记一次PHP伪随机数漏洞
前言
日常水群时看到的题目,刚看到的时候在写实验报告,所以大致看了一下,是php伪随机数漏洞,
下面具体写一下详细的解题过程。
mt_srand&mt_rand函数分析
我们来看这两个函数,首先mt_srand(seed)通过分发seed种子,接着靠mt_rand()函数来生成随机数。
我们可以使用测试代码来看一下
1 |
|
运行测试后
然后我们就来多输出几次随机数,相信在下面的测试你就明白了这个伪随机数的漏洞
1 |
|
可以看到,我们运行了很多次,所以我们可以找的到规律,生成的随机数是相同的,这就是php伪随机数漏洞,即生成的随机数是可预测的。
题目分析
由于是在群内看到的题目,就不再分享题目链接。
题目需要的php_mt_seed工具包
链接: https://pan.baidu.com/s/1-ynym4lSSZdpYkPhSVsafw
提取码: xpgp
打开题目可以看到如下:
然后就查看了下源码,通过network看到了存在有check.php文件
然后访问下得到check.php的源码
我们在代码里看到了mt_srand和mt_rand两个函数
并且看到了mt_srand($_SESSION['seed'])
可以知道session是用的随机数设置的。
解题思路
- 通过编写python脚本爆破种子
- 得到种子后带入源程序跑出20位的字符
python脚本
1 | import string |
跑出php_mt_seed工具可识别的数据
将这串数据拿到php_mt_seed工具里跑一下
1 | ./php_mt_seed 46 46 0 61 27 27 0 61 5 5 0 61 48 48 0 61 36 36 0 61 11 11 0 61 53 53 0 61 7 7 0 61 1 1 0 61 51 51 0 61 |
然后将跑出来的种子带入到原始程序中跑出字符串
1 |
|
得到flag!