萌新第一次做pwn...(话说这种题目给了服务器都不带连接方式的，别人的题解貌似也不屑写这个，找了好久才知道要用telnet)
然后看题目，可以申请/修改/删除/查看一些buffer，其中只有第2/3号可以删除，删除的代码又非常简陋(不能再创建/有double free的bug)
同时注意到buffer的大小要求从小到大，而且间隔2个buffer大小至少差0x16，最小的buffer大小大于24，最大的buffer大小小于0x1000-0x10
然后上次比赛第四题刚好是double free啊，当然是拿大佬的题解来改改改了^^(大概就是free后构造一个假的malloc_chunk然后free，导致指向buffer的指针表内一项指向指针表，然后用这一项和buffer修改操作修改Got表)
然后...发现这道题的基址是随机的...
再看到题目中的guess a number,正确就把seed的地址告诉我们，seed的地址减去在ida里看到的seed地址(记为seed_off)，就是基址了^^
然而...怎么猜啊...
观察发现srand输入的是32位值，在穷举的可接受范围内^^
然而还是Too slow(因为有计算srand和rand所需要的巨大常数)...
仔细看发现srand输入的是seed的地址啊,seed的地址=基址+seed_off啊，基址又是0x1000对齐的(十六进制后面三位必为0)，搜索规模瞬间小了4096倍!!!
接下来的方法就和 看雪.Wifi万能钥匙 2017CTF年中赛 第四题 ReeHY-main 差不多了，在那一题基础上指令不同改一改/各种地址不同改一改/存储各buffer指针的struct不同改一改/由于buffer的大小限制改一改(其实加起来看每句基本都要改...)，就GetShell了
以下是用的脚本(需要pwn库)

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课