[MRCTF2020]Ezaudit

打开得到一个类似官网之类的网站

一顿操作无果后，扫一下，发现有www.zip

而里面有index.php，源码得到了，

<?php 
header('Content-type:text/html; charset=utf-8');
error_reporting(0);
if(isset($_POST['login'])){
    $username = $_POST['username'];
    $password = $_POST['password'];
    $Private_key = $_POST['Private_key'];
    if (($username == '') || ($password == '') ||($Private_key == '')) {
        // 若为空,视为未填写,提示错误,并3秒后返回登录界面
        header('refresh:2; url=login.html');
        echo "用户名、密码、密钥不能为空啦,crispr会让你在2秒后跳转到登录界面的!";
        exit;
}
    else if($Private_key != '*************' )
    {
        header('refresh:2; url=login.html');
        echo "假密钥，咋会让你登录?crispr会让你在2秒后跳转到登录界面的!";
        exit;
    }

    else{
        if($Private_key === '************'){
        $getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';'; 
        $link=mysql_connect("localhost","root","root");
        mysql_select_db("test",$link);
        $result = mysql_query($getuser);
        while($row=mysql_fetch_assoc($result)){
            echo "<tr><td>".$row["username"]."</td><td>".$row["flag"]."</td><td>";
        }
    }
    }

} 
// genarate public_key 
function public_key($length = 16) {
    $strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $public_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
    return $public_key;
  }

  //genarate private_key
  function private_key($length = 12) {
    $strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $private_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
    return $private_key;
  }
  $Public_key = public_key();
  //$Public_key = KVQP0LdJKRaV3n9D  how to get crispr's private_key???

简单分析一下就是，利用mt_rand的随机数漏洞

搜一下就行了，之前也做过类似的，所以直接做。

爆出随机数后，利用脚本得出私钥。

if($Private_key === '************'){
       $getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';'; 
       $link=mysql_connect("localhost","root","root");
       mysql_select_db("test",$link);
       $result = mysql_query($getuser);
       while($row=mysql_fetch_assoc($result)){
           echo "<tr><td>".$row["username"]."</td><td>".$row["flag"]."</td><td>";

看这一段，得出了用户名，然后密码不知道，但是我们可以简单审计一下发现，用万能密码绕过。1’ or 1=1#

然后登录即可

XuNhoueCDCGc 私钥
注意伪随机数制作与爆破过程得与题目的php版本一致。