当前位置：网站首页>[GWCTF 2019]枯燥的抽奖

[GWCTF 2019]枯燥的抽奖

2022-07-27 21:13:00 【茶经新读.】

[GWCTF 2019]枯燥的抽奖

f12查看源码发现了check.php

查看check.php发现了抽奖源码：

MkmGxMm3Ky

<?php
#这不是抽奖程序的源代码！不许看！
header("Content-Type: text/html;charset=utf-8");
session_start();
if(!isset($_SESSION['seed'])){
$_SESSION['seed']=rand(0,999999999);
}

mt_srand($_SESSION['seed']);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
$str_show = substr($str, 0, 10);
echo "<p id='p1'>".$str_show."</p>";


if(isset($_POST['num'])){
    if($_POST['num']===$str){x
        echo "<p id=flag>抽奖，就是那么枯燥且无味，给你flag{xxxxxxxxx}</p>";
    }
    else{
        echo "<p id=flag>没抽中哦，再试试吧</p>";
    }
}
show_source("check.php");

审计代码可得当满足（$_POST['num']===$str）的时候就会给flag，去看str满足的条件：

mt_srand($_SESSION['seed']);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}

发现str是通过mt_rand函数通过生成20个随机数得到的，并且这里不知道seed。这里存在伪随机数漏洞，伪随机数漏洞存在可预测性，这意味着：如果知道了种子，或者已经产生的随机数，都可能获得接下来随机数序列的信息。我们需要知道种子，然后把密文生成出来，这时我们需要先把随机数生成出来，str1在代码最上面已经给出，脚本小子火速出击：

str1 ='MkmGxMm3Ky'
str2 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ"
result =''

length = str(len(str2)-1)
for i in range(0,len(str1)):
    for j in range(0,len(str2)):
        if str1[i] ==  str2[j]:
            result += str(j) + ' ' +str(j) + ' ' + '0' + ' ' + length + ' '
            break

print(result)

（python脚本）运行即可得到随机数序列：48 48 0 61 10 10 0 61 12 12 0 61 42 42 0 61 23 23 0 61 48 48 0 61 12 12 0 61 29 29 0 61 46 46 0 61 24 24 0 61

这里我们利用php_mt_seed，它可以破解mt_rand函数seed：

php_mt_seed - PHP mt_rand() seed cracker

下载php_mt_seed 4.0

然后把压缩包放入kali，使用命令：tar -zxvf php_mt_seed-4.0.tar.gz，压缩得到文件夹

打开文件夹可能会出现：无法打开目录，权限不够的情况

这时需要再次执行命令：chomd 777 php_mt_seed-4.0（文件夹的名字）

执行完就发现，文件夹可以进去了，进去之后在当前页面打开终端先执行命令：make，生成php_mt_seed

这里因为我已经make过一次了，所以它显示我的php_mt_seed已经是最新，然后需要执行命令：./php_mt_seed 48 48 0 61 10 10 0 61 12 12 0 61 42 42 0 61 23 23 0 61 48 48 0 61 12 12 0 61 29 29 0 61 46 46 0 61 24 24 0 61（自己得到的随机数），得到种子：626348345

然后就是代码中给的脚本，修改一下即可：

<?php
mt_srand(626348345);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo $str;
?>

运行即得str