[GWCTF 2019]枯燥的抽奖

[GWCTF 2019]枯燥的抽奖

 

 1.猜字符串，先看看源码，看到一个check.php,访问得到源码

 

 

 

 2.审计源码可以看到字符串是通过一个随机数生成器生成的，然后查了下这个mt_srand()函数，果然存在漏洞

mt_srand()函数的作用是给随机数发生器播种，播种会初始化随机数生成器。语法为mt_srand(seed)，其seed参数为必须。大多数随机数生成器都需要初始种子。在PHP中，因为自动完成，所以mt_srand()函数的使用是可选的。从 PHP 4.2.0 版开始，seed 参数变为可选项，当该项为空时，会被设为随时数。播种后mt_rand函数就能使用Mersenne Twister算法生成随机整数。
但是用这个函数时会存在一些问题，每一次调用mt_rand()函数的时候，都会检查一下系统有没有播种,(播种是由mt_srand()函数完成的)，当随机种子生成后，后面生成的随机数都会根据这个随机种子生成。所以同一个种子下随机生成的随机数值是相同的。同时，也解释了我们破解随机种子的可行性。如果每次调用mt_rand()函数都需要生成一个随机种子的话，那根本就没办法破解。

所有我们只要破解了这个随机种子即可用它得到那个字符串

3.可以通过已经知道的几个字符去反推mt_rand(),在利用php_mt_seed反推种子

4.python代码

str1='abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'
str2='OcRiTWUJrN'
res=''
for i in range(len(str2)):  
    for j in range(len(str1)):
        if str2[i] == str1[j]:
            res+=str(j)+' '+str(j)+' '+'0'+' '+str(len(str1)-1)+' '
            break
print(res)

得到

33 33 0 61 57 57 0 61 41 41 0 61 25 25 0 61 6 6 0 61 21 21 0 61 30 30 0 61 0 0 0 61 35 35 0 61 60 60 0 61

带入工具后得到种子

 

 

 

 

计算整个字符串的代码

<?php
mt_srand(种子); //种子填你自己得到的
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo $str;