php伪随机数 ctf,从一道ctf题目理解rand()随机函数

最新推荐文章于 2022-01-28 17:20:55 发布
最新推荐文章于 2022-01-28 17:20:55 发布
阅读量935 收藏
点赞数
文章标签: php伪随机数 ctf

本帖最后由 yechen123 于 2018-12-16 12:43 编辑

先上传附件

c557529e2ea4bb8d5cb558b7b5575102.gif

random.rar

(2.76 KB, 下载次数: 19)

2018-9-25 21:23 上传

点击文件名下载附件

下载积分: 吾爱币 -1 CB

没有cb的看这里 链接: https://pan.baidu.com/s/19O8WkgqHt7HhsuXTht85Zw 提取码: vsy7

先说一下rand()和srand()函数

一般用法是给srand传给一个种子  种子是系统时间

然后用rand产生随机数

看一下rand和srand的代码

[Asm] 纯文本查看 复制代码void srand(int seed)

{

holdrand=seed;

}

int rand()

{

holdrand=holdrand*0x000343FD+0x00269EC3;

return(holdrand>>0x10)&0x7FFF;

}

可以看出这只是一个伪随机函数 由于一般传给srand的是系统时间 而用户打开软件的时间不确定 所以可以看成随机

但是如果传给srand的并不是系统时间 而是一个确切的数 那么就有可能 能预测rand给出的值

举例

[Asm] 纯文本查看 复制代码int main()

{

srand(1);

printf("%d\n", rand());

printf("%d\n", rand());

printf("%d\n", rand());

printf("%d\n", rand());

printf("%d\n", rand());

}

这个得出的结果是

55fd2b2273b5a8b4531f72773c469d6e.gif

11.png (11.83 KB, 下载次数: 0)

2018-9-25 21:33 上传

然后我们自己仿写一个srand函数和rand函数

[Asm] 纯文本查看 复制代码int main()

{

int hold = 1;

hold = hold*0x000343FD+0x00269EC3;

printf("%d\n", (hold>>0x10)&0x7fff);

hold = hold*0x000343FD+0x00269EC3;

printf("%d\n", (hold>>0x10)&0x7fff);

hold = hold*0x000343FD+0x00269EC3;

printf("%d\n", (hold>>0x10)&0x7fff);

hold = hold*0x000343FD+0x00269EC3;

printf("%d\n", (hold>>0x10)&0x7fff);

hold = hold*0x000343FD+0x00269EC3;

printf("%d\n", (hold>>0x10)&0x7fff);

return 0;

}

结果

55fd2b2273b5a8b4531f72773c469d6e.gif

22.png (16.99 KB, 下载次数: 0)

2018-9-25 21:38 上传

可以看出结果是一样的

那么就表明 如果我们知道seed的值

那么就能预测rand产生的值

开始解析题目

这是一道64位系统下linux的题目

用IDA打开

55fd2b2273b5a8b4531f72773c469d6e.gif

33.png (81.69 KB, 下载次数: 0)

2018-9-25 21:40 上传

可以看到有两个循环

这两个循环中里面有sleep函数

主要是想影响你分析时间

接下来看重点

先输入username和password

在经过五个函数

[Asm] 纯文本查看 复制代码sub_4008C1(username); // 限制username长度 只能为8或者12

sub_400901(username);

sub_4009B2(username); // 只能为小写或者_

sub_400A33(username, passwrod);

return sub_400C23(username, passwrod);

先分析第一个

[Asm] 纯文本查看 复制代码__int64 __fastcall sub_4008C1(__int64 username)

{

int i; // [rsp+1Ch] [rbp-4h]

for ( i = 0; i <= 100 && *(i + username); ++i )

;

return sub_400866(i);

}

__int64 __fastcall sub_400866(int i)

{

__int64 result; // rax

if ( 4 * (i >> 2) != i || 4 * (i >> 4) == i >> 2 || !(i >> 3) || (result = (i >> 4), result) )

{

puts("Wrong username or password!!!\n");

exit(0);

}

return result;

}

不断循环  一直循环到username结尾 也就是 i就是username长度

在进入sub_400866 这个函数

这段判断代码可以写一个脚本解密一下

[Asm] 纯文本查看 复制代码int result;

for (int i=0; i<100; ++i)

{

if (4 * (i >> 2) != i || 4 * (i >> 4) == i >> 2 || !(i >> 3) || (result = i >> 4, result))

{

continue;

}

printf("%d\n", i);

}

55fd2b2273b5a8b4531f72773c469d6e.gif

44.png (9.19 KB, 下载次数: 0)

2018-9-25 21:45 上传

也就是说 username长度只能为8 或者12

再看第二个函数

[Asm] 纯文本查看 复制代码signed __int64 __fastcall sub_400901(signed int *username)

{

signed __int64 result; // rax

__int64 v2; // [rsp+18h] [rbp-18h]

__int64 v3; // [rsp+20h] [rbp-10h]

__int64 v4; // [rsp+28h] [rbp-8h]

v2 = *username; // 第一个

v3 = username[1];

v4 = username[2];

if ( v2 - v3 + v4 != 0x70667A78

|| v3 + 2 * (v4 + v2) != 0x22F241C1FLL

|| (result = 0x31CD156AC3A69DC4LL, v3 * v4 != 0x31CD156AC3A69DC4LL) )

{

puts("Wrong username or password!!!\n");

exit(0);

}

return result;

}

这里主要是解一个三元一次方程组

解方程组在这里不解释

需要注意的是形参声明是signed int *username

是四个字节的 所以在

v2 = *username;                               // 第一个

v3 = username[1];

v4 = username[2];

中 v2是username前面四个字节

v3是中间四个字节

v4是后面四个字节

可以预测 username长度为8

还有一点需要注意 就是linux下大端小端的问题

比如abcd(61626364)

在内存中存储是64636261

最后解出来

v2 = 0x6d737469  换成字母就是 msti  倒序过来就是itsm

v3 = 0x6f726265  orbe  ebro

v4 = 0x72656874 reht  ther

那么username就是 itsmebrother

再看下一个函数

[Asm] 纯文本查看 复制代码__int64 __fastcall sub_4009B2(__int64 username)

{

__int64 result; // rax

int i; // [rsp+1Ch] [rbp-4h]

for ( i = 0; ; ++i )

{

result = *(i + username); // 找一遍字母

if ( !result )

break;

if ( (*(i + username) <= 96 || *(i + username) > 122) && *(i + username) != 95 )

{

puts("Wrong username or password!!!\n");

exit(0);

}

}

return result;

}

这个倒是比较简单

主要是判断输入是不是小写和_

再看下一个

[Asm] 纯文本查看 复制代码__int64 __fastcall sub_400A33(_DWORD *username, _DWORD *password)

{

int v2; // ST1C_4

int v3; // ST20_4

int v4; // ST24_4

int v5; // ST28_4

int v6; // ST2C_4

__int64 result; // rax

int i; // [rsp+18h] [rbp-28h]

for ( i = 0; *(password + i); ++i )

{

if ( (*(password + i) <= 96 || *(password + i) > 122)

&& (*(password + i) <= 64 || *(password + i) > 90)

&& (*(password + i) <= 47 || *(password + i) > 57) )// 只能大写 小写 数字

{

puts("Wrong username or password!!!\n");

exit(0);

}

}

srand(username[1] + *username + username[2]);

v2 = *password;

if ( v2 - rand() != 0x16F48AF6 )

{

puts("Wrong username or password!!!\n");

exit(0);

}

v3 = password[1];

if ( v3 - rand() != 0x200ADA1C )

{

puts("Wrong username or password!!!\n");

exit(0);

}

v4 = password[2];

if ( v4 - rand() != 0x37774C4 )

{

puts("Wrong username or password!!!\n");

exit(0);

}

v5 = password[3];

if ( v5 - rand() != 0x5FC38E35 )

{

puts("Wrong username or password!!!\n");

exit(0);

}

v6 = password[4];

result = (v6 - rand());

if ( result != 0xAECBAF5 )

{

puts("Wrong username or password!!!\n");

exit(0);

}

return result;

}

第一个循环判断password大小写和数字

然后调用srand函数 seed是username[1] + *username + username[2]

前面已经得知username的值

所以可以预测rand的值

好了  昨晚的问题解决了

这个是linux下的程序  所以在windows下调用rand和linux可能有些不同

直接写代码预测rand产生的值

55fd2b2273b5a8b4531f72773c469d6e.gif

2333.png (79.49 KB, 下载次数: 0)

2018-9-26 17:35 上传

爆了个警告 不理他

直接运行

最后rand产生的值时

0x000000005664AD74

0x00000000283E9D1A

0x000000006EE9F96C

0x00000000036FC1FF

0x00000000665B8A42

可以得到password的值为

6d59386a

48497736

72616e30

63335034

71484537

写脚本解一下

[Asm] 纯文本查看 复制代码>>> i = "6d59386a4849773672616e306333503471484537"

>>> for q in range(0, len(i), 2):

... flag += chr(int(i[q:q+2], 16))

...

得到

mY8jHIw6ran0c3P4qHE7

在拼一下 得到的passw3ord为

j8Ym6wIH0nar4P3c7EHq

Ma Daniel
关注
CTF_Web:php伪随机mt_rand()函数+php_mt_seed工具使用
AFCC_的博客(Web_Dog)
04-10 1万+
CTF_Web:php伪随机mt_rand函数漏洞0x00 问描述0x01 mt_rand函数0x02 CTF0x03 php_mt_seed工具使用0x04 参考文章 0x00 问描述 最近在题目练习的时候遇到了一个伪随机的例子,刚好丰富一下php类型的考点梳理,主要涉及mt_rand()函数php_mt_seed种子爆破工具的使用等内容。 0x01 mt_rand函数 mt_rand()函数 mt_rand() 函数使用 Mersenne Twister 算法生成随机。 使用语法:m
CTF-PHP特性知识点总结
zji
07-16 806
系列文章目录 提示:来自CTFshow题目 文章目录系列文章目录来自ctfshow的所有题目总结一、intval()函数二、多行匹配3.== 弱类型与路径问4.md5()5.三目运算符的理解+变量覆盖6. in_array()函数7.is_numeric()函数优先级 前置需要学习参考 php中=与区别 来自ctfshow的所有题目总结 一、intval()函数 例子1 例子1 if(preg_match("/[0-9]/", $num)){ die("no no no!");
php伪随机 ctf,php伪随机
weixin_39673947的博客
03-10 569
前言之前打CTF的时候就有一道,一个关键的点就是预测随机,根据前一次给的随机,预测出下一次的随机。今天在看《白帽子》的时候就重点看了下,就顺便记录一下正文php里两个重要的随机函数rand() //不指定参时,范围0-32767md_rand() //不指定参时,范围0-2^32-1srand() //给rand()函数播种mt_srand() //给mt_srand(...
php伪随机 ctf,[GWCTF 2019]枯燥的抽奖
weixin_34632164的博客
03-10 465
题目一览直接看源码,发现输入的值会被POST的check.php:访问一下Check.php,给了源码:分析吧。分析:PHP伪随机伪造#这不是抽奖程序的源代码!不许看!header("Content-Type: text/html;charset=utf-8");session_start();if(!isset($_SESSION[‘seed‘])){$_SESSION[‘seed‘]=ran...
一天一道ctf 第45天(php伪随机
scrawman的博客
07-29 513
[GWCTF 2019]枯燥的抽奖 查看源码发现check.php,直接访问获得题目代码 2vRheEpPK8 <?php #这不是抽奖程序的源代码!不许看! header("Content-Type: text/html;charset=utf-8"); session_start(); if(!isset($_SESSION['seed'])){ $_SESSION['seed']=rand(0,999999999); } mt_srand($_SESSION['seed']); $str_l
php伪随机 ctf,有没有人怀疑过 rand()函数得到的随机并不随机
weixin_39594457的博客
03-10 555
我下载了国外某权威抽奖网站的 300 万期开奖号码的据,然后自己用 rand()根据开奖规则随机产生了一些号码作为开奖号码,也是 300 万期,分析某个值比如 9 隔多长时间出现一次的概率,发现有较为明显的差别:这是彩票网站统计的据:90--1--0.0004% (意思是隔 90 期才出现 1 次,概率 0.0004%)89--0--0%88--0--0%87--1--0.0004%86--...
python 重定向 ctf_CTF web型解技巧 第四课 web总结
weixin_39615984的博客
12-10 774
以下内容大多是我在学习过程中,借鉴前人经验总结而来,部分来源于网络,我只是在前人的基础上,对CET WEB进行一个总结;----------------------------------------------------------------------------------------------------------------------工具集:基础工具:Burpsuite,pyt...
CTFPHP常见漏洞及利用(未完待续)
qq_34106499的博客
01-25 5289
总结ctf中出现的php漏洞及利用
命令执行类型CTF题目总结
Lelouch_E的博客
11-25 1413
命令执行类型CTFphp命令执行buu Online Tool禁止套娃 php命令执行 buu Online Tool 一段php代码审计: 大致意思是获取x-forward-for头后与glzjin拼接创建文件夹,将传入参host通过escapeshellarg和escapeshellcmd方法转义后,转到之前创建的文件夹目录,执行nmap命令。 如果两方法以上述顺序执行会有绕过漏洞 传入的参是:172.17.0.2‘ -v -d a=1 经过escapeshellarg处理后变成了’17
通过CTFShow例掌握爆破方法
qq_54502707的博客
01-28 2995
大家好,这里是KOKO师傅~ 之前我们以CTFShow的例对信息收集类WEB题目进行了针对练习,今天我们继续进行爆破模块的针对练习!
php end 上传 ctf,mt_rand()/文件上传/phar协议/文件包含--C1ctf2017
weixin_39633102的博客
03-28 296
我把题目简化了一下,去掉命令执行部分,主要剩下标四个知识点。题目界面:题目代码:链接关键代码:$type = array('gif','jpg','png');mt_srand((time() % rand(1,100000)%rand(1000,9000)));echo mt_rand();if (isset($_POST['submit'])) {$check = getimagesize(...
CTF中的PWN——srand()/rand()漏洞(栈溢出)
壊壊的诱惑你的博客
11-16 4938
摘要: 本以为自己栈溢出学的不错了,挑战了一下攻防世界的PWN高手进阶,发现栈溢出还是有很多相关的漏洞,今天总结一下srand()函数的漏洞。 srand()/rand(): 简单介绍一下这两个函数rand()函数是使用线性同余法的,它并不是真的随机,因为其周期特别长,所以在一定范围内可以看成随机的。 srand()为初始化随机发生器,用于设置rand...
php伪随机爆破种子
m0_46607055的博客
11-15 4005
一、前言 ctf中有很多php随机题目,考察方式一般如下: 给定一个随机,求产生随机的种子。 这种,先了解点知识 二、基础知识 php产生随机 php 通过 以下两个函数产生随机 mt_srand() //播种 Mersenne Twister 随机生成器。 mt_rand() //生成随机 应用代码为 <?php mt_srand(1234); echo mt_rand()."</br>"; echo mt_rand()."
[GWCTF 2019]枯燥的抽奖 php伪随机
偷一个月亮
08-31 376
php伪随机 种子爆破 可以看到前面市一样的
php伪随机
夏日 の blog
02-15 3406
目录函数介绍代码测试考点1.根据种子预测随机2.根据随机预测种子 函数介绍 mt_scrand() //播种 Mersenne Twister 随机生成器。 mt_rand() //生成随机 简单来说mt_scrand()通过分发seed种子,然后种子有了后,靠mt_rand()生成随机 代码测试 <?php mt_srand(12345); echo mt_ra...
CTF--伪随机爆破
weixin_44711063的博客
03-30 2775
CTF伪随机爆破 题目:一个由纯汇编编写的CrackMe,要求输入正确密码,不能直接爆破 .题目分析: 1、先托到PE文件查看工具里看看,发现这软件有TLS表,几乎就可以直接判断它带有了反调试,具体是怎样反调试还得详细查看 2、将程序先丢进OD,没有断下,很正常。因为有反调试嘛 3、于是我们设置在TLS下断 ( 需要OD有这个插件 )或者直接查看TLS表中AddressOfCallBacks来得到第一个callback函数的地址,这里是0x402000 4、直接在0x402000这里下断,重新运
web-ctf随机安全
weixin_30776273的博客
04-05 927
rand()函数在产生随机的时候没有调用srand(),则产生的随机是有规律可询的. 产生的随机可以用下面这个公式预测 :state[i]=state[i-3]+state[i-31](一般预测值可能比实际值要差1) $randstr = array(); for ($i = 0; $i <= 50; $i++) { $randst...
CTF 中的 PHP 漏洞利用总结
热门推荐
重新启程
10-12 2万+
基础知识 系统变量(超全局变量) 在全部作用域中始终可用的内置变量 1 2 3 4 5 6 7 8 9 $GLOBALS // 引用全局作用域中可用的全部变量 $_POST // 获取 post 据,是一个字典 $_GET // 获取 get 据,是一个字典 $_COOKIE // 获取 cookie $_SESSION // 获取 session $...
ctfphp常见的考点
一个安全研究员
11-06 1万+
本博文转自:大佬博客(侵权删) 总结的很详细,忍不住转载 系统变量 123456 $_POST // 获取 post 据,是一个字典$_GET // 获取 get 据,是一个字典$_COOKIE // 获取 cookie$_SESSION // 获取 session$_FILE // 获取上传的文件$_REQUEST // 获取 $_GET,$_POST,$_C
工匠杯-CTF比赛全解析:题目、解答与思路
资源摘要信息: "工匠杯-CTF题目+exp+解思路)" CTF(Capture The Flag,夺旗赛)是一种信息安全领域的竞赛,比赛的目标通常是在一个模拟的环境中,通过发现和利用各种安全漏洞、进行密码学分析、逆向工程、Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值