随机数种子爆破

在PHP中，变量以$\mathrm{符}\mathrm{号}\mathrm{开}\mathrm{头}，\mathrm{后}\mathrm{面}\mathrm{拼}\mathrm{接}\mathrm{变}\mathrm{量}\mathrm{名}。\mathrm{上}\mathrm{述}\mathrm{代}\mathrm{码}\mathrm{的}\mathrm{基}\mathrm{本}\mathrm{含}\mathrm{义}\mathrm{是}:\mathrm{从}$str变量中随机取32次字符(字符可重复)，并拼接成字符 串，最后将该字符串赋值给变量$password。\mathrm{执}\mathrm{行}\mathrm{代}\mathrm{码}\mathrm{后}\mathrm{会}\mathrm{输}\mathrm{出}$password变量的前10个字节，此时通过POST请求传递password参数到 服务端，如果password参数的值与$password变量的值完全相等，那么 就会输出flag。

理论上，如果选取字符的时候是完全随机的，那么几乎不可能出现 password参数值与$password\mathrm{变}\mathrm{量}\mathrm{值}\mathrm{相}\mathrm{等}\mathrm{的}\mathrm{情}\mathrm{况}(\mathrm{概}\mathrm{率}\mathrm{极}\mathrm{低})。\mathrm{但}\mathrm{由}\mathrm{于}\mathrm{代}\mathrm{码}\mathrm{中}\mathrm{使}\mathrm{用}m{t}_{r}and()\mathrm{函}\mathrm{数}\mathrm{来}\mathrm{生}\mathrm{成}\mathrm{随}\mathrm{机}\mathrm{数}，\mathrm{因}\mathrm{此}\mathrm{如}\mathrm{果}\mathrm{可}\mathrm{以}\mathrm{得}\mathrm{知}\mathrm{该}\mathrm{函}\mathrm{数}\mathrm{生}\mathrm{成}\mathrm{的}\mathrm{一}\mathrm{段}\mathrm{随}\mathrm{机}\mathrm{数}\mathrm{序}\mathrm{列}，\mathrm{就}\mathrm{可}\mathrm{以}\mathrm{通}\mathrm{过}\mathrm{工}\mathrm{具}\mathrm{爆}\mathrm{破}\mathrm{出}\mathrm{其}\mathrm{选}\mathrm{取}\mathrm{的}\mathrm{随}\mathrm{机}\mathrm{数}\mathrm{种}\mathrm{子}(\mathrm{该}\mathrm{种}\mathrm{子}\mathrm{由}$_Session[‘seed’]变量生成)，从而预测之后的所有随机数序 列。在这里，我们使用php_mt_seed工具来爆破随机数种子。该工具的 下载地址为:https://www.openwall.com/php_mt_seed/php_mt_seed- 4.0.tar.gz

访问题目页面，可得到前10个字节的随机字符，将输出的随机字符转换为php_mt_seed可识别的数据格式。使用

Python3脚本进行转换:

str1变量的值就是PHP代码中的$str\mathrm{的}\mathrm{值}，str2\mathrm{变}\mathrm{量}\mathrm{的}\mathrm{值}\mathrm{就}\mathrm{是}PHP\mathrm{代}\mathrm{码}\mathrm{中}\mathrm{输}\mathrm{出}\mathrm{的}$password的前10个字节。这段代码的基本作用就是将$password 中的前10个字节(即变量str2)进行定位，得到其在str1中的具体下标 位置，然后按照具体格式输出。以str2中的第一个字母A为例，字母A 在变量str1中的下标是36(字符串下标从0开始)

将输出的字符输入到编译好的php_mt_seed工具中，具体指令如下:

最终我们找到一个随机数种子 19290735(PHP7.1)。在这一步需要注意的是，mt_rand()函数本身确 实存在问题，但是根据PHP版本的不同，其生成的随机数会略有区别。 所以，在实际题目中一定要注意PHP版本问题，不能脱离PHP版本来做 题。

利用得到的随机数种子编写PHP脚本，如下所示:

尝试将该结果提交给服务端，即可成功得到flag。

本质上是因为mt_rand()函数的不安全性导致的。所以，我们需要明确 以下几点:

1. mt_rand()函数的不安全性是考点的核心。

2)要爆破随机数种子，首先需要得到mt_rand()函数生成的随机数序

列。

3)mt_rand()函数生成的随机数序列可能以不同的形式表现(例如生成 随机字符串)。

4)相同函数在不同的PHP版本(大版本)中的实现代码可能是不一样 的。例如，在PHP7和PHP5中，mt_rand()函数的实现算法是完全不同 的。

5)计算机中不存在真正的随机数，这是mt_rand()函数存在安全问题的 根本原因。