[BUUCTF题解][GWCTF 2019]枯燥的抽奖
伪随机数生成
过程
做题先搜集(扫目录+检查HTTP报文+查看初始页面HTML代码),初始页面逻辑为要求根据给出的部分字符串猜完整字符串,猜对了有flag,在初始页面源码中可以看到存在另外一校验页面check.php。
访问后直接给出了check.php的源码:
<?php
#这不是抽奖程序的源代码!不许看!
header("Content-Type: text/html;charset=utf-8");
session_start();
if(!isset($_SESSION['seed'])){
$_SESSION['seed']=rand(0,999999999);
}
mt_srand($_SESSION['seed']);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
$str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);
}
$str_show = substr($str, 0, 10);
echo "<p id='p1'>".$str_show."</p>";
if(isset($_POST['num'])){
if($_POST['num']===$str){x
echo "<p id=flag>抽奖,就是那么枯燥且无味,给你flag{xxxxxxxxx}</p>";
}
else{
echo "<p id=flag>没抽中哦,再试试吧</p>";
}
}
show_source("check.php");
可以注意到我们猜测字符串是采用伪随机函数依据种子生成的,所以我们可以利用脚本通过给出的部分字符串逆推出伪随机函数采用的种子(这里脚本采用的是php_mt_seed)。
先使用PHP编写程序把给出的部分字符串处理成脚本需要的数据格式,程序源码如下:
<?php
error_reporting(0);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$string='tsD5SzCFpA';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
$pos=strpos($str_long1,$string[$i]);
echo $pos." ".$pos." 0 61 " ;
}
?>
传入脚本执行得出种子。
生成完整字符串的代码从check.php中截取就ok,将获得的种子传入拿到完整的字符串。
生成完整字符串的源码(注意PHP版本要符合脚本中给出的版本):
mt_srand(318128824); //在这里填入获得的种子
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
$str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);
}
echo($str);
回到初始页面提交完整字符串获得flag。
