[PHP知识库] [GWCTF 2019]枯燥的抽奖

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> [GWCTF 2019]枯燥的抽奖 -> 正文阅读

[PHP知识库][GWCTF 2019]枯燥的抽奖

打开环境，让我们猜号，还要猜中全部20位才能得flag？？！！

?看一下前端源码，看到个check.php：

访问一下果然有东西：

<?php
#这不是抽奖程序的源代码！不许看！
header("Content-Type: text/html;charset=utf-8");//防止页面乱码
session_start();//创建新会话或者重用现有会话
if(!isset($_SESSION['seed'])){
$_SESSION['seed']=rand(0,999999999);
}

mt_srand($_SESSION['seed']);//mt_rand()函数使用 Mersenne Twister 算法返回随机整数。
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);//substr函数是截取函数    
}
$str_show = substr($str, 0, 10);
echo "<p id='p1'>".$str_show."</p>";


if(isset($_POST['num'])){
    if($_POST['num']===$str){x
        echo "<p id=flag>抽奖，就是那么枯燥且无味，给你flag{xxxxxxxxx}</p>";
    }
    else{
        echo "<p id=flag>没抽中哦，再试试吧</p>";
    }
}
show_source("check.php");

这里重点就是这个mt_srand()函数,它的作用是给随机数发生器播种，播种会初始化随机数生成器。语法为mt_srand(seed)，其seed参数为必须。大多数随机数生成器都需要初始种子。在PHP中，因为自动完成，所以mt_srand()函数的使用是可选的。从 PHP 4.2.0 版开始，seed?参数变为可选项，当该项为空时，会被设为随时数。播种后mt_rand函数就能使用Mersenne Twister算法生成随机整数。

但是用这个函数时会存在一些问题，每一次调用mt_rand()函数的时候，都会检查一下系统有没有播种,(播种是由mt_srand()函数完成的)，当随机种子生成后，后面生成的随机数都会根据这个随机种子生成。所以同一个种子下随机生成的随机数值是相同的。同时，也解释了我们破解随机种子的可行性。如果每次调用mt_rand()函数都需要生成一个随机种子的话，那根本就没办法破解。

举个例：

在这里插入图片描述

在这里插入图片描述 ?

很容易发现生成的随机数是固定的，其实这就是伪随机数的漏洞，存在可预测性。生成伪随机数是线性的，你可以理解为y=ax,x就是种子，知道种子和一组伪随机数不是就可以推y(伪随机数了吗),当然实际上更复杂肯定。我知道种子后，可以确定你输出伪随机数的序列。

那么怎么破呢？

就可以用php_mt_seed，关于这个的介绍这个链接介绍更多：https://www.openwall.com/php_mt_seed/README

下载地址：https://www.openwall.com/php_mt_seed/

本题是给你随机数列，让你找到种子。要先按规则，想用php_mt_seed就要得到mt_rand（）的前十个值，下面是php脚本：

<?php
$pass_now = "xkcsYlwV6M";
$allowable_characters = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';

$length = strlen($allowable_characters) - 1;

for ($j = 0; $j < strlen($pass_now); $j++) {
    for ($i = 0; $i < $length; $i++) {
        if ($pass_now[$j] == $allowable_characters[$i]) {
            echo "$i $i 0 $length ";
            break;
        }
    }
}
?>

php_mt_rand 工具只能用于爆破mt_rand()函数产生的随机数的种子值，无论是否显式调用mt_srand()函数播种，但不能用于mt_rand(1,1000)这种指定范围的和rand函数的爆破

下载好后进入相应目录。第一次使用需要先输入make生成php_mt_seed文件,以后就不用输入了。使用./php_mt_seed + 随机数即可。(注意要root权限)细心地小伙伴会发现有时会出现好多预测出的种子，这是正常现象，我们只需逐一尝试下即可（一般情况下跑出来的种子不会很多）

我得到的是：640722684?

然后用下面的脚本：

<?php
mt_srand(种子);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo $str;
?>

得到：LpLQ4wrMLdWs5K3beFIu，输入得答案。

了解更详细参考：https://www.jianshu.com/p/607af0735aa8