CTF_Web:php伪随机数mt_rand()函数+php_mt_seed工具使用

已于 2024-05-19 18:09:35 修改
阅读量9.9k 收藏 57
点赞数 19
分类专栏: CTF_Web 文章标签: web web安全 php
于 2022-04-10 17:29:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35493457/article/details/124080444
版权

CTF_Web:php伪随机数mt_rand函数漏洞

0x00 问题描述

最近在题目练习的时候遇到了一个伪随机数的例子,刚好丰富一下php类型的考点梳理,主要涉及mt_rand()函数、php_mt_seed种子爆破工具的使用等内容。

0x01 mt_rand函数

mt_rand()函数

mt_rand() 函数使用 Mersenne Twister 算法生成随机整数。
使用语法:mt_rand(); or mt_rand(min,max);,生成一个区间内的随机数。
其参数min默认为最小值0max默认为可生成的随机数最大值2147483647,由mt_getrandmax()函数获得。

mt_srand()函数

mt_srand() 函数播种 Mersenne Twister 随机数生成器。
提示:从 PHP 4.2.0 开始,随机数生成器自动播种,因此没有必要使用该函数。当不使用随机数播种函数srand时,php也会自动为随机数播种,因此是否确定种子都不会影响正常运行。

在php中每一次调用mt_rand()函数,都会检查一下系统有没有播种。(播种为mt_srand()函数完成),当随机种子生成后,后面生成的随机数都会根据这个随机种子生成。所以同一个种子下,随机数的序列是相同的,这就是漏洞点,我们先看两个例子。

<?PHP
mt_srand(0);
echo mt_rand();
echo mt_rand();
echo mt_rand();
?>

在上面的代码中,我们把随机数播种为0,每次运行都会获得相同的序列,这就是伪随机:

963932192
1273124119
1535857466

当我们去掉mt_srand()函数时,再次重复运行实例,系统会自动为rand函数播种,但也是播种一次。因此多次重复运行的结果也相同,为:

992978829
928748101
1380702626

因此在知晓一串随机序列的条件下,基于序列相同的seed爆破就是可能实现的。

0x02 CTF例题

<?php
include 'flag.php';
session_start();
$_SESSION['seed'] = rand(0,999999999);
function genStr($length, $sc = FALSE) {
    mt_srand($_SESSION['seed']);
    $rand_string = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
    $retStr = '';
    for ( $i = 0; $i < $length; $i++ ){
        $retStr .= substr($rand_string,mt_rand(0, strlen($rand_string) - 1), 1);
    }
    if ($sc === TRUE) {
        setcookie('key_is', $retStr);
    }
    return $retStr;
}
if (!isset($_SESSION['flag'])) {
    $key = genStr(16, TRUE);
    $_SESSION['flag'] = genStr(32);
}
if (strlen($_GET['key']) == 32) {
    if ($_GET['key'] === $_SESSION['flag']) {
        echo $FLAGG;  //这里输出flag
    }else{
        echo "咋回事,位数对了,key值不对啊,你别想忽悠我啊!\n";
    }
}else {
    echo "亲,我要32位的key,你的key不等于32位噢!\n";
}
if ($_GET['showcode'] == 1) {
    highlight_file(__FILE__);
}
?>

通过上面的代码可以发现,首先使用rand(0,999999999);函数确认种子,再通过生成的随机数序列在$rand_string中确认key值的内容。且keyflag的生成均使用了同一个mt_srand()播种。并将16位的key值通过cookie传递。
因此16位序列是我们所已知的,通过F12工具抓包查看key值:
在这里插入图片描述

key = GgEAeCi3GWROTQXg

至此题目源码分析完毕,只需使用 php_mt_seed工具得到seed值,再次生成对应的32位flag即可。

0x03 php_mt_seed工具使用

php_mt_seed是c语言编写的爆破随机数序列种子的工具。其项目官网为:https://www.openwall.com/php_mt_seed/
github地址为:https://github.com/openwall/php_mt_seed
在这里插入图片描述点击下载后,在shell中运行make命令。
在这里插入图片描述程序编译完成后,使用官方文档中的使用方法:

<?php
    $allowable_characters = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';
    $len = strlen($allowable_characters) - 1;
    $pass = $argv[1];
    for ($i = 0; $i < strlen($pass); $i++) {
      $number = strpos($allowable_characters, $pass[$i]);
      echo "$number $number 0 $len  ";
    }
    echo "\n";
    ?>

将我们的序列转换为 php_mt_seed可以识别的格式。
在这里插入图片描述然后使用

./php_mt_rand 42 42 0 61  6 6 0 61  40 40 0 61  36 36 0 61  4 4 0 61  38 38 0 61  8 8 0 61  29 29 0 61  42 42 0 61  58 58 0 61  53 53 0 61  50 50 0 61  55 55 0 61  52 52 0 61  59 59 0 61  6 6 0 61

命令获得种子。 seed=368872094
在这里插入图片描述

最后将种子代入生成key的函数中验证。

 <?php 

    $seed = 368872094;
    mt_srand($seed);
    $rand_string = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";

    $retStr = '';
    for ( $i = 0; $i < 32; $i++ ){
        $retStr .= substr($rand_string,mt_rand(0, strlen($rand_string) - 1), 1);
    }
    
    echo $retStr;


?> 
//GgEAeCi3GWROTQXgEhr2jfxIDSZequqG

结果为:
在这里插入图片描述

key = GgEAeCi3GWROTQXg
flag = GgEAeCi3GWROTQXgEhr2jfxIDSZequqG

与我们所分析的结果相同,成功获得flag。

0x04 参考文章

php随机函数mt_rand()产生的小问题大漏洞

星辰照耀你我
关注
专栏目录
GWCTF 2019]枯燥的抽奖
zxnimud5的专栏
09-12 545
php伪随机 <?php #这不是抽奖程序的源代码!不许看! header("Content-Type:text/html;charset=utf-8"); session_start(); if(!isset($_SESSION['seed'])){ $_SESSION['seed']=rand(0,999999999); } mt_srand($_SESSION['seed']); $str_long1="abcdefghijklmnopqrstuvwxyz0123456789ABCDEF...
php随机函数mt_rand()产生的小问题大漏洞
weixin_34255793的博客
11-22 4487
**说到随机函数的应用,作为一个菜鸟,理解的也不是很深刻,在这里之作为一个笔记来记录,以后慢慢将其掌握之后,再在内容上面进行加深。 随机函数的作用,常常是用来生成验证码、随机文件名、订单号,如果用来做安全验证的话常常用来生成加密key、token等等。** 一、常见的随机函数 1、rand() 常用的随机函数,默认生成0-getrandmax()之间的随机数,不过因为性能问题,已经被mt_rand...
php_mt_seed使用,php_mt_seed
weixin_33901449的博客
03-10 1640
This is a PHP mt_rand() seed cracker. In the most trivial invocationmode, it finds possible seeds given the very first mt_rand() outputafter possible seeding with mt_srand(). With advanced invocatio...
CTF伪随机爆破
csjjjd的博客
01-14 771
借用在rand()函数中,我们可以通过设置随机数种子来影响随机数的生成。例如,在rand()函数中加入了随机数种子编码后,每次运行程序将会生成同样的随机整序列。这个就是伪随机,因为种子是已知的。这道题实际上是一个伪随机,因为在随机数生成中,种子值是一个起始点,它用于初始化随机数生成器。如果使用相同的种子值,随机数生成器将生成相同的随机数序列。通过srand()函数设置随机数种子后,程序将会生成一个包含5个整随机数序列。这就是随机数种子的作用。要了解伪随机的爆破首先你的先知道什么是PHP种子,
PHP 伪随机
weixin_55190422的博客
09-23 174
PHP伪随机 以题为例 进来发现是朱一旦看不出来什么,所以我们查看网页源代码 发现里面有check.php文件我们进去查看发现php源代码 通过分析我们了解到要给num传入一个字符串让他等于str的值 我们先用python脚本进行爆破 生成了随机数接着我们利用脚本工具php_mt_seed生成私钥 私钥为seed后面的字 接着我们写PHP脚本 运行生成IeK7b1pbmp6gJ0UhZuQ2 这个字符串的值就是我们要的值了 ...
php伪随机
夏日 の blog
02-15 3371
目录函数介绍代码测试考点1.根据种子预测随机数2.根据随机数预测种子 函数介绍 mt_scrand() //播种 Mersenne Twister 随机数生成器。 mt_rand() //生成随机数 简单来说mt_scrand()通过分发seed种子,然后种子有了后,靠mt_rand()生成随机数 代码测试 <?php mt_srand(12345); echo mt_ra...
PHP生成伪随机
热门推荐
March
12-18 1万+
版本要求最低PHP7,如果对生成随机数要求比较多,可以选择使用zend-math、random-lib或random_compat库。(几乎所有PHP库可以在 https://packagist.org 搜索到) /** * 获取随机数字 * * @author 剑心 &amp;lt;[0x00gc@gmail.com]&amp;gt; * * @param int $size 以3...
phpmt_rand,phpmt_rand()随机数函数用法_PHP
weixin_42342010的博客
03-29 643
本文实例讲述了phpmt_rand()随机数函数用法。分享给大家供大家参考。具体分析如下:mt_rand() 使用 mersenne twister 算法返回随机整.语法:mt_rand(min,max)说明:如果没有提供可选参 min 和 max,mt_rand() 返回 0 到 rand_max 之间的伪随机,例如想要 5 到 15(包括 5 和 15)之间的随机数,用 mt_rand...
python 重定向 ctf_CTF web题型解题技巧 第四课 web总结
weixin_39615984的博客
12-10 750
以下内容大多是我在学习过程中,借鉴前人经验总结而来,部分来源于网络,我只是在前人的基础上,对CET WEB进行一个总结;----------------------------------------------------------------------------------------------------------------------工具集:基础工具:Burpsuite,pyt...
密码找回的伪随机php代码实现)
01-22
忘记密码时,php页面上伪随机码的实现。
CTFShow Web入门_爆破
qq_19533763的博客
04-01 1173
Web21 随便输入抓包 发现Base64加密 账号和密码用:隔开 使用BP构造payload爆破 下载官方提供的字典 把后缀名改为.zip即可打开 使用Custom iterator模式 第一部分 第二部分 第三部分使用字典 添加base64加密 关闭url编码 爆破完按length排序查看最小的回包 Web22 子域名爆破,爆破ctf.show 最终在vip.ctf.show的源码发现了flag Web23 error_reporting(0); include('fla
CTFshow web入门——爆破
小元砸的博客
01-24 4964
web 21 一.涉及工具: burp suit burp suit 使用教程 二.解题思路: 1.随便输一个密码和用户名抓包一下 2.base64解密一下发现账号密码的形式为 账号:密码,根据题目提示我们用自定义迭代器爆破,使用方法参考:Custom iterator的使用 注:下面爆破用的字典是题目所提供的 3.爆破出结果 web 22 一.涉及知识点: 子域名爆破(此题不能爆破出来)在线子域名爆破 二.解题思路: 直接点开View Hint(提示)即可得到答案 web 23 一.涉及工具: p
通过CTFShow例题掌握爆破方法
qq_54502707的博客
01-28 2985
大家好,这里是KOKO师傅~ 之前我们以CTFShow的例题对信息收集类WEB题目进行了针对练习,今天我们继续进行爆破模块的针对练习!
CTF中的伪随机
wo41ge的博客
11-13 1207
主要考察两个函数 mt_srand() mt_rand mt_rand()函数的默认范围是0到mt_getrandmax()之间的伪随机 有这么多 存在漏洞 相同的种子生成的随机数是相同的 推荐一个工具 看这里 所以 漏洞来了 知道种子后,可以确定输出伪随机的序列。 知道随机数序列,可以确定种子。 ...
PHP伪随机
最新发布
qq_51248658的博客
01-28 478
实际上就是说,当种子不变时,生成的随机数是不变的。这几天做题就遇到了这个考点,真的学到了。
PHP伪随机爆破
qq_45521281的博客
07-12 3482
基础介绍 随机数并不随机 首先需要声明的是,计算机不会产生绝对随机的随机数,计算机只能产生“伪随机”。其实绝对随机的随机数只是一种理想的随机数,即使计算机怎样发展,它也不会产生一串绝对随机的随机数。计算机只能生成相对的随机数,即伪随机伪随机并不是假随机数,这里的“伪”是有规律的意思,就是计算机产生的伪随机既是随机的又是有规律的。 怎样理解呢?产生的伪随机有时遵守一定的规律,有时不遵守任何规律;伪随机有一部分遵守一定的规律;另一部分不遵守任何规律。比如“世上没有两片形状完全相同的树叶”,这正是
CTF-Web25(php_mt_seed使用
weixin_47059164的博客
08-28 1070
在面对php_srand()中种子不确定的情况,可以使用工具php_mt_seed进行破解
phpmt_rand,php mt_rand函数怎么用
weixin_31631571的博客
03-24 774
php mt_rand()函数用于在指定范围内生成随机整,语法是“mt_rand();”或“mt_rand(min,max);”。如果没有指定参,则返回0到RAND_MAX之间的伪随机;如何指定参,则返回min到max之间(包括边界值)的随机整mt_rand()函数怎么用?mt_rand()函数在指定范围内使用 Mersenne Twister 算法生成随机整。语法:mt_rand(...
ctf题目Web_php_include
07-28
回答: 这个CTF题目是一个关于PHP文件包含漏洞的题目。在给定的代码中,使用了include函数来包含一个可控的$page变量。然而,通过使用strstr函数来过滤了包含"php://"的情况。\[1\]但是,我们可以通过大小写绕过strstr函数的限制来绕过这个过滤。\[2\]另外,通过观察URL,我们可以发现存在一个名为flag.php的文件。因此,我们可以构造一个payload来读取flag.php文件的内容,例如使用php://filter伪协议来进行base64编码并读取flag.php文件的内容。\[3\] #### 引用[.reference_title] - *1* [ctf-攻防世界-webWeb_php_include](https://blog.csdn.net/m0_62619559/article/details/121345424)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [ctf web 文件包含漏洞(例题)](https://blog.csdn.net/weixin_49298265/article/details/110356100)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星辰照耀你我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值