GWCTF 2019枯燥的抽奖

右键看源码知道还有一个check.php可以访问

115.PNG

3qcwkpYHL4

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php
#这不是抽奖程序的源代码!不许看! #欸我偏要看 (~ ̄▽ ̄)~
header("Content-Type: text/html;charset=utf-8");
session_start();
if(!isset($_SESSION['seed'])){
$_SESSION['seed']=rand(0,999999999);
}

mt_srand($_SESSION['seed']);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
$str_show = substr($str, 0, 10);
echo "<p id='p1'>".$str_show."</p>";

if(isset($_POST['num'])){
    if($_POST['num']===$str){x
        echo "<p id=flag>抽奖,就是那么枯燥且无味,给你flag{xxxxxxxxx}</p>";
    }
    else{
        echo "<p id=flag>没抽中哦,再试试吧</p>";
    }
}
show_source("check.php");

拿到源码mt_scrand 这应该是伪随机数漏洞

1
2
介绍:mt_scrand() //播种 mersenne twister随机数生成器
          mt_rand()  //生成随机数

测试:

116.PNG

117.PNG

生成的的随机数其实是一样的
生成伪随机数是线性的可以理解成y=ax,x就是种子知道种子和一组伪随机数就能推到出y

这边是我这道题随机到的种子

118.PNG

脚本爆破

1
2
3
4
5
6
7
8
9
10
11
str1='abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'
str2='3qcwkpYHL4'
str3 = str1[::-1]
length = len(str2)
res=''
for i in range(len(str2)):  
    for j in range(len(str1)):
        if str2[i] == str1[j]:
            res+=str(j)+' '+str(j)+' '+'0'+' '+str(len(str1)-1)+' '
            break
print(res)

获得种子然后再将种子转化成字符串

119.PNG

还需要一个叫做php_mt_seed 将生成的丢这个运行

120.PNG

获得这串597890092就是种子了

1
2
3
4
5
6
7
8
9
10
<?php
mt_srand(597890092);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo $str;
?>

3qcwkpYHL4txQ32P8MOu这串传入即可获得flag

121.PNG

[BSidesCF 2019]Kookie
题目叫kookie试一下cookie注入 火狐hackbar走起

还提示了login as admin
hackbar那边cookie选项添加一个username=admin 搞定

122.PNG