记一次PHP伪随机数漏洞

ly0n

发布于 2020-11-04 11:09:27

1.7K0

发布于 2020-11-04 11:09:27

文章被收录于专栏：ly0n

前言

日常水群时看到的题目，刚看到的时候在写实验报告，所以大致看了一下，是php伪随机数漏洞，

下面具体写一下详细的解题过程。

mt_srand&mt_rand函数分析

我们来看这两个函数，首先mt_srand(seed)通过分发seed种子，接着靠mt_rand()函数来生成随机数。

我们可以使用测试代码来看一下

<?php
mt_srand(012010);
echo mt_rand(); 

?>

运行测试后

然后我们就来多输出几次随机数，相信在下面的测试你就明白了这个伪随机数的漏洞

<?php
mt_srand(012010);
echo mt_rand().PHP_EOL; 
echo mt_rand().PHP_EOL;
echo mt_rand().PHP_EOL;
echo mt_rand().PHP_EOL;
?>

可以看到，我们运行了很多次，所以我们可以找的到规律，生成的随机数是相同的，这就是php伪随机数漏洞，即生成的随机数是可预测的。

题目分析

由于是在群内看到的题目，就不再分享题目链接。

题目需要的php_mt_seed工具包

链接: https://pan.baidu.com/s/1-ynym4lSSZdpYkPhSVsafw

提取码: xpgp

打开题目可以看到如下：

然后就查看了下源码，通过network看到了存在有check.php文件

然后访问下得到check.php的源码

我们在代码里看到了mt_srand和mt_rand两个函数

并且看到了mt_srand($_SESSION['seed'])可以知道session是用的随机数设置的。

解题思路

通过编写python脚本爆破种子
得到种子后带入源程序跑出20位的字符

python脚本

import string
str1 = string.digits+string.letters

str2='Kr5MAbR71P'
str3 = str1[::-1]
length = len(str2)
res=''
for i in range(len(str2)):
    for j in range(len(str1)):
        if str2[i] == str1[j]:
            res+=str(j)+' '+str(j)+' '+'0'+' '+str(len(str1)-1)+' '
            break
print res

跑出php_mt_seed工具可识别的数据

将这串数据拿到php_mt_seed工具里跑一下

./php_mt_seed 46 46 0 61 27 27 0 61 5 5 0 61 48 48 0 61 36 36 0 61 11 11 0 61 53 53 0 61 7 7 0 61 1 1 0 61 51 51 0 61

然后将跑出来的种子带入到原始程序中跑出字符串

<?php
#version:php7.1.0+
mt_srand(173303578);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo $str;
?>