H4wk1ns's blog

前言 之前打天翼杯线下的时候，遇到了一道pwn题完全没思路，查资料的过程中发现，好家伙，怎么House of系列攻击有更新了这么多类别，细看发现大多是largebin attack相关的。因此特别整理了一期博客进行学习 源代码 实际上largebin attack的原理十分简单，就是检查不严格，其漏洞代码如下所示 123456789101112131415161718192021222324/* malloc/malloc.c: */ victim_index = largebin_index (size); bck = bin_at (av, victim_index); fwd = bck->fd; /* maintain large bins in sorted order */ if (fwd != bck) { /* Or with inuse bit to s ...

前言 最近太忙了，以至于操作系统-设计与实现和博客都没怎么更新过了…趁着国庆假期，把其他杂事都干完了，终于有时间来填坑了！ 首先总结一下最近的课程内容，然后实现L2。 Manual 对于计算机科学来说，其实际上就是一个由各种手册(标准)组成的学科。因此学习的最好方法就是RTFM, Read The Friendly Manual。 如果想要对于Linux下的各种文件格式约定、内存布局等有更深入的了解，可以阅读System V ABI手册 加载 这里复现一下jyy老师在课程中给出的加载器demo 静态链接程序的加载 对于静态链接的程序，其加载起来非常简单：由于二进制文件中已经包含了程序运行所需要的全部代码和数据，因此理论上，只需要通过mmap，将其映射入内存中，然后将执行流转交给程序入口即可。 虽然如此，静态链接程序的加载器实际上坑也不少 要进行一些额外的设置(栈的初始化，部分寄存器初始化等)，从而使其符合Linux进程初始化的约定——具体可以查看System V ABI手册的Process Initialization章节。 Auxiliary Vector必须初始化 ...

前言 美好的一个中秋假期，然而基友们都去见女朋友了。。。只有自己在打比赛，太惨了！！！ 虽然如此，女生只会影响我拔剑的速度。还是来总结一下这场比赛的骚思路更现实一些😶 K1ng_in_h3Ap_I 点击下载题目附件 题目保护 如下图所示，基本保护全开 题目逻辑 其就是一个标准的菜单堆，框架如下所示 1234567891011121314151617181920212223242526272829303132void __fastcall __noreturn main(__int64 a1, char **a2, char **a3){ int v3; // eax nothing(); while ( 1 ) { while ( 1 ) { menu(); v3 = read_int(); if ( v3 != 2 ) break; delete(); } if ( v3 > 2 ) { if ( v3 == ...

前言 之前刷其他的题目的时候，看到过数位dp解法，但是太菜了，根本看不懂! 今天刷leetcode的每日一题时，题目虽然用了别的方法做出来，但是太丑了，非常多的判断。在看别人的解析的时候，突然看到数位DP模板级解法，一下突然懂了。 特别记录一下这个瞬间，自己又进步了一点。🚩 数位dp 首先，我们正式的(不讲人话)的介绍一下数位dp算法 数位dp算法是用来解决如下问题的算法求出在给定区间[A,B]内，符合条件f(i)的数$i$的个数。条件f(i)一般与数的大小无关，而与数的组成有关 这就是一般的数位dp算法的介绍，然后后面就直接跟例题和代码了，大家都是谜语人么? 这里我再介绍一下数位dp的一种通用解法，从而更好的理解这个优美的算法 数位dp通用解法 一方面，由于前面介绍的条件f(i)与数大小无关，而仅仅与数的组成有关，因此数位dp需要通过动态规划的方法，预处理出一个dp[i][j]的数组，dp[i][j]表示长度为i,最高位为j的符合条件f(num)的个数 另一方面，数位dp更多的可以理解为一种根据其数的组成的遍历顺序——该遍历顺序可以让我们有效的结合动态规划解决 ...

前言 有一说一，题目漏洞很简单，看明白wp后整个题目也不难。但是这个爆破一开始着实没什么思路，特别记录并且总结一下。 实例 timu 点击附件链接 保护分析 首先查看一下程序相关的保护机制 基本上除了栈不可执行以外，就没有开启什么保护机制 漏洞分析 这道题目的逻辑结构格外的简单，如下所示 12345678910111213141516171819202122232425262728293031323334353637383940int __cdecl read_num(void *buf, size_t nbytes){ ssize_t v3; // [esp+8h] [ebp-10h] ssize_t i; // [esp+Ch] [ebp-Ch] v3 = read(0, buf, nbytes); for ( i = 0; i < v3; ++i ) { if ( (*((char *)buf + i) <= 0x2F || *((char *)buf + i) > 0x39) && *((_ ...

前言 做题过程中遇见的一道堆风水，一开始确实完全没想到思路。借此机会复习一下malloc_consolidate和unlink攻击相关的知识点 难点malloc_consolidate 实际上，在菜单堆中，我个人还是比较少见利用malloc_consolidate的，或者纯粹是我太菜，基本在考虑时下意识的忽略掉这么一个过程，这里特别拉出来研究一下。 源代码 要想分析清楚malloc_consolidate函数的逻辑，自然需要查看其源代码信息，这里给出glibc2.31版本下的malloc_consolidate函数源代码，如下所示 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102/* ------------------------- ...