当前位置：首页 > news >正文

看不见的彼方：交换空间——小菜一碟

news 文章来源：https://blog.csdn.net/weixin_73049307/article/details/144162644 2025/1/11 22:42:37

有个蓝色的链接，先去看看两年前的题目的write up

（https://github.com/USTC-Hackergame/hackergame2022-writeups/blob/master/official/%E7%9C%8B%E4%B8%8D%E8%A7%81%E7%9A%84%E5%BD%BC%E6%96%B9/README.md）

从别人的write up中了解到，可以用信号和IPC来传递数据，而这个IPC指的就是消息队列（msgget 等）和共享内存（shmget 等），注意一定要使用System V的 API，因为posix的那几个会依赖文件系统而不能使用。

进程间通信的问题解决了，接下来就是内存限制的处理了。虽然不能完全复制，但是一次复制个2MiB 还是没问题的。开一个2MiB大小的共享内存空间，然后前半部分用来把A的文件内容传给B，后半部分用来把 B 的文件内容传给 A，写入到文件的时候直接原位置覆盖写入即可。每次传递两个1MiB 大小的文件片段，再加上用消息队列跨进程同步，整个事情就成了。

容器内存限制 316 MiB，你提交的程序文件会复制为两份，分别占用一份内存空间。环境限制总 PID 数为 32。对于 chroot 内部的进程，只有 /space 可读写。/space（/home/pwn/A/space/ 和 /home/pwn/B/space/）为 tmpfs，使用内存空间。

已经尝试过让AI生成代码，但还是不行，代码这块我不熟悉，下面是大佬的write up的代码：

#include <unistd.h>
#include <signal.h>
#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <sys/stat.h>
#include <sys/msg.h>
#include <sys/shm.h>void perror_exit(char* message){perror(message);exit(-1);
}struct message {long type;char buffer[4];
};int main()
{printf("a start\n");int mqab=msgget(12450,0666 |IPC_CREAT);if(mqab<0){perror_exit("msgget swapab error");}int mqba=msgget(12451,0666 |IPC_CREAT);if(mqba<0){perror_exit("msgget swapba error");}int shm=shmget(12452,2*1024*1024,0666 |IPC_CREAT);if(mqba<0){perror_exit("shmget error");}void* mem=shmat(shm,0,0);if(mem==(void*)(-1)){perror_exit("shmat error");}int fd=open("/space/file",O_RDWR);if(fd<0){perror_exit("open error");}printf("a ok\n");char* read_start=((char*)(mem));char* write_start=((char*)(mem))+1024*1024;for(int i=0;i<128;i++){int segment_start=i*1024*1024;// 读出文件内容off_t read_off=lseek(fd,segment_start,SEEK_SET);if(read_off<0){perror_exit("lseek error");}int read_count=0;while(read_count<1024*1024){int read_len=read(fd,read_start+read_count,1024*1024-read_count);if(read_len<0){perror_exit("read error");}read_count+=read_len;}// 发送同步信号struct message out;out.type=1;if (msgsnd(mqab, &out, sizeof (struct message), 0) <0) {perror_exit("msgsnd error");}// 接收同步信号struct message in;if (msgrcv(mqba, &in, sizeof (struct message),0, 0) <0) {perror_exit("msgrcv error");}// 写回文件内容off_t write_off=lseek(fd,segment_start,SEEK_SET);if(write_off<0){perror_exit("lseek error");}int write_count=0;while(write_count<1024*1024){int write_len=write(fd,write_start+write_count,1024*1024-write_count);if(write_len<0){perror_exit("write error");}write_count+=write_len;}}printf("a complete\n");
}

#include <unistd.h>
#include <signal.h>
#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <sys/stat.h>
#include <sys/msg.h>
#include <sys/shm.h>void perror_exit(char* message){perror(message);exit(-1);
}struct message {long type;char buffer[4];
};int main()
{printf("b start\n");int mqab=msgget(12450,0666 |IPC_CREAT);if(mqab<0){perror_exit("msgget swapab error");}int mqba=msgget(12451,0666 |IPC_CREAT);if(mqba<0){perror_exit("msgget swapba error");}int shm=shmget(12452,2*1024*1024,0666 |IPC_CREAT);if(mqba<0){perror_exit("shmget error");}void* mem=shmat(shm,0,0);if(mem==(void*)(-1)){perror_exit("shmat error");}int fd=open("/space/file",O_RDWR);if(fd<0){perror_exit("open error");}printf("b ok\n");char* read_start=((char*)(mem))+1024*1024;char* write_start=((char*)(mem));for(int i=0;i<128;i++){int segment_start=i*1024*1024;// 接收同步信号struct message in;if (msgrcv(mqab, &in, sizeof (struct message),0, 0) <0) {perror_exit("msgrcv error");}// 读出文件内容off_t read_off=lseek(fd,segment_start,SEEK_SET);if(read_off<0){perror_exit("lseek error");}int read_count=0;while(read_count<1024*1024){int read_len=read(fd,read_start+read_count,1024*1024-read_count);if(read_len<0){perror_exit("read error");}read_count+=read_len;}// 写回文件内容off_t write_off=lseek(fd,segment_start,SEEK_SET);if(write_off<0){perror_exit("lseek error");}int write_count=0;while(write_count<1024*1024){int write_len=write(fd,write_start+write_count,1024*1024-write_count);if(write_len<0){perror_exit("write error");}write_count+=write_len;}// 发送同步信号struct message out;out.type=1;if (msgsnd(mqba, &out, sizeof (struct message), 0) <0) {perror_exit("msgsnd error");}}printf("b complete\n");
}

编译之后上传文件：

成功得到flag：flag{just A p1ece 0f cake_2e65492b77}

看不见的彼方：交换空间——小菜一碟

相关文章：

看不见的彼方：交换空间——小菜一碟

YOLO模型训练后的best.pt和last.pt区别

Pareidoscope - 语言结构关联工具

GPT（Generative Pre-trained Transformer）和 Transformer的比较

软件无线电(SDR)的架构及相关术语

Python将Excel文件转换为JSON文件

排序算法之选择排序篇

sizeof和strlen区分，（好多例子）

A050-基于spring boot物流管理系统设计与实现

[自然语言处理] NLP-RNN及其变体-干货

Elasticsearch ILM 索引生命周期管理讲解与实战

重塑视频新语言，让每一帧都焕发新生——Video-Retalking，开启数字人沉浸式交流新纪元！

联想Lenovo SR650服务器硬件监控指标解读

二十一、QT C++

微服务上下线动态感知实现的技术解析

指针与引用错题汇总

短视频账号矩阵系统源码--独立saas技术部署

leaflet 介绍

总结贴:Servlet过滤器、MVC拦截器

鸿蒙开发：自定义一个任意位置弹出的Dialog

在Windows下编译支持https的wsdl2h

PHP和GD库如何根据像素绘制图形

webpack（react）基本构建

《Opencv》基础操作＜1＞

Oracle 11g R2 RAC 到单实例 Data Guard 搭建（RMAN备份方式）

HTTPS 加密

泛微e9开发编写前端请求后端接口方法以及编写后端接口

Linux —— 《线程控制》

基于HTML+CSS的房地产销售网站设计与实现

操作系统 | 学习笔记 | 王道 | 2.4死锁

手机网站建设软件有哪些/cps广告联盟

网站如何做银联在线支付/铁岭网站seo

国际网站建设招标/合肥seo建站

南京网站制作报价/网络广告推广方式

招聘网站源码下载/app推广兼职是诈骗吗

网络公司排名及分析/河南seo