一 、开篇

在某次复现"dedecms前台任意用户登录漏洞重现及分析"漏洞过程中, 发现这个漏洞的利用点是需要注册并审核通过一个"0000001"用户, 但在实际操作中,发现很多站点注册用户后需要邮件校验,但实际没有配置SMTP, 也就不可能发出邮件,遂分析了其邮件校验的hash生成算法, 进而发现伪随机问题,本文不会从邮件hash算法入手,而是从cookie算法分析出发, 分析漏洞的原理和利用方法. 全文分析使用dedecms v5.7 sp2, 但就漏洞本身而言是全版本均存在的。

二 、本篇简介

主要研究和分析一下在PHP5和PHP7下mtrand/mtsrand和rand/srand函数的特性, 从中找到一些结论, 方便后面对算法的分析与评估。

三、黑盒测试

针对PHP5场景下编写一些测试脚本,观察得出基本的函数特征

3.1 编写脚本:vi test_1.php

echo "rand:\n";

srand(0);

?>

运行结果:1804289383

vi test_2.php

echo "mt_rand:\n";

mt_srand(0);

echo mt_rand();

echo "\n";

echo mt_rand();

echo "\n";

mt_srand(0);

echo mt_rand();

echo "\n";

echo "rand:\n";

srand(0);

echo rand();

echo "\n";

echo rand();

echo "\n";

srand(0);

echo rand();

echo "\n";

echo "mt_rand:\n";

mt_srand(0);

echo mt_rand();

?>

运行结果:963932192

1273124119

963932192

1804289383

846930886

1804289383

963932192

3.2小结

1.mtrand/mtsrand不影响 rand/srand

2.在mtsrand的作用下,mtrand次数会重置, 在srand的作用下,rand次数会重置

3.rand和mt_rand在同seed,同次数下,值不同

四、白盒审计

针对PHP5和PHP7的C代码进行分析,选用的代码仓库如下PHP5: https://github.com/php/php-src/blob/d31e8a9a85efea54db0b647424f6c4485d71db8b/ext/standard/rand.c

PHP7: https://github.com/php/php-src/blob/becda2e0418d4efb55fca40b1170ca67cfbdb4e0/ext/standard/mt_rand.c

TIPS: 如何定位php版本对应到的源码, 可以根据php版本发布时间, 在git仓库找commit, commit时间在发布时间前一段时间的应该就是:)

1. PHP5:

1.1 rand/srand 默认使用的是C语言的原生函数:

1.2 mt_rand使用的是php实现的一套算法:

2. PHP7:

2.1 mt_rand使用的是php实现的一套算法:

2.2 rand和mtrand, srand和mtsrand完全等价:

rand.c

3. 共性:

3.1 调用一次mt_srand不仅设置了seed,而且重置了次数:

3.2 每调用一次mt_rand相当于次数+1:

3.3 调用rand,若之前没有调用srand, 那么会默认调用一次; 调用mtrand,若之前没有调用mtsrand, 那么会默认调用一次:

mt_rand:

rand:

3.4 同一进程下,在rand和mtrand均未被人工播种时, rand和mtrand使用的种子会是一样:

基于3.1, 我们能知道rand和mt_srand会默认有如下调用:php_srand(GENERATE_SEED())

php_mt_srand(GENERATE_SEED());

已知state生成的关键点在于seed( = GENERATESEED()) 这儿主要需要证明, 先后调用GENERATESEED(),获取的值是一样的:# php_rand.h

#ifdef PHP_WIN32

#define GENERATE_SEED() (((zend_long) (time(0) * GetCurrentProcessId())) ^ ((zend_long) (1000000.0 * php_combined_lcg())))

#else

#define GENERATE_SEED() (((zend_long) (time(0) * getpid())) ^ ((zend_long) (1000000.0 * php_combined_lcg())))

#endif

根据源码可以得出:

1.GENERATESEED()的数据类型为zendlong,zendlong的范围为uint32t

2.其生成取决于phpcombinedlcg()和 [GetCurrentProcessId()或getpid()],当在一个进程下, 先后调用[GetCurrentProcessId()或getpid()],的值是一样,那么只需要关注一下phpcombinedlcg:

lcg.c

根据代码可以很明显的知道, 第一次调用phpcombinedlcg,会播种生成了新的s1和s2,第二次再调用,不再播种, 用的先前的s1和s2,那么phpcombinedlcg是相等的。

所以先后调用GENERATE_SEED, 值是一样的。

3.5 抽象理解:

由于能力有限并没有具体去看state和BG的数据结构,上面分析可能存在问题, 但基于上面的分析, 可以做如下的抽象理解:

mt_srand用seed构造出来一个叫做state的东西, 可以看成是数组结构, 然后BG可以看成一个字典结构,用JSON格式表示一下:BG = {

"next": [a,b,c,d] , # new_state

"left": N , # 记录next里面剩余数量

}

那么:函数mt_initialize == 使用seed生成一个新的state

函数mtrealod == 将state做了一些函数变化得到newstate, 然后一个赋值到 BG["next"]

函数mtsrand == mtinitialize+mt_realod+标记已经播种

函数mtrand == BG["next"].pop(0) , 取出newstate里面第一个

4. 结论

4.1 影响随机数生成的因素为两个: 1. 种子 2. 次数 (3.5)4.2 srand/mtsrand相当于重置了次数,rand/mtrand相当于次数+=1 (3.1, 3.2)4.3 PHP5下rand/srand和mtrand/mtsrand是独立的,种子和次数均不相互干扰, 在同seed,同次数下,值不一样 (1.1, 1.2)4.2 PHP7下rand/srand和mtrand/mtsrand的种子和次数均互相干扰, 在同seed,同次数下,值完全一样(可以看成同一个函数,会舒服一些) (2.2)4.3 PHP5的rand/srand和PHP5的mtrand/mtsrand和PHP7的rand/srand/mtrand/mtsrand,在同seed,同次数下,值不一样 (1.1, 1.2, 2.1)4.4 种子区间为0到0xffffffff, 且有如下等式 (3.4)mt_srand(4294967297); == mt_srand(1) == mt_srand(-4294967295);

mt_srand(-4294967297); == mt_srand(-1) == mt_srand(4294967295);

srand(4294967297); == srand(1) == srand(-4294967295);

4.6 同一进程下,先后被调用的rand和mt_rand, 在未播种的前提下, 会使用同一个随机种子 (3.3)

四、其他

PYTHON和PHP随机函数是否相同?

需要根据PHP的代码, 用C去实现,python自带的rand和php的存在区别:)

五、参考

*本文作者：光通天下无患实验室  Djerryz，转载请注明来自FreeBuf.COM