NotionNext BLOG

gitlet完成纪念

Wed, 16 Oct 2024 00:00:00 GMT

前言

首先将自己的gradescope成绩放过来

早在进行CS61B学习之前就听说过gitlet的大名，可以说这是来自UCB的课程中最为出名的项目之一，它包括了60多页的Spec文档、几乎为零的skeleton代码（仅提供了几个相关的类）、相当繁杂的文件操作以及链表构建还有令人纠结的诸多逻辑。

我从gitlet上花费的时间没有具体计算，但从开始构建Merge命令的时候，我开始使用wakatime来记录自己编写代码的时间，所以以下时间可以看做是我构建Merge+debug代码的时间，这里列出。

是的，光是构建merge指令，加上debug的时间就已经有14个小时了，也就是说整个项目起码有30+小时的时间进行构建，这还只包括敲代码的时间，还不包括思考思路的时间，大家可以想象一下这个项目的难度。

学习到的东西

但是！虽然我说了这么多，如果你要问我这个项目值不值得，我还是觉得非常的值。

通过gitlet这个项目，我学习到了：

git操作的底层原理，之前一直了解，但知识结构不是很清晰

听说gitlet的remote 相关操作底层原理和真实git其实有不小差距，加上时间原因实在不允许我慢悠悠再构建remote相关代码，我就没有将其实现，如果是本科的同学们有比较充裕的时间，可以来进行对作为extra部分的remote相关进行实现
准确来说是学习了对一些功能在底层实现上面的解构思想

文件形式的链表操作，同时学习了BFS广度优先在代码中大致怎么实现的

面向函数式编程，这个思想我觉得是项目构建的很重要的一环，在想要一个功能的时候，编写一个功能的函数，然后将文件中相关功能的部分解耦合，这样就在修改的时候就不需要分别进行更改

但这个其实项目做多的之后，本能上就是会意识到这个问题，会实现模块解耦
但是抽象性思维真的很重要，所以说不管怎么说还是重新意识到了这一点

集成测试的思路

有但不多，因为我为了节约时间都是直接在网上找了找大家爬下来的testing文件进行的面向测试编写

make的使用

有但不多，基本都是直接使用make指令，过两天找找相关make的文章再详细地学学

项目构建

这方面内容我写在Repo中了，有兴趣的同学可以去看看：https://github.com/thanyi/gitlet，但是最好还是自己看看思路就好

XYCTF 2024

Wed, 01 May 2024 00:00:00 GMT

baby_gift 反汇编代码思路初看细看 printf exp fmt 低版本的exit_hook simple_srop fastfastfast Fastbin reverse into tcache stdout mips ptmalloc2 it's myheap 解法 ptmalloc2 it's myheap pro 原理 exit → __run_exit_handlers → __call_tls_dtors exp

虽然中途有这不少的问题，还是磕磕碰碰复现一下

baby_gift

这个题是用时较久的题所以最先拿出来进行复盘

反汇编代码

题目是这样：

汇编代码：

其中gift是这样

可以看出来，getInfo函数是有一个栈溢出，可以溢出0x20字节

其中gift中的功能是说可以将[rbp-0x8]的地方变成rdi的值。

思路

初看

做题的时候我觉得对gift的使用应该是：

我们可以修改rbp和返回地址，将返回地址修改为：0x4012a0，就可以修改掉rdi的值，作为一个参数，然后让其再返回到system之类的函数，就可以直接拿到shell了

但是后面我发现首先还要泄露libc，不知道怎么泄露，卡了很久没有思路，因为没有程序没有关于参数的ROP链，同时也没有除printf之外的输出（当时没有反应过来printf是有用的）

细看

再然后第二天看的时候，突然发现可以先不修改rdi，因为[rbp-0x20]地址中的值最开始是我们输入的passwd ，同时gift函数执行完后其实也没有将rdi改变，所以直接将返回地址改为printf 函数可以造成格式化字符串漏洞

但是这就遇到了一个问题，不知道为什么printf("%27$p")输出结果

printf

很奇怪，问了其他师傅才知道，原来printf函数中有这样的一份判断：

不知道是不是所有版本的printf函数都有这个判断，有时间去看看源码。这个判断的意义是检查al寄存器，查看printf的参数量是多少

对于用 varargs 或 stdargs 的函数，%al 当作隐藏参数使用，表明 SSE 寄存器的用量。%al 的内容不必和寄存器用量吻合，但是一定要是 SSE 寄存器用量的一个上界而且落在开区间 0-8 里。

SSE: 8个128位寄存器（从xmm0到xmm7）

但是这些只是简要一提，主要涉及就是对printf 函数使用的时候需要将eax归零，不然会进入奇怪的逻辑中

exp

fmt

这个题有点意思，它涉及fmt，但不是用的printf来进行fmt，而是用了scanf，但是原理是一模一样的

💡

fmt的原理可以在网上多查查，主要就是由于字符串指针内存可以随便修改，且每当一个%号变量出现就要去寻找是否有相关变量（尤其是在栈中寻找），这就导致了可以进行任意写的漏洞。对栈中的地址指向的值进行修改

低版本的exit_hook

其中也涉及到了exit_hook的知识：

_rtld_global是GNU C Library (glibc) 中动态链接器用于维护自身状态的一个全局结构体。

在exit的调用中，调用链是exit → __run_exit_handlers →_dl_fini →__rtld_lock_lock_recursive 或者__rtld_lock_unlock_recursive

这里就不多赘述了，给出exp

收获：

ld基地址与libc基地址偏移量相同（起码在2.31为止是这样）

__rtld_lock_lock_recursive 指针地址为__rtld_global+0xf08 ，当修改了这个指针为任意地址，就可以将exit函数hook指向其他地方（但是2.34之后就用不了了）

涉及exit_hook的链接在这里

exit_hook在pwn题中的应用 - 不会修电脑 - 博客园

以前只接触过malloc_hook，free_hook，大概意思就是在调用malloc和free的时候会先看看里面有没有东西，有的话就会执行。以前在看一些师傅们博客的时候有看到过exit_hook，前几天就研究了一下，这篇来做个总结。首先我们自己写一个程序，调试一下exit是怎么执行的。 1 #i

https://www.cnblogs.com/bhxdn/p/14222558.html

exit_hook攻击利用 - 先知社区

先知社区，先知安全技术社区

https://xz.aliyun.com/t/12856?time__1311=mqmhq+xfxUxoDsD7GY5x7q7Ir5xArTbD

simple_srop

其实SROP的功能就是一长串ROP链的功能，只不过它在没有ROP的时候也可以进行使用，主要是依靠syscall

这道题是利用了SROP，在没有输出函数，没有ROP的时候，让它成为主角，特别是当SROP中的rsp被设置为下一个SROP的地址的时候，这就达成了SROP链

SROP这里也有详细的参考

SROP详解 - 先知社区

先知社区，先知安全技术社区

https://xz.aliyun.com/t/12790?time__1311=mqmhqGrxCG8D/iNiQGkIeG=D8ia40QqT=4D

在可以使用SROP链的时候，他是一个非常方便的trick

先给出exp

可以看出虽然弄出来的段很多，但是从逻辑上来看SROP能达成的效果的利用相当的简便（在你弄懂了的情况下）

fastfastfast

这个题真的卡了我好久，谢谢ret2o.O师傅的提点

打开ida

经典的堆题，接下来看看漏洞

UAF漏洞，同时add函数中

可以看出是只有fastbin的大小，这就有个问题，我们不能申请到unsorted_bin，libc基地址就很难泄露，这就卡住我了

Fastbin reverse into tcache

同时学到关于fastbin dup的另一种说法：Fastbin reverse into tcache

具体上就是说tcache bin的stash机制：

在tcache bin中相同长度的chunk超过7个之后，会根据大小将其放入fastbin或者是unsorted bin中，同时如果，当我们重新进行申请chunk，在tcache bin中申请结束之后，会将fastbin的其他chunk放进tcache bin中（逆序）

如下图：

申请8个之后变成：

💡

在和dup相关的构造的时候都要注意：如果你构造的fake_chunk不能有脏数据，就是说那片地址最好是直接指向的是\x00，这样被识别的时候不会引起其他的问题，不然再利用的时候扫描bin链就是会出问题

stdout

我一直对stdout这个函数不是很理解，因为这总是让我想到__IO_2_1_stdout来泄露libc基址，但是我能知道stdout地址的时候不是就直接知道libc基址了吗？不知道有无大佬可以教教我

但是这道题并没有用到这个知识，它只是利用了在bss中的stdout指针附近的地址，因为我们的show函数是这样

意思是不会因为\x00就结束输出，所以可以把后面的内容全部输出出来

只要我们将fake_chunk地址放在stdout上方：

可以看到它的后面都是0，这就很符合我们之前的要求

exp:

mips

通过这道题学会了mips的栈溢出攻击，相关的mips教程有很多，这里列两个：

blog.csdn.net

https://blog.csdn.net/abc380620175/article/details/101176930

一步一步PWN路由器之rop技术实战 - 先知社区

先知社区，先知安全技术社区

https://xz.aliyun.com/t/1511?time__1311=n4+xni0QDQG=DtoqiKDsL3xCw4mwEMh74AKix

相关的理论知识在上面都有，这里主要总结一下关于它的栈溢出

mips的栈溢出和x86存在不同，主要体现在ROP链的运用，因为x86中栈存在入栈和出栈操作：push和pop，但在mips中由于栈空间大小是一开始就准备好的，不存在对栈的push和pop，同时也没有ret 指令这种方便用来进行

💡

主要的是在mips中需要跳转到一个中间的ROP，用于调整寄存器的值。在这些寄存器调整完之后就可以将程序跳转到想要的内存地址进行指令的运行了

ptmalloc2 it's myheap

这个题涉及到堆风水

堆题经典的笔记题，有add、delete和show

其中add是申请0x18的管理块和内容块

delete有UAF

然后有一个后门gift：

最后，libc是2.35，这就是全部信息

解法

解法也是被ret2o.O师傅提点过

使用堆风水（说人话就是控制堆申请的位置），让申请的内容块地址是之前的管理块，这样就可以达到任意读，show出heap基地址。

再通过申请让内容块的地址被指向heap基地址，也就是tcache_perthread_struct。

通过delete和add来将要的内容写入tcache_perthread_struct，就凭空捏造了一个bin链中的chunk。再将它申请出来修改为system

ptmalloc2 it's myheap pro

[原创] Glibc-2.35下对tls_dtor_list的利用详解-Pwn-看雪-安全社区|安全招聘|kanxue.com

[原创] Glibc-2.35下对tls_dtor_list的利用详解

https://bbs.kanxue.com/thread-280518.htm#msg_header_h2_4

这道题看的是后面的wp，只能说不愧是排名前三的队伍，这个解题思路真的厉害

原理

高版本的exit_hook：对tls_dtor_list的修改

`exit` → `__run_exit_handlers` → `__call_tls_dtors`

当程序使用exit函数退出后，会进入 __run_exit_handlers函数

__run_exit_handlers函数后，会首先判断 __call_tls_dtors和run_dtors是否为空，如果不为空就会调用 __call_tls_dtors函数

exp

0xgame2023

Tue, 05 Mar 2024 00:00:00 GMT

week 1 shellcode week 2 week 3 没了溢出，你能秒我？关于one_gadget fmt3 all-in-one-file week 4 srop 结束了？

week 1

shellcode

week 2

官网wp-week2

134.1KB

week 3

官方wp

158.1KB

没了溢出，你能秒我？

这道题很有意思，是利用了程序自带的leave 指令，同时也是一道在栈范围的off-by-one问题。这个思路我觉得很值得介绍。感觉应该在栈范围是对我有点启发的。

程序源码大概是这样：

看到这里，就需要想到第一个注重的点：我们这个程序在退回时经历了两次leave指令，这很重要，如果我们要涉及到关于栈迁移到思路的时候，这里就是天然的栈迁移。

如果我们可以修改到栈中rbp的值，那么在两次函数返回的时候，rsp指令就会直接指向被修改的rbp的值加8的地址。

然后我们进入custom_gets_off_by_one_or_null 这个函数

这里有一个很明显的off-by-one漏洞，这个漏洞可以让我们修改rbp的值，当然，只能修改到最低的一位

我们只能赌一下，赌我们将rbp最后一位变成零之后，经过两次leave指令后被修改的rsp指针会指向v1 的中间位置，这个位置也就是我们修改以后的地方。

同时要保证我们的payload最大可能性的被利用，方法就是在我们输入的payload的前端全部变成ret 指令，然后在最后才进行我们的payload的输入。也就是这样

这个思路和之前week 1 中的shellcode那个题很像，只不过那个题是添加了nop 指令，由此看来，这个思路是真的在栈漏洞方面比较通用的。

本题的exp如下：

关于one_gadget

one_gadget的指令我偶尔会用，但是总是意识不到他的限制点是可以直接通过人工进行绕过的

例如：

这个地方，这个地方的0xe3afe的one gadget，限制条件是r15和r12的值需要等于0

这个应该还是有点熟悉的，这两个寄存器同时存在的时候，直接用payload将0输入进去即可

这样就可以直接让one-gadget可以被使用了！

fmt3

我自己的代码如下:

疑问：

关于格式化字符串到底是怎么进行漏洞利用的？为什么fmtstr_payload(8,{ret_addr : one_gadget_addr}) 不能利用？在offset正常的情况下

如果是不满足one_gadget_addr 限定的条件下，那为什么fmtstr_payload(8,{printf_got: system_addr}) 也不是正确的？

以下是官方wp的代码：

这个代码主要涉及到的是关于fmtstr_payload函数的使用，以及关于one_gadget的限制突破，结合起来其实理论上是将fmtstr_payload中的值，化为一个ROP的链。

这个链可以将one_gadget的限制进行绕过，但是我不知道怎么用fmtstr_payload函数实现。

fmtstr_payload函数的原型是有write_size 参数，这个参数理论上是针对单个参数更改的时候可以很方便的进行，但是在针对像是ROP链的时候，就实现不了了

例如我想将返回地址设置成以下的样子：

那就代表我必须进行，将所有的地址都按照 write_size='long' 这样的规格进行，但是在64位修改地址的时候，地址数字太大了不能进行修改，搞得我目前也不知道该怎么办

不过我找寻了其他的payload，以下payload应该可以实现：

使用场景（以本题为例）：

all-in-one-file

直接没看懂什么意思，文件1被关闭了那我该怎么办？

解答：

使用脚本即可，输入时的回车键在程序判断的时候会形成干扰，导致不能够被执行

week 4

官方wp-week4

104.8KB

srop

关于过滤器

这个SROP让我真正地大致明白了什么是具体的SROP解法，其实相对来说很简单：

就是利用sigreturn 系统调用，其他的说什么都是空的，就是利用这个系统调用就行了

首先构造一个frame：

这个frame用来作为srop中sigreturn系统调用返回之后的改变寄存器的模版，他甚至可以实现栈迁移，因为我们的rsp可以直接被改。

在同时也可以把执行的代码（rip）修改，改变此时程序的调用方向。

然后在我们本就熟悉的ROP链的构造的基础上，再进行srop的调用

这道题只是在同时结合了orw，用open、read、write的方法输出了flag而已

结束了？

这道题我真的学到了！！！

栈迁移原来是可以这样写。

我们将文件放到ida中，发现

有个sandbox，所以不能进行exec，那就进行orw就行

然后因为有个格式化字符串函数，可以泄露内存地址

重点来了，重点，我们发现栈溢出的地方很短，也就到返回地址处，也就是刚刚溢出两个栈帧长度

那么肯定就要考虑栈迁移。

我以前对栈迁移的理解基本上就是迁移到栈中我们可以写的变量的原本位置，再继续输入ROP链。

但是这个题不一样，这个题因为如果只迁移到局部变量开始处，哪怕修改了内容为ROP链，因为执行不了exec 函数，只有orw但是orw的ROP链太长了，根本塞不下。

所以该怎么弄呢？那就是利用函数自带的leave指令，通过修改rbp值的方式将rsp、rbp俩寄存器的值进行调用。

首先修改返回地址到偏移量0x148D

巧妙地利用了原本就存在的read函数，同时也可以更改rbp的值，这次返回到0x148D的同时，rbp也转到了elf.address + 0x4400 + 0x40 的位置

然后这次read函数需要send一个字符串，这个字符串就是要被写在rbp-0x40 的地址上。

然后这次main函数结束，rbp转为elf.address + 0x4400 ，rsp转到原来的rbp+8 ，也就是leave_ret的地方。

执行它，rbp重新变为elf.address + 0x4400 + 0x40 ，rsp变为指向pop rdx这里，进行这一串ROP链的执行，因为之前的rdi、rsi寄存器都没变，所以直接写rdx的值，将我们下次可以输入的ROP长度变大。

然后重新在elf.address + 0x4400 的地址上进行ROP链的输入即可，注意此时rsp的值其实是指向elf.address + 0x4400+0x20了，所以我们在进行重写的时候需要将之前的几个位置用字符填满，或者是将其进行ret来将其“滑”到+0x20的地址

整体代码：

全体官方wp

20066.8KB

Hgame 2024 复现

Tue, 05 Mar 2024 00:00:00 GMT

Week 2 tcache posion shellcodemaster fastnote week 3 Elden Ring Ⅲ off-by-null（house of einherjar）

我真的太菜了！！今年一定要超出game范畴！

Week 2

tcache posion

这是一道模板题，是关于tcache posion的一道模板题

我们知道在2.31之后其实tcache dup基本就是不能用的，要用也是用house of botcake来实现dup操作

当然，这道题还没有达到这个程度，他只是一道比较简单的签到题，或者就是一个不需要思考的poison题

打开反汇编：

add函数：两个数组，一个存地址，一个存size

del函数，uaf很明显

edit函数，可以对free或者对没有free的都进行edit

show函数，同上，都可以show

exp：

这里我们也可以用它来总结一下：

在堆类型题目，想要拿libc的地址最简单的还是使用main_arena

tcache bin的poison，可以进行，但以防万一还是使用一条0x80大小来进行libc的leak，另一个像是0x20这种用来进行poison（至少在2.31中这种操作是可以的，其实单用一个大小的链也可以，就是转换着很麻烦）

shellcodemaster

又是一道shellcode题目，这道题目目的是想要让新生学会对shellcode进行缩减，来达到执行shellcode的目的，同时也利用了mprotect调用

查看限制，发现没有pie：

不过这个限制在这个题目中没有什么用

然后看反汇编代码：

发现首先用mmap申请了一个内存空间在0x2333000处，这个地址被赋予给了buf变量，然后我们可以对这个空间进行0x16个字节的写入，然后用mprotect 函数，将这片地址空间变成了仅可写的权限。

我们可以就此展开操作：

为应对0x16的字节输入，我们可以想到先输入进一个read系统调用，来绕过这个0x16的字节输入。

如果我们要read进入其他的地方，后续的操作相对有点麻烦，所以可以进行对mprotect的二次修改，也就是我们在这0x16字节中加入mprotect系统调用，将这篇内存修改为可以写入，然后在使用read

这里是代码：

fastnote

这个题是考查了关于是2.31中的dup，具体来说是fastbin dup，在2.31中确实是要比house of botcake方便不少，起码是直接就可以进行的思路

做题思路如下：

首先利用unsorted bin的main_arena来leak glibc

然后重新申请0x20的chunk，申请9个并都释放，对多出来的两个分别命名chunk1、chunk2

再次释放chunk2，这样在fastbin中就是chunk2→chunk1→chunk2

申请chunk2，content写free_hook地址，bin中现在就是chunk1→chunk2→free_hook

连续申请三个，第三个的content写system地址，这样就完成将system写入free_hook

exp

week 3

Elden Ring Ⅲ

这个题其实是一个涉及到了largebin attack的题目，我们首先看看反汇编

可以看到add函数中，只能进行对大于0x4ff的chunk的赋予，这个chunk由于已经远远大于small bin的范围（0x3f0，在某些版本中），所以当它们被完整释放之后一定是会进入large bin

large bin attack的逻辑是这样的：

首先有一个chunk进入large bin，同时这个chunk是可以被修改的（由于UAF或是其他漏洞）

将这个large bin的fd_nextsize和bk_nextsize修改为任意写的地址-0x20 ，这个任意写的地址会被看作是一个假chunk，这样在进行后一个largebin的添加的时候，链表之间链接的逻辑会将新进入的large bin的chunk地址赋予给这个 任意写的地址 （具体是由于源码中的这行代码），它将新的chunk地址赋予给了虚假的victim->bk_nextsize->fd_nextsize

这样我们就可以实现任意地址写的功能，但是能够写的值都是chunk地址

在这个题中，通过这个attack将mp_结构体中的值进行了修改，mp_结构体是这样的：

可以看出它负责关于tcache bin的相关数据，这个结构体中的tcache_bins 项就代表了tcache_perthread_struct 中的数组大小TCACHE_MAX_BINS ，如果我们将这个参数进行修改，可以看作我们将tcache bin的范围远远扩大，0x500大小的chunk这下可以直接进入tcache bin而不是unsorted bin了

由于还有UAF，这样就可以实现tcache posion来进行free_hook的修改了

exp如下：

注意：在2.31以后的large bin attack，如果free的chunk大于large bin中的chunk，会报double free的错误，具体代码如下：

具体逻辑我还需要在研究研究，但是尝试着确实是存在报错问题，如果有大佬的看到这个博客希望可以帮我解释一下呜呜。

off-by-null（house of einherjar）

这个题是一个考察off-by-null和malloc_consolidate的题目，所以我就直接把它叫做off-by-null了

malloc_consolidate ：用于将 fastbin 中的空闲 chunk 合并整理到 unsorted_bin 中以及进行初始化堆的工作

💡

~~注意：malloc_consolidate只能实现在除tcache bins以外的bin中，可能是因为tcache bin中的结构体是由tcache_entry构成的链表，和chunk存在细微区别，所以在malloc的源码中关于malloc_consolidate中没有关于tcache bin的内容~~

注意：在进行malloc_consolidate中，使用house of einherjar的时候，之所以只能将本chunk的低地址的一个被free的chunk来进行malloc_consolidate，是因为源码就是如此：

可以看出后面是会进行unlink的，这个unlink就是针对在bin中的chunk的操作

收获：

学习到了在获取libc地址时，利用unsorted bin的不断切割来实现

同时学习到了在如果tcachebin被malloc空，同时相同大小的fastbin仍存在，那么在fastbin中的chunk被利用时，剩下的chunk会自动进入tcache bin中

exp：

四川大学网络空间安全学院考研经验贴

Wed, 06 Mar 2024 00:00:00 GMT

23考研结束其实有一段时间了，不过毕业设计耗费了我大多数精力，所以直到现在才开始进行考研的经验复盘（其实也是太懒了）我考的是四川大学网安专硕，数二英二，在今年的考研初试科目中难度还是算简单的。

总分是388，其中数学114，英语83，政治70以及专业课121。

不过因为川大自命题872的缘故其实是找不到对应的试卷，当初复习的时候可以说是全部都在看但是很多知识又记不住的状态，而且还正好遇上了疫情，大家都逐渐开始被感染开始发烧，真的可以说是很难受了。

现在开始一科一科进行阐述吧：

数学

我的本科时期的数学成绩在全班算是中等水平，大概80来分的样子。但是由于很久没有接触数学了，耗费在数学上的时间可以说的最多的。看得最多，同时也是最痛苦的的一科就是数学。因为做到后面不会的题目还是不会做，该算错的题目还是会算错，特别是在计算积分和证明题方面，哪怕在很后期了也是有着不小的算错概率。（我觉得数一可能更加痛苦毕竟还有三重积分什么的）但同时又是花的时间最多你不花又不行。

开始复习（12月到5月）

我其实从很早很早的时候就开始复习数学了，大概是在21年的12月份吧，开始听杨超老师的《三大计算》。《三大计算》是一个单独联系极限、求导、求不定积分三种计算的习题册，我觉得还是很有用的。但是也是不能光练计算而不追求进度，当时大三下的时候我们有一个大创项目和一个类似于课程设计的东西，占据了我绝大部分时间和精力，所以我基本这几个月就是在弄项目和看代码，看数学就是做做《三大计算》而没有听后面的课程。

这种节奏就导致我后面至少到5月中旬了，进度其实没看多少，《三大计算》刷了两遍，但是数二可能只看到了微积分的一半左右，更别说线代了。其实后面的关于二重积分或者是多元微分这样的知识对我来说难度还挺大的。《三大计算》虽然很注重基础，但是它的知识范围在整个考研数学中的占比确实也不多。

开始进入状态（5月到8月）

因为我的成绩其实是在保研的边缘（大概加上综测达到年级40多名的样子），当时如果有一个项目可以拿奖的话大概率可以保研，不过在后面失之交臂了。这个时期我逐渐意识到了数学学习进度不行，开始拉进度。

具体表现为直接开始看杨超老师的讲解，然后不做题了。不过视频课上的题都会跟着做做，同时是线代和微积分一起听的，毕竟两边的知识也不是很重叠。当然，也没有很急躁，按部就班地一天听个一两节可能。直到6月底接近开始暑假了，才大致弄完了两科。进度拉完了但是不少细节还是没记住。

暑假中我其实也没用什么资料，基本都是做做杨超平时微博发的一些题（现在想想我怎么敢的啊），然后复习一下没记住的知识点（比如说微分方程的公式）。不会的又去看看视频这样。

完全进入状态（8月到12月）

8月末左右，经过女朋友的影响，开始喜欢去翻小红书，然后看着非常非常多的考研人士推荐《660》，出于好奇买了一本，开始刷题。然后发现真的《660》真的好难，直接一开头几页就有好多不会的，终于开始有点慌了，开始直接死磕《660》（现在想想说不定做880都比做660好）

去年的660不像是24考研的660，听说24年的660是真的往基础方向靠拢了，但是23年的时候660的难度直接可以当作强化的题型，对我来说难得离谱。每天就是做做做，然后错错错。而且660不像880那样感觉每道题是经典例题，可以从中消化和延伸出不少知识点，660的难度分布对我真的有点迷惑。

这样差不多做了1个月，每天大半天时间都在看数学，大概9月中的时候660被我做完了，但是如上所说，吸收得不是很好，所以开始刷880了，当然由于时间的原因只能挑不会的部分章节做。

然后就是开始做卷子了，汤家凤强化5套（这个可能偏基础计算一点）、13~22年真题、余炳森5套、张宇8套、以及最重要的李林6+4套卷。做的时候一边复习一边做，哪个部分知识点不会的，记录下来取去880上面寻找类似的题目，从9月末开始可能2、3天一篇吧，到11月可能是3天2篇那种。

这里真的推荐一个B站up主：没咋了，它的660和880我真是太喜欢了，他解题数形结合的思想让我真的茅塞顿开。后期李林套卷我也是跟着他的视频进行的梳理归纳，真的很喜欢他的风格。

英语

英语其实可以说的也不是很多，主要是背单词和看文章。我的英语六级大概刚刚达到500分，勉强还是有一点基础。就我的经验来说的话，单词为王。

我大概是从22年1月左右开始的，当时也就只有背单词，不过当时有项目占据我的时间，单词背得也不多。真正开始是从4~5月之后开始每天固定雷打不动的背单词，然后就是微信公众号找那种英文文章看，最好是带个中英翻译的文章，每次看文章把不会的词记在单词本（或者单词app）里面。

因为每篇文章都会有一些比较常用的较为学术化的单词，文章看多了单词本记多了就自然而然的对英语文章中出现频率较高的词有种敏感性了。

我是从暑假开始做题的，英语做题只用做真题就行了，建议留几张真题试卷当模拟题做，其他的试卷都可以把阅读部分拆开看，主要就是看阅读，英语卷子阅读部分好大概率就是高分。

然后把真题阅读部分不会的单词也整理在自己的单词本上，英一英二其实也就是10 ~ 22年的卷子总共26套，一套4篇阅读。哪怕你留个6套卷子那也有20 * 4 = 80篇阅读，也还是不少了。一开始可以先随便看几篇做做，然后9月份开始一天看个1到2篇左右，全部做完了你可以试试二刷，总结一下做题小技巧之类的也行。

政治

政治别听别人说是直接9月开始什么的，其实暑假就可以开始听了。不然你在后期反而要花很多时间去听政治基础课，理解那些很绕脑的概念。可以在暑假期间当做解闷的内容之一，复习完数学部分或者是专业课部分就听听政治，算是换换脑子。

我也是从暑假开始的听政治课的，那个时候也就是看看视频，大概对考研政治中要考什么内容做一个了解，搭建一个框架。我是直接先听的徐涛老师的课，很有意思，像是在听相声一样。前期知识没听多少，徐涛老师的生活习惯倒是听得不少。

暑假期间把马原部分全部听完之后听了听近纲的部分知识。这时候就差不多快9月了，后面毛概和思修内容就都是听腿姐的冲刺班了（冲刺班好像是10月开始的？），然后就是刷刷卷子了。肖1000可以做做，算是巩固知识点。

政治的卷子就不能用真题了，毕竟每年变换一个样子。基本还是做模拟卷的比较多，像是腿姐四套卷之类的。腿姐的冲刺班会列出一些题，做做还是可以的。然后12月肖四肖八出来了就狂背肖四肖八。我当初只背了肖四前三套，结果考了第四套的一些题，直接给我弄无语了。

专业课

专业课部分我付出的时间可能相对来说不是很多，但是它的内容其实是最多的。川大的专业课是自命题，和408还是有很大的区别。我的建议是多去找找川大本科的期末考试题，有些题就是期末考试接近原题的题目，自命题考试可能或多或少都有点这种感觉吧。

专业课的开始也是在暑假期间，当时计网和操作系统都是使用的王道系列的教材。听听课，做做课后题。这两本书的课后题选择题部分我都做了，然后是大题部分我只做了标有408原题的题目。后期开始去看黑书的内容，黑书很经典所以其实872的出题是较为偏向黑书的。

同时也可以在网上找一些川大毕业的学长学姐，或者去找找比较正规的那种考研机构的一对一辅导，别人给你期末考试资料同时还可以给你勾画重点呢（我没去过我也不知道，不过附近有人去参加相应辅导的）

川大872的三个科目中，信安科目是涉及安全知识的，它的知识面很广很杂，并且难度很高，但是分值只有30分。从性价比方面来看完全不如同样是30分的操作系统。建议可以把这30分复习信安的时间放在操作系统和计网上。操作系统看王道就好，计网的话还是多看看黑书吧，从暑假开始看黑书，也可以用王道的视频看，只是知识点有点不一样。872考得要比408计网更难，知识点更细。

总结

一年多的时间总的来说，其实也谈不上有多少波折。就是按部就班，平平常常地学习和学习。当然其中也不乏有着玩耍的时间，劳逸结合还是最重要的。在这里尤其感谢我的女朋友，和她一起出去玩之后回来进入学习状态的时间反而还变快了。果然也不能一直待在书本待在电脑前埋头苦干，觉得累了适当出去散散步，松松自己紧绷的弦。（当然也不能太频繁出去玩了）

你要对自己的学习进度有个明确的认知，知道自己在这个学科中是否达到了让你玩玩也可以安心的阶段。当然这个属于是“说起容易做起难”，学习进度这个事情除了自己本人以外，很少有人可以知道什么时候该学到什么地方。不过需要有太大的压力，进入学习状态的时候自然而然就会想着学习，不会想着其他事了。

GeekChallenge 2023

Tue, 05 Mar 2024 00:00:00 GMT

week1~2 password ret2libc ezpwn fmt1.0 white-canary week 3 fmt2 why_not_puts ez_fullprotection EVA week 4 fmt3

week1~2

password

爆破

ret2libc

ezpwn

在这道题中尝试了自己手工写shellcode的机器码

同时，如果用asm模块进行写的话，举个例子如下

fmt1.0

这道题有点东西，我们首先看看反汇编：

发现只有一个printf输出，和一个栈溢出漏洞。

其实相对简单的能够意识到可以进行对返回地址的修改来将printf函数和read函数多次利用

问题就是出现在这里，我们在对返回地址进行修改的时候，大多数情况其实都是直接将main或者是vuln的一开始的函数覆盖掉原来的返回地址就好了，这里一般来说应该也是这个情况

但是问题出现了，当我们使用这个地址作为返回地址的时候，在第二轮进行printf函数的时候，会有这个情况：

► 0x7ffa60c81e98 movaps xmmword ptr [rsp + 0x40], xmm0

程序卡死在这个命令不动了

这个命令是用来干什么的呢？这里截取了相关解释：

这条指令是将xmm0寄存器中的值移动到栈上某个位置（rsp + 0x40）。movaps指令要求目标地址必须是16字节对齐的，如果不是的话，它会引发SIGSEGV（段错误）。

意思就是我们在使用printf开始的时候，我们的rsp指针一定要是16字节对齐的！

那我们应该怎么修改呢？

这里我修改了返回的地址，从一开始的vuln地址变成了舍去push rbp这个地址

因为对我第二遍使用的vuln函数来说其实有没有rbp都好像可以哈哈哈，这样就让rsp少了一次减去0x8的机会，让其保持在十六进制对齐，这样就可以进行printf的正常使用了！

完整代码如下：

别看这个原理很简单，但是了解这个东西真的耗费了好几个小时

white-canary

这个题我真的不该没做出来，这个题目正好打击的到我的一个弱项，那就是不喜欢看别的源代码函数，总以为是没用的初始化函数，但是其实并不是这个样子，有可能就是在这些函数中，就是存在着重要的突破口。

我们打开源代码文件

发现是存在向一个buf地址进行输入，同时存在一个栈溢出，还是一个gets栈溢出，没有长度限制

同时我们知道buf是一个有rwx权限的地方，证明可以在这个地方写shellcode

然后呢？然后我就没有思路了，在网上能查的关于canary泄露的，要不是有格式化字符串漏洞的泄露，要不是有子线程的爆破，但是我在这道题中都没用找到。

最后最后，才发现了有一个init函数，但是也没注意这个函数（因为我没看到调用），里面居然直接把canary算法写出来了！！！！

意思是我看的关于canary的都是无用功，唉

不过还是学习到了，要注意看除了main函数以外的其他函数是不是有突破空间。

而且事后其他师傅直接提点我：你看到gdb中这些函数的地址空间是有执行权限的就知道有着自己写的初始化函数了！

谢谢，我懂了

week 3

fmt2

这应该算是我第一次手搓格式化字符串的漏洞吧，就是还挺值得纪念的

主要是终于发现了，fmtstr_payload 函数真的在x64的系统上不好用，一直都会报不少错，所以手搓还是挺好的。

打开ida，发现是格式化漏洞

我们直接修改返回地址为one_gadget函数，同时注意，因为one_gadget函数也是在libc中的，所以也不至于直接全部改，改几个字节就好了

why_not_puts

ret2dlresolve超详细教程(x86&x64)-CSDN博客

文章浏览阅读3.8k次，点赞20次，收藏46次。X86前置知识在Linux中，程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容，从而控制解析的函数。延迟绑定第一次调用一个函数时，先是到plt表，然后jmp到got表此时got表存的地址是在plt表上其实也就是jmp got的下一条指令，这里先是push一个数字（该函数在rel.plt上的偏移,reloc_arg，后文会讲到），然后jmp到pl_ret2dlresolve

https://blog.csdn.net/qq_51868336/article/details/114644569

ez_fullprotection

自己想了好久做出来的题，还是感觉不一样，好爽哈哈哈哈

由题意，所有防御皆开启

再看看ida

进入game()

我们注意到v1这里是标了亮黄色的，这代表v1可能没有被赋值

我们通过gdb调试的话也可以看出：

我们进行了scanf之后，局部变量v1并没有被赋值，所以这就泄露了函数的地址，我们可以就此绕过PIE（但是为啥scanf没能赋值，我也没看懂，希望到时候的WP有写吧）

官方的wp是这样说的，它解释了关于scanf的一个性质：

scanf有个特性，当我们输⼊⾮法数据时，⽐如我们这⾥输⼊⾮数字，它不会覆盖原本参数的所在地址上的数据，从⽽利⽤后⾯的格式化字符串来打印出栈上数据，从⽽ leak 出 pie

意思就是如果我们输入的和scanf想要的不一样，它就不会改内存，所以内存里面的值就是原来的值

然后进入

发现新线程的函数中存在gets函数，明显栈溢出，但是我们知道此时这个子线程存在canary

经过网上的资料查询，发现是TLS劫持攻击：

CTF-pwn 技术总结（3）

CTF-pwn 技术总结（3)转载自https://forum.butian.net/share/1190 前言学习linux pwn，linux安全机制的知识是绕不开的。如果能理解这些安全机制的原理以及不懂得如何绕过它们，那么在比赛时将你举步维艰，本节我就总结了所有linux安全机制的基本原理以及具体的绕过方法，希望能帮助一些小萌新更快入门，帮助需要进阶的朋友打好根基。 linux安全机制详解与

https://sf2333.github.io/2022/02/01/CTF-pwn-技术总结（3）/

canary的各种姿势----pwn题解版 - 先知社区

先知社区，先知安全技术社区

https://xz.aliyun.com/t/4657#toc-5

原理：

TLS（Thread-Local Storage）劫持攻击是一种针对应用程序的攻击方法，它利用线程本地存储的机制来实施恶意活动。线程本地存储是一种允许数据在多个线程之间隔离的存储机制，每个线程都有自己的数据副本，常用于存储每个线程的用户会话、状态或配置。在TLS劫持攻击中，攻击者通过获取对目标进程足够的访问权限，然后修改TLS数据结构中的特定值，例如通过指针重定向、代码注入或数据篡改。

按照我的理解就是，开辟线程的时候，线程本地存储会将诸多相关的数据进行一个备份，放在这个线程内存高地址的地方。canary也是一样，这样线程就是直接对TLS中的canary副本进行对比，所以当我们进行比较大一点的栈溢出的时候，就可以进行覆盖，将其修改。这样在函数验证的时候就可以通过。

所以这个题就转化成了进行很大的栈溢出，看看其offset是多少。

我们可以用canary命令先在gdbdbg中看看canary大致在哪，然后自己对比

爆破脚本：

得到大概爆破是在0x870左右，我们在这个附近都行，只要超过了0x870就行

然后就是常规的ROP链操作了，这里用栈迁移比较方便，毕竟我也不知道泄露libc地址后该返回到哪里，也不知道返回到的地方有没有什么其他的限制，所以在bss+0x300的地址上先写个ROP链，再迁移过去就行

EVA

这个题是后面和T1d师傅讨论出来的，或者说是T1d师傅交给我了这个思路

这个思路应该是个非预期

这个思路就是：直接通过修改__stack_chk_fail 函数的got表来绕过canary

真的很厉害这个思路，感觉可以用于很多地方，只要在这个二进制文件保持着partial RELRO的程度，就可以尝试着修改__stack_chk_fail来进行修改，把这个函数的got表随便指向一个ret指令，就可以进行绕过canary的检查，把__stack_chk_fail函数变成一个空函数

我们查看源代码

可以看出，当我们选择‘2’后，可以修改rbp以及之后的0x10字节，也就是rbp和return地址

修改rbp就可以修改很多main函数之中调用的函数

可以看到从这个地方，改rbp的值来进行修改read函数覆盖的地方

还有write函数也可以被修改

所以可以通过先选2，然后发送

将rbp修改到这里

这样就可以泄漏libc基地址

泄漏完了之后到达重新选择1和2

选择1可以重新覆写rbp

在这个地方我们直接进行输入：

达到这个效果

可以看出我们此时直接将got表中的__stack_chk_fail 函数变成ret指令了。

这样就可以直接绕过canary了

这里是exp.py

week 4

fmt3

没做出来，不过应该就是关于fmt和栈迁移之类的操作

NotionNext BLOG

gitlet完成纪念

前言

学习到的东西

项目构建

相关链接

XYCTF 2024

baby_gift

反汇编代码

思路

初看

细看

printf

exp

fmt

低版本的exit_hook

simple_srop

fastfastfast

Fastbin reverse into tcache

stdout

mips

ptmalloc2 it's myheap

解法

ptmalloc2 it's myheap pro

原理

exit → __run_exit_handlers → __call_tls_dtors

exp

0xgame2023

week 1

shellcode

week 2

week 3

没了溢出，你能秒我？

关于one_gadget

fmt3

all-in-one-file

week 4

srop

结束了？

Hgame 2024 复现

Week 2

tcache posion

shellcodemaster

fastnote

week 3

Elden Ring Ⅲ

off-by-null（house of einherjar）

四川大学网络空间安全学院考研经验贴

数学

开始复习（12月到5月）

开始进入状态（5月到8月）

完全进入状态（8月到12月）

英语

政治

专业课

总结

GeekChallenge 2023

week1~2

password

ret2libc

ezpwn

fmt1.0

white-canary

week 3

fmt2

why_not_puts

ez_fullprotection

EVA

week 4

fmt3

`exit` → `__run_exit_handlers` → `__call_tls_dtors`