php里的随机数

内容简介：php里的随机数

这次来填一个关于 php 随机数预测的坑。php5和php7中的随机数产生机制已经大有不同，本文将详细讲一讲这些区别和爆破种子的时候会产生的问题。

php中常用的随机数产生函数是 rand() 和 mt_rand() 。下面将针对这两个函数展开。

php5 中的随机数

rand

php5 中的 rand 函数调用的是 glibc 中的 random() 。其实现算法可以简化为如下代码。

#include<stdio.h>

#defineMAX 1000
#defineseed 1

main() {
  int r[MAX];
  int i;

  r[0] = seed;
  for (i=1; i<31; i++) {
    r[i] = (16807LL * r[i-1]) % 2147483647;
    if (r[i] < 0) {
      r[i] += 2147483647;
    }
  }
  for (i=31; i<34; i++) {
    r[i] = r[i-31];
  }
  for (i=34; i<344; i++) {
    r[i] = r[i-31] + r[i-3];
  }
  for (i=344; i<MAX; i++) {
    r[i] = r[i-31] + r[i-3];
    printf("%d\n", ((unsigned int)r[i]) >> 1);
  }
}

我们可以看到，当前的随机数与之前第31个和之前第3个有关。因此只要获取了连续31个随机数，就有极大概率（输出的时候左移导致部分信息丢失）预测后面的随机数。

mt_rand

php5的 mt_rand 函数实现的是一个错误版本的 MT19937 随机数生成算法。

在 twist 函数中有个地方把变量弄错了 =。 =

对php5的 mt_rand 的攻击就是根据几个随机数序列来爆破种子，然后推测出整个随机数的序列。工具是openwall的 php_mt_seed 。

值得一提的是， mt_rand 可以指定随机数产生的范围 int mt_rand ( int $min , int $max ) 。此时产生随机数的方式是用一个宏来处理。

#defineRAND_RANGE(__n, __min, __max, __tmax) \
    (__n) = (__min) + (long) ((double) ( (double) (__max) - (__min) + 1.0) * ((__n) / ((__tmax) + 1.0)))
...
number = (long) (php_mt_rand(TSRMLS_C) >> 1);
if (argc == 2) {
    RAND_RANGE(number, min, max, PHP_MT_RAND_MAX);
}
RETURN_LONG(number);

即用内置函数 php_mt_rand 产生的随机数进行乘除操作，得到位于合适范围的值。需要注意的是，无论 mt_rand 函数的调用带不带范围，其输出的结果与 php_mt_rand(TSRMLS_C) >> 1 有关。通过 mt_rand() 可以直接计算出 mt_rand(min, max) 来。

php7 中的随机数

rand

php7中的 rand 函数同 mt_rand ， srand 同 mt_srand 。

mt_rand

从 php 7.1.0 开始， mt_rand 函数修复了之前对 MT19937 实现上的错误，但是仍然保留了错误版本的随机数生成方式。详情见 mt_srand 的文档。

• MT_RAND_MT19937 Uses the fixed, correct, Mersenne Twister implementation, available as of PHP 7.1.0.
• MT_RAND_PHP Uses an incorrect Mersenne Twister implementation which was used as the default up till PHP 7.1.0. This mode is available for backward compatibility.

除了修复 twist 函数的问题之外，在产生一个范围的随机数的时候，php7和php5的行为也不一致。

if (argc == 0) {
    // genrand_int31 in mt19937ar.c performs a right shift
    RETURN_LONG(php_mt_rand() >> 1);
}
...
RETURN_LONG(php_mt_rand_common(min, max));
...
if (BG(mt_rand_mode) == MT_RAND_MT19937) {
    return php_mt_rand_range(min, max);
}
...
umax++;
...
result = php_mt_rand();
...
return (zend_long)((result % umax) + min);

根据代码我们可以看到， mt_rand 函数不带范围的时候，输出的结果为 php_mt_rand() >> 1 ；而带范围的时候，输出的结果为 (php_mt_rand() % (max-min+1)) + min 。通过 mt_rand() 不可以直接计算出 mt_rand(min, max) ，存在一些误差。

由于上述原因，之前用来爆破随机数种子的 工具 已经无法直接使用。我自己实现了一个多线程爆破种子的c程序，在4核2G内存的虚拟机上跑了大概4个小时才将种子遍历完毕。

random_int / random_bytes

php7 提供了更加安全的随机数产生函数， random_int 和 random_bytes 调用了系统的一些安全的随机数产生函数来输出。

• On Windows, » CryptGenRandom() will always be used.
• On Linux, the » getrandom(2) syscall will be used if available.
• On other platforms, /dev/urandom will be used.
• If none of the aforementioned sources are available, then an Exception will be thrown.

php的运行模式对随机数产生的影响

Apache2handler

在 /sapi/apache2handler/sapi_apache2.c 中 static int php_handler(request_rec *r) 函数可以看到，

ctx = SG(server_context);
parent_req = ctx->r;
...
if (!parent_req) {
		php_apache_request_dtor(r);
        ...

只有在 parent_req 为 NULL 的情况下，才会运行到 php_apache_request_dtor ，调用 php_request_shutdown ，这个函数会调用注册的 PHP_RSHUTDOWN_FUNCTION ，导致随机数的种子被标记为未初始化。

在Apache下，一个 Connection 中的所有 request 都交给一个 Apache 的进程处理。很可能没有调用到 php_apache_request_dtor 导致在一个 Connection 中的请求共用一个种子。（未测试）

php-fpm

在 /sapi/fpm/fpm/fpm_main.c 中 int main(int argc, char *argv[]) 函数可以看到， php-fpm 的进程会循环处理请求，请求结束后调用 php_request_shutdown 函数进行清理。因此，在 php-fpm 的环境下，每个请求用的都是一个新的种子。

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• 区块链随机数的实现：墨客随机数子链RandDrop（强随机数和真随机数）_作者陈小虎
• Java随机数探秘
• Java 随机数探秘
• [译] 随机数与区块链
• 无法预测的根源——随机数
• 【Android杂谈】生成随机数

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。