广外网安 --枯燥的抽奖 wp

这个事说起来很尴尬，出去和室友玩到晚上十点，本来还想通宵的，被寒冷逼回来了，然后要断电了，我打开了电脑，发现我还有个比赛。。。啊哈哈。。。虽然到我电脑自动关机前只做出来一道题，但我还是想记录一下我的菜

这是道php随机种子爆破的题，并且是在原题的基础上修改了一下
这是源码：

$_SESSION['seed']=rand(0,999999999);
 
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
$str_show = substr($str, 0, 10);
echo "
".$str_show."
";


if(isset($_POST['num'])){
    if($_POST['num']===$str){x
        echo "
抽奖，就是那么枯燥且无味，给你flag{xxxxxxxxx}
";
    }
    else{
        echo "
没抽中哦，再试试吧
";
    }
} ?>

就是在大小写字母和数字中随机抽二十个字出来构成num，然后前十个已知；
最开始我准备直接爆破来着，太慢了，放弃
然后发现mt_scrand()，mt_rand()这俩函数； 并且session是用的随机数设置的；
这是爆破工具：https://www.openwall.com/php_mt_seed/

str1='abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'
str2='6QzPsIskVa'
str3 = str1[::-1]
length = len(str2)
res=''
for i in range(len(str2)):
    for j in range(len(str1)):
        if str2[i] == str1[j]:
            res+=str(j)+' '+str(j)+' '+'0'+' '+str(len(str1)-1)+' '
            break
print res

得到：

32 32 0 61 52 52 0 61 25 25 0 61 51 51 0 61 18 18 0 61 44 44 0 61 18 18 0 61 10 10 0 61 57 57 0 61 0 0 0 61 

将这一串拿到工具里去：
使用方法如下

./php_mt_seed 32 32 0 61 52 52 0 61 25 25 0 61 51 51 0 61 18 18 0 61 44 44 0 61 18 18 0 61 10 10 0 61 57 57 0 61 0 0 0 61 

如图，找到随机种子为：

seed = 0x31837f45 = 830701381 (PHP 7.1.0+)

将send设置为：830701381,如下

mt_srand(830701381);

$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo $str;

?>

访问即可得到str