CTF之java伪随机数random函数破解 预测

某个后台访问之后，首先映入眼帘的只有一个登录框

抓包如下：

多了个空的csrf_token值，人工尝试弱密码，无果，小脑袋瓜装不了那么多字典。因为有源码，看看源码怎么说：

大概意思就是当cookie_token不等于空，并且等于csrf_token的时候，会去数据库判断有没有这个用户。否则就会创建一个密码随机，用户为admin的记录。

那接下来有两个思路：
1、爆破，也就9位数，让数据库填满admin的密码，到时候随你挑。
2、搞定这个伪随机
在师傅疯狂暗示下，我放弃了暴力美学，走上了第二条路，有大佬在，要什么自行车。

来看看random.nextInt()函数的源码：

public int nextInt() {
        return next(32);
    }

记住32这个数字，继续跟进

protected int next(int bits) {
        long oldseed, nextseed;
        AtomicLong seed = this.seed;
        do {
            oldseed = seed.get();
            nextseed = (oldseed * multiplier + addend) & mask;
        } while (!seed.compareAndSet(oldseed, nextseed));
        return (int)(nextseed >>> (48 - bits));
    }

顾名思义，oldseed就是前一次的随机值，nextseed就是下一次的随机值。然后通过oldseed、multiplier、addend、mask这四个值就可以计算nextseed，其中multiplier、addend、mask三个为常量：

    private static final long multiplier = 0x5DEECE66DL;
    private static final long addend = 
;
    private static final long mask = (1L << 48) - 1;

如果初始状态没有oldseed，则系统会给一个根据系统时间计算的初始值:

    public Random() {
        this(seedUniquifier() ^ System.nanoTime());
    }

所以系统一次调用，如果一直通过next()获取下一个伪随机数，就会出现这种情况：根据时间计算seed1，根据seed1计算seed2，根据seed2计算seed3…

至于计算方法就是伪随机数生成器，从下图中可以看到核心算法就是线性同余生成器：

接下来seed.compareAndSet(oldseed, nextseed)作用就是以原子的方式将旧的seed替换成新的seed，然后返回true。

protected int next(int bits) {
        long oldseed, nextseed;
        AtomicLong seed = this.seed;
        do {
            oldseed = seed.get();
            nextseed = (oldseed * multiplier + addend) & mask;
        } while (!seed.compareAndSet(oldseed, nextseed));
        return (int)(nextseed >>> (48 - bits));
    }

再接下来就是将新的seed右移16位（48减去你前面记住的那个数字32），然后返回，即我们最终得到的随机值。

是不是闻到了根据方程式和部分参数解题的味道，怎么解呢？

来看一下我们有什么

response.addCookie(new Cookie("CSRFTOKEN", String.valueOf(random.nextInt())));
response.addCookie(new Cookie("SECURE", "SECURE_" + random.nextInt()));
this.userService.createUser(new User("admin", String.valueOf(random.nextInt(268435456))));

所以，我们现在有：
随机值1，即oldseed右移16位后的值
随机值2，即nextseed右移16位后的值
然后求：
密码，即next next seed右移16位后的值

思路：
随机值1==》 左移16位，空出来的16个位置进行爆破==》使用伪随机数生成器生成新的seed== 》 右移16位== 》判断是否等于随机值2

这里就不重复造轮子了，参考了r1ngs写的，出处见参考链接，然后加了点新功能，本土化。。。

# python3
# 5wimming
a = 0x5DEECE66D
b = 0xB
mask = (1 << 48) - 1


def n2p(x):
    y = -x
    y ^= 2 ** 32 - 1 # 取反
    y += 1
    return y


def find_seed(x1, x2):
    if x1 < 0:
        x1 = n2p(x1)

    if x2 < 0:
        x2 = n2p(x2)

    seed = x1 << 16
    for i in range(2 ** 16):
        if ((a * seed + b) & mask) >> 16 == x2:
            return seed
        seed += 1


def next_seed(seed, bits=16):
    x = seed >> bits
    if '{:032b}'.format(x).startswith('1'):
        x ^= 2 ** 32 - 1
        x += 1
        return -x
    return x


def next_seed_with_bound(seed, bound):
    r = next_seed(seed, bits=17)
    m = bound - 1
    if m & bound == 0:
        r = (bound * r) >> 31
    else:
        return "没用到，自己写"
    if '{:032b}'.format(r).startswith('1'):
        r ^= 2 ** 32 - 1
        r += 1
        return -r
    return r


if __name__ == '__main__':
    x1 = 275553898
    x2 = -392744837

    seed1 = find_seed(x1, x2)
    seed2 = (a * seed1 + b) & mask
    seed3 = (a * seed2 + b) & mask
    print(next_seed(seed3))
    print(next_seed_with_bound(seed3, bound=268435456))

结果

对比结果

为什么会有负数，因为从多字节整数转换成少字节整数，高位直接砍掉，此时如果最高位为1，则为负数，最高位为0，则为整数，老补码了。

然后就是登录成功

参考：
http://hg.openjdk.java.net/jdk8/jdk8/jdk/file/tip/src/share/classes/java/util/Random.java
https://xz.aliyun.com/t/5284