php伪随机漏洞----台州市赛一道web题

已于 2023-09-30 16:00:13 修改
阅读量411 收藏
点赞数
分类专栏: ctf 文章标签: php 前端 linux
于 2023-09-30 11:06:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73973498/article/details/133414448
版权

主角函数

  • mt_srand()

  • mt_rand()

mt_srand(seed)函数通过分发seed种子,依靠mt_rand()使用 Mersenne Twister算法返回随机整数。

但是此种随机属于伪随机,如果种子不变,在第二次运行程序生成的随机数序列会与第一次相同,因此产生的随机数实际上是可以预测的。

具体可以看下面这篇文章:

https://blog.csdn.net/qq_58784379/article/details/121715072

话不多说,开始今天的例题复现:

 <?php
error_reporting(0);
$Seed = str_split(uniqid(),10)[1];  //生成随机数种子
extract(getallheaders());            //获取请求头信息
mt_srand($Seed);                        //播种
$flag = str_split(file_get_contents("/flag"));     //读取flag文件并将每个字符放入数组
$result = "";
foreach ($flag as $value){
    $result = $result . chr(ord($value)+mt_rand(1,2));  //遍历flag并将每一个字符加上1或2
}
if (isset($Answer)){

    if ($Answer == substr($result,0,strlen($Answer))){    //用于判断flag
        echo "wow~";
    }else{
        echo "no~";
    }
}else{
    highlight_file(__FILE__);
    echo "no~";
}  no~

        大致的意思就是将flag简单加密,每一个字符加上1或2,通过answer与加密后的flag比较产生的返回值,来一次读取flag。由上面内容可知,我们只需知道随机数种子,就能知道mt_rand(1,2)每次产生的到底是1还是2,那我们该如何知道随机数种子呢,uniqid也是产生随机数并且我们不能预测。这时候,extract(getallheaders())这个函数就显得很由蹊跷了。了解变量覆盖的人都懂extract函数的实力。

extract函数会把数组中的键值当作变量名,value当作变量的值,若变量名不存在,则创建这样的变量,若存在,则覆盖先前的值,因此可以执行变量覆盖。

而gettallheaders()这个函数刚好会将请求头信息变成数组输出,类似于这样:

Array

(

[0] => HTTP/1.1 200 OK

[Date] => Sat, 29 May 2004 12:28:14 GMT

[Server] => Apache/1.3.27 (Unix) (Red-Hat/Linux)

[Last-Modified] => Wed, 08 Jan 2003 23:11:55 GMT

[ETag] => "3f80f-1b6-3e1cb03b"

[Accept-Ranges] => bytes

[Content-Length] => 438

[Connection] => close

[Content-Type] => text/html

)

因此答案就呼之欲出了,我们只需要添加seed和answer到header中,就会自动覆盖原先seed和answer的值,做到seed可控。下面贴一下payload脚本:

M0no10gue
关注
专栏目录
〖Python零基础入门篇(60)〗 - 随机模块 - random
易编橙 · 终身成长社群,相遇已是上上签!
03-31 4万+
该章节我们来学习一下 Python 中非常简单但也非常有用的模块 ---> random ,此模块主要用于生成随机数。接下面我们就来了解一下 random 模块中最常见的几种方法。
PHP生成伪随机
tt745的博客
02-09 196
版本要求最低PHP7,如果对生成随机数要求比较多,可以选择使用zend-math、random-lib或random_compat库。(几乎所有PHP库都可以在https://packagist.org搜索到) /** *获取随机数字 * *@author剑心<[0x00gc@gmail.com]> * *@paramint$size以32位系统最大int支持为准,范围1-9 * *@returnint */ function...
php伪随机
夏日 の blog
02-15 3364
目录函数介绍代码测试考点1.根据种子预测随机数2.根据随机数预测种子 函数介绍 mt_scrand() //播种 Mersenne Twister 随机数生成器。 mt_rand() //生成随机数 简单来说mt_scrand()通过分发seed种子,然后种子有了后,靠mt_rand()生成随机数 代码测试 <?php mt_srand(12345); echo mt_ra...
CTF_Webphp伪随机数mt_rand()函数+php_mt_seed工具使用
AFCC_的博客(Web_Dog)
04-10 9789
CTF_Webphp伪随机数mt_rand函数漏洞0x00 问描述0x01 mt_rand函数0x02 CTF例0x03 php_mt_seed工具使用0x04 参考文章 0x00 问描述 最近在目练习的时候遇到了一个伪随机数的例子,刚好丰富一下php类型的考点梳理,主要涉及mt_rand()函数、php_mt_seed种子爆破工具的使用等内容。 0x01 mt_rand函数 mt_rand()函数 mt_rand() 函数使用 Mersenne Twister 算法生成随机整数。 使用语法:m
PHP可预测的伪随机数 :[GWCTF 2019]枯燥的抽奖
小学生的博客
09-01 513
我想一道应该是这样的 看到伪随机数。尚不清楚PHP版本信息 按7处理。我想我忘记怎么用这个工具了。需要翻github文档。
一道简单php反序列化与命令执行的再认识——绿盟杯2021 flag在哪里
Mrs_H的博客
10-24 524
前言 最近做了很多比目,而且都是我认为学的不错的PHP反序列化目。但结果却是被暴打,现在新颖的目类型,以及利用方法是都是我之前没有学到的。有些本应该会的目也会因为粗心大意没有细心去解决问。说多了,还是自己太菜了。咱们接下来上正菜。 正文 (以下的解思路来自于末初大佬) 下面是目的源代码 <?php error_reporting(0); <?php error_reporting(0); class begin{ public $file; public $mo
漏洞复现】JumpServer伪随机密码重置漏洞[CVE-2023-42820]
2201_75756681的博客
12-27 1660
大概就是Jumpserver的一个第三方库django-simple-captcha中使用random函数的生成伪随机数,random函数通过一个初始化的随机种子来进行生成随机数,但是使用的初始化种子的值不变的话,那么后续生成的随机数的值和顺便也不会变,导致验证码随机字符串code可以被推测出来。python poc.py -t http://ip:port --email admin@mycomany.com(账户邮箱) --seed [第一张验证码图片的值] --token [后面token的值]
【愚公系列】2024年03月 《CTF实战:从入门到提升》 009-Web安全入门(PHP文件包含漏洞
最新发布
时光隧道
03-01 5万+
PHP文件包含漏洞是指在PHP代码中存在安全漏洞,允许攻击者包含并执行恶意文件或代码。PHP文件包含漏洞通常发生在以下两种情况下:动态文件包含:当PHP代码使用动态输入来包含文件时,攻击者可能通过构造恶意输入来包含并执行任意文件。这可能会导致攻击者执行远程代码、读取服务器上的敏感文件,或者执行其他恶意操作。本地文件包含:当PHP代码使用本地文件路径来包含文件时,攻击者可能通过修改文件路径参数来包含并执行任意文件。这可能会导致攻击者读取服务器上的敏感文件,或者执行其他恶意操作。
WEB漏洞-文件操作
weixin_46544151的博客
04-26 2053
目录 31、文件操作之文件包含漏洞全解 一、本地文件包含代码测试——原理 1.无限制包含漏洞文件 ​2.有限制文件包含漏洞 二、远程文件包含代码测试——原理 1.无限制 2.有限制 三、各种协议流提交流测试-协议 四、某CMS程序文件包含利用-黑盒(ekucms) 五、CTF-南邮大学,i春秋百度杯真-白盒 1.南邮CTF 2.i春秋-CTF 31、文件操作之文件包含漏洞全解 一、本地文件包含代码测试——原理 1.无限制包含漏洞文件 在phpstudy根目录下创建inc
php】mt_rand 伪随机漏洞
BrosyveryOK的博客
09-26 1667
php伪随机漏洞由于 mt_srand(seed) 函数和 mt_rand() 函数产生。在执行 mt_rand() 函数生成随机数之前,先要执行 mt_srand() 函数分发种子,使 mt_rand(seed) 函数能够生成随机数,但是此处生成的随机数实际上是伪随机的。
php extract 变量覆盖,变量 覆盖漏洞----$$
weixin_35949857的博客
03-10 813
变量覆盖漏洞经常引发变量覆盖漏洞的函数有:extract(),parsestr()和importrequestvariables()和$$(可变变量)$$可变变量引起的变量覆盖漏洞一、我们先来查看源代码进行分析1、Include 调用了flag.php文件2、$_200,$403 定义两个参数,以及参数值。3、接着是两个判断语句,判断访问页面的方法是否为post方法和有没有参数flag。...
PHP常见函数漏洞
Elite的博客
04-11 3286
常见的PHP特性(bug)总结,干货满满哦
php的变量覆盖漏洞前提,PHP中的变量覆盖漏洞深入解析
weixin_36282704的博客
03-25 355
1.extract()变量覆盖1.extract()extract() 函数从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。该函数返回成功设置的变量数目。extract(array,extract_rules,prefix)参考引用:https://www.runoob.com/php/func-ar...
php extract 漏洞,PHP Zip Extract方法拒绝服务漏洞
weixin_39777404的博客
03-12 228
发布日期:2010-12-10更新日期:2010-12-10受影响系统:PHP PHP 5.3.3PHP PHP 5.3.2PHP PHP 5.3.1PHP PHP 5.3PHP PHP 5.2 - 5.3.2不受影响系统:PHP PHP 5.3.4PHP PHP 5.2.15描述:----------------------------------------------------------...
PHP7下 rand问
一二三四吾
03-23 4459
rand(1,2222222222) 报错信息为:rand() expects parameter 2 to be integer, float given从错误提示中我们不难发现rand第二个参数想要一个int类型的参数,而传入的是float类型的. 出错原因:上面参数显然已经超出了int取值的最大范围,PHP本身为弱类型语言,将传入的参数当做了float传入了函数因此才有了这个报错问.而此类
PHP 函数漏洞总结
4ct10n
03-09 4万+
总结了常见的PHP函数漏洞,希望对大家有用
CTF中常见的PHP函数漏洞
渗透、攻防、CTF、编程
07-04 2561
1.弱类型比较 2.MD5 compare漏洞 PHP在处理哈希字符串时,如果利用”!=”或”==”来对哈希值进行比较,它把每一个以”0x”开头的哈希值都解释为科学计数法0的多少次方(为0),所以如果两个不同的密码经过哈希以后,其哈希值都是以”0e”开头的,那么php将会认为他们相同。 常见的payload有 0x01 md5(str) QNKCDZO 240610708 s878926199a s155964671a s214587387a...
PHP变量覆盖漏洞
wangjian1012的博客
06-01 3399
$flag='xxx';  extract($_GET); if(isset($shiyan))      { $content=trim(file_get_contents($flag));  if($shiyan==$content)      { echo'ctf{xxx}'; } else{ echo'Oh.no';} } 构造flag=1&shiyan=
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值