记一次PHP伪随机数漏洞

ctf

前言

​ 日常水群时看到的题目,刚看到的时候在写实验报告,所以大致看了一下,是php伪随机数漏洞,

下面具体写一下详细的解题过程。

mt_srand&mt_rand函数分析

​ 我们来看这两个函数,首先mt_srand(seed)通过分发seed种子,接着靠mt_rand()函数来生成随机数。

我们可以使用测试代码来看一下

1
2
3
4
5
<?php
mt_srand(012010);
echo mt_rand(); 

?>

运行测试后

然后我们就来多输出几次随机数,相信在下面的测试你就明白了这个伪随机数的漏洞

1
2
3
4
5
6
7
<?php
mt_srand(012010);
echo mt_rand().PHP_EOL; 
echo mt_rand().PHP_EOL;
echo mt_rand().PHP_EOL;
echo mt_rand().PHP_EOL;
?>

可以看到,我们运行了很多次,所以我们可以找的到规律,生成的随机数是相同的,这就是php伪随机数漏洞,即生成的随机数是可预测的。

题目分析

由于是在群内看到的题目,就不再分享题目链接。

题目需要的php_mt_seed工具包

链接: https://pan.baidu.com/s/1-ynym4lSSZdpYkPhSVsafw

提取码: xpgp

打开题目可以看到如下:

然后就查看了下源码,通过network看到了存在有check.php文件

然后访问下得到check.php的源码

我们在代码里看到了mt_srand和mt_rand两个函数

并且看到了mt_srand($_SESSION['seed'])可以知道session是用的随机数设置的。

解题思路

  • 通过编写python脚本爆破种子
  • 得到种子后带入源程序跑出20位的字符

python脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
import string
str1 = string.digits+string.letters

str2='Kr5MAbR71P'
str3 = str1[::-1]
length = len(str2)
res=''
for i in range(len(str2)):
    for j in range(len(str1)):
        if str2[i] == str1[j]:
            res+=str(j)+' '+str(j)+' '+'0'+' '+str(len(str1)-1)+' '
            break
print res

跑出php_mt_seed工具可识别的数据

将这串数据拿到php_mt_seed工具里跑一下

1
./php_mt_seed 46 46 0 61 27 27 0 61 5 5 0 61 48 48 0 61 36 36 0 61 11 11 0 61 53 53 0 61 7 7 0 61 1 1 0 61 51 51 0 61

然后将跑出来的种子带入到原始程序中跑出字符串

1
2
3
4
5
6
7
8
9
10
11
<?php
#version:php7.1.0+
mt_srand(173303578);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo $str;
?>

得到flag!