[GWCTF 2019]枯燥的抽奖

最新推荐文章于 2023-01-10 18:30:34 发布
最新推荐文章于 2023-01-10 18:30:34 发布
阅读量723 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45691294/article/details/108981726
版权

打开题目,发现是一个猜数的游戏
在这里插入图片描述
填入20位字符串,如果符合要求即可得到flag,但是此时只知道一部分hTo22O7vco
先查看页面源代码,发现存在check.php,访问得到了代码

<?php
#这不是抽奖程序的源代码!不许看!
header("Content-Type: text/html;charset=utf-8");
session_start();
if(!isset($_SESSION['seed'])){
$_SESSION['seed']=rand(0,999999999);
}

mt_srand($_SESSION['seed']);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
$str_show = substr($str, 0, 10);
echo "<p id='p1'>".$str_show."</p>";


if(isset($_POST['num'])){
    if($_POST['num']===$str){x
        echo "<p id=flag>抽奖,就是那么枯燥且无味,给你flag{xxxxxxxxx}</p>";
    }
    else{
        echo "<p id=flag>没抽中哦,再试试吧</p>";
    }
}
show_source("check.php");

满足条件if($_POST['num']===$str)即可获得flag
所以我们要看$str变量是如何生成的

$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}

但是发现这个字符串是通过 mt_rand函数随机生成的20个字符组成的
知识点 php伪随机数漏洞
漏洞在于mt_srand()这个函数,php中,mt_rand()生成的是一个伪随机数,是通过算法生成出来的,所以我们可以根据这个来进行破解,从而得到mt_srand()里的种子

根据那篇文章,我们需要将给出前十个密码解析成php_mt_seed需要的参数(参考文章已给出exp)
exp如下(php)

<?php
$pass_now = "hTo22O7vco";
$allowable_characters = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';

$length = strlen($allowable_characters) - 1;

for ($j = 0; $j < strlen($pass_now); $j++) {
    for ($i = 0; $i < $length; $i++) {
        if ($pass_now[$j] == $allowable_characters[$i]) {
            echo "$i $i 0 $length ";
            break;
        }
    }
}
?>
看到好多web都是用python 写的
再放上python写的exp

python脚本如下

str1 ='hTo22O7vco'
str2 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ"
result =''

length = str(len(str2)-1)
for i in range(0,len(str1)):
    for j in range(0,len(str2)):
        if str1[i] ==  str2[j]:
            result += str(j) + ' ' +str(j) + ' ' + '0' + ' ' + length + ' '
            break

print(result)

得到随机数
7 7 0 61 55 55 0 61 14 14 0 61 28 28 0 61 28 28 0 61 50 50 0 61 33 33 0 61 21 21 0 61 2 2 0 61 14 14 0 61
以上面生成的随机数为例,假设我们知道了第一个生成的随机数,那我们怎么预测种子呢?
那就要用到php_mt_seed这个工具了。
在这里插入图片描述
得到的seed为130073465,根据seed去得到密文就行了,要用php7.1及以上版本的

<?php
mt_srand(130073465);

$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo $str;
?>

在这里插入图片描述
在这里插入图片描述

沫忆末忆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
避免枯燥的FindViewById的工具类
12-17
本篇将详细介绍一个基于DOM4J库实现的工具类,帮助我们避免重复、枯燥的`findViewById`代码。 DOM4J是一个强大的Java XML API,它提供了一种灵活的方式来处理XML文档。在Android开发中,我们可以通过DOM4J解析布局...
2019年大学计算机专业实习报告范文.doc
11-23
总结:2019年大学计算机专业实习报告展示了实习生在实际工作中的学习与成长过程,包括技能应用、团队合作、问题解决和自我提升等方面,这些经验对未来的专业发展具有深远影响。实习不仅提供了实践平台,更是一个锻炼...
[GWCTF 2019]枯燥抽奖1
qq_63940076的博客
01-10 388
mt_rand()函数生成伪随机数与种子有关,需要先生成序列,将序列转换成PHP_mt_seed工具能理解的语言,进行逆向求出种子,再根据种子求出生成的伪随机数。看到了mt_rand()函数,代码审计发现是PHP的伪随机数。四个为一组,根据PHP_mt_seed工具使用方法可以得出种子。从官方WP找到了生成序列的脚本。再用种子可以得出伪随机字符串。枯燥抽奖,有多枯燥
让语法学习不再枯燥
08-19
让语法学习不再枯燥
2019年软件测试年终工作总结的范文.doc
11-23
- 虽然重复性工作可能看似枯燥,但其中往往隐藏着独特的挑战和机遇。通过细致的测试,可以发现潜在的、非预期的问题,提升软件质量。 7. **测试人员的角色**:测试人员不仅是问题的发现者,更是质量的保障者。他们...
[CISCN2019 华北赛区 Day2 Web1]Hack World
qq_45691294的博客
09-21 4145
打开题目是一个查询的表单,并且明确提示了存在flag表和flag字段,那这里应该考察SQL注入漏洞的利用 抓包提交数据,提交的ID应该就是注入点,接下来测试注入类型和注入方式 提交id=1 和 id=2 id=1 Hello, glzjin wants a girlfriend. id=2 Do you want to be my girlfriend? 当id不同时,查询到的数据也会发生改变,尝试几次输入后发现存在过滤,且注入类型应为盲注 先通过fuzz确定过滤掉了哪些内容 长度为482说明该数据
2020 上海市网络安全大赛 web
qq_45691294的博客
11-19 1661
文章目录千毒网盘in_array绕过变量覆盖联合注入布尔盲注hello注入点绕过与利用 千毒网盘 题目是后期复现的,无js,页面较丑 打开题目,直接看到一个表单,发现存在备份文件www.zip 发现index.php和code.php in_array绕过 先看code.php的getfile函数,此函数处理的是传入的参数进入数据库查询下载直链的过程,这里发现传入并没有经过任何的过滤,明显的存在SQL注入 public function getfile() {
[GYCTF2020]Ez_Express
qq_45691294的博客
10-27 1599
打开题目,看到登录注册的表单,在右边看到提示,需要使用ADMIN用户名登录 先注册一个号,然后登录进去,只有一个空白的页面,习惯性的查看页面源代码,发现在注释中有www.zip,存在备份文件,下载文件得到源码 关键源码在app.js和index.js中,直接开始代码审计吧 /route/index.js中用了merge()和clone(),必是原型链的问题了 原型链概念 在 Javascript,每一个实例对象都有一个prototype属性,prototype 属性 可以向对象添加属性和方法。 objec
[SUCTF 2018]MultiSQL
qq_45691294的博客
10-10 1417
打开题目,是一个页面,只有登录 注册功能可以正常使用 先注册一个账号,注册后自动登录,登录之后看到 在用户信息处可以查看到自己的信息 编辑头像处可以上传头像图片,可能存在文件上传漏洞 前端对文件后缀名进行了过滤,但是上传php文件,存入的依旧是图片文件 那再看看刚才的查看信息的页面,发现url如下 http://e0063ae7-b2ce-42cd-bf4b-9341c0e87bf9.node3.buuoj.cn/user/user.php?id=2 将id的参数改为1 存在越权,也可能存在SQL
[MRCTF2020]Ezpop_Revenge
qq_45691294的博客
10-17 1389
题目打开是个typecho博客,www.zip泄露,下载得到源码 看到flag.php可能是一个SSRF的题 <?php if(!isset($_SESSION)) session_start(); if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){ $_SESSION['flag']= "MRCTF{******}"; }else echo "我扌your problem?\nonly localhost can get flag!"; ?> 因为是一
[GKCTF2020]EZ三剑客-EzWeb
qq_45691294的博客
10-14 850
打开题目,直接看到一个表单 查看页面源代码,发现有一个注释 提交这个secret参数,看到网络配置信息 尝试访问了一下这个内网ip 173.244.225.10,发现回显了本页面,因此猜测可能是内网中有内容。 猜测可能存在是ssrf 扫描一下c段 ...
[LCTF]bestphp‘s revenge
qq_45691294的博客
09-25 844
知识点:session反序列化->soap(ssrf+crlf)->call_user_func激活soap类 题目直接提供了index.php和flag.php的源码 //index.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'
[RootersCTF2019]ImgXweb
qq_45691294的博客
09-28 825
题目里只发现了一个页面和登录注册的功能点 信息搜集并没有得到什么结果,我们先注册一个用户,admin用户显示已注册,注册一个用户名为MOYI的账号 登录成功后发现了一个文件上传的功能点 登陆上后。文件上传。不能传.htaccess类似的。但是php啥的都可以传,不解析 那么应该不是phpweb。java。也不像。估计是python。 然后session应该是jwt加密过的 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiTU9ZSSJ9.F-ZV3xo
[省信息安全技术大赛]Web4
qq_45691294的博客
10-26 726
打开题目,直接得到了源码  <?php show_source(__FILE__); function getKey($path){ $name = $path.md5($_SERVER["REMOTE_ADDR"]).'.php'; return $name; } echo $_SERVER["REMOTE_ADDR"]; $expire = $_POST['expire']; $path = $_POST['pa
[CISCN]2020
qq_45691294的博客
10-21 697
[CISCN2020]-easyphp <?php //题目环境:php:7.4.8-apache $pid = pcntl_fork(); if ($pid == -1) { die('could not fork'); }else if ($pid){ $r=pcntl_wait($status); if(!pcntl_wifexited($status)){ phpinfo();
[SUCTF 2019]Pythonginx
qq_45691294的博客
09-24 689
知识点:nginx配置文件路径 black hat一个议题 任意读取文件 这道题用的是blackhat议题之一HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization,blackhat这个议题的PPT链接如下: https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization.pdf
[GWCTF 2019]枯燥抽奖 1
最新发布
08-26
根据提供的源代码和引用的内容来看,[GWCTF 2019]枯燥抽奖 1是一道PHP伪随机数的题目。该题目中使用了mt_rand()函数生成伪随机数,并通过种子来控制生成的序列。通过审计代码,我们可以看到check.php是存在的,并且在其中进行了抽奖的逻辑判断。如果用户输入的num与生成的随机数str相等,则会显示抽奖成功的提示信息,否则会显示抽奖失败的提示信息。为了解决这道题目,可以使用提供的Python脚本来转换伪随机数生成的序列,从而得到正确的种子。具体的转换过程可以参考脚本中的代码实现。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [[GWCTF 2019]枯燥抽奖1](https://blog.csdn.net/qq_63940076/article/details/128634284)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [[GWCTF 2019]枯燥抽奖 1](https://blog.csdn.net/qq_50454266/article/details/115407565)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值