CTFWP
    • CTF相关知识点
    • Docker
    • JavaScript
    • Misc
    • MYSQL
    • NodeJS
    • PHP
    • python
    • Web
    • WEB安全漏洞学习
    • XSS
    • 代码审计
    • 内网渗透
    • 数据结构
    • 未分类
    • 计算机小技巧
    • 靶机渗透
    功能
    • 登录
    • 项目feed
    • 评论feed
    • WordPress.org
    分类目录
    Copyright © 2021 网站备案号: 蒙ICP备20000552号-1
    smarty_hankin 主题. Designed by hankin
    主页
    页面
    博主
    purplet 管理员
    努力并有所方向
    157 文章 0 评论 21189 浏览
    测试
    测试