pwnable.kr memcpy

于 2019-10-21 01:13:12 发布
阅读量295 收藏
点赞数
分类专栏: PWN练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/r250414958/article/details/102650485
版权

在这里插入图片描述

老样子连上去看看,发现一个.c和一个readme
在这里插入图片描述
先看readme,大概说了教我们连接到哪去找这个.c可执行文件和flag
在这里插入图片描述
看一下memcpy.C

// compiled with : gcc -o memcpy memcpy.c -m32 -lm
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <sys/mman.h>
#include <math.h>

unsigned long long rdtsc(){
        asm("rdtsc");
}

char* slow_memcpy(char* dest, const char* src, size_t len){
	int i;
	for (i=0; i<len; i++) {
		dest[i] = src[i];
	}
	return dest;
}

char* fast_memcpy(char* dest, const char* src, size_t len){
	size_t i;
	// 64-byte block fast copy
	if(len >= 64){
		i = len / 64;
		len &= (64-1);
		while(i-- > 0){
			__asm__ __volatile__ (
			"movdqa (%0), %%xmm0\n"
			"movdqa 16(%0), %%xmm1\n"
			"movdqa 32(%0), %%xmm2\n"
			"movdqa 48(%0), %%xmm3\n"
			"movntps %%xmm0, (%1)\n"
			"movntps %%xmm1, 16(%1)\n"
			"movntps %%xmm2, 32(%1)\n"
			"movntps %%xmm3, 48(%1)\n"
			::"r"(src),"r"(dest):"memory");
			dest += 64;
			src += 64;
		}
	}

	// byte-to-byte slow copy
	if(len) slow_memcpy(dest, src, len);
	return dest;
}

int main(void){

	setvbuf(stdout, 0, _IONBF, 0);
	setvbuf(stdin, 0, _IOLBF, 0);

	printf("Hey, I have a boring assignment for CS class.. :(\n");
	printf("The assignment is simple.\n");

	printf("-----------------------------------------------------\n");
	printf("- What is the best implementation of memcpy?        -\n");
	printf("- 1. implement your own slow/fast version of memcpy -\n");
	printf("- 2. compare them with various size of data         -\n");
	printf("- 3. conclude your experiment and submit report     -\n");
	printf("-----------------------------------------------------\n");

	printf("This time, just help me out with my experiment and get flag\n");
	printf("No fancy hacking, I promise :D\n");

	unsigned long long t1, t2;
	int e;
	char* src;
	char* dest;
	unsigned int low, high;
	unsigned int size;
	// allocate memory
	char* cache1 = mmap(0, 0x4000, 7, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0);
	char* cache2 = mmap(0, 0x4000, 7, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0);
	src = mmap(0, 0x2000, 7, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0);

	size_t sizes[10];
	int i=0;

	// setup experiment parameters
	for(e=4; e<14; e++){	// 2^13 = 8K
		low = pow(2,e-1);
		high = pow(2,e);
		printf("specify the memcpy amount between %d ~ %d : ", low, high);
		scanf("%d", &size);
		if( size < low || size > high ){
			printf("don't mess with the experiment.\n");
			exit(0);
		}
		sizes[i++] = size;
	}

	sleep(1);
	printf("ok, lets run the experiment with your configuration\n");
	sleep(1);

	// run experiment
	for(i=0; i<10; i++){
		size = sizes[i];
		printf("experiment %d : memcpy with buffer size %d\n", i+1, size);
		dest = malloc( size );

		memcpy(cache1, cache2, 0x4000);		// to eliminate cache effect
		t1 = rdtsc();
		slow_memcpy(dest, src, size);		// byte-to-byte memcpy
		t2 = rdtsc();
		printf("ellapsed CPU cycles for slow_memcpy : %llu\n", t2-t1);

		memcpy(cache1, cache2, 0x4000);		// to eliminate cache effect
		t1 = rdtsc();
		fast_memcpy(dest, src, size);		// block-to-block memcpy
		t2 = rdtsc();
		printf("ellapsed CPU cycles for fast_memcpy : %llu\n", t2-t1);
		printf("\n");
	}

	printf("thanks for helping my experiment!\n");
	printf("flag : ----- erased in this source code -----\n");
	return 0;
}

分析一下这段代码做了什么

size_t sizes[10];
	int i=0;

	// setup experiment parameters
	for(e=4; e<14; e++){	// 2^13 = 8K
		low = pow(2,e-1);
		high = pow(2,e);
		printf("specify the memcpy amount between %d ~ %d : ", low, high);
		scanf("%d", &size);
		if( size < low || size > high ){
			printf("don't mess with the experiment.\n");
			exit(0);
		}
		sizes[i++] = size;
	}

从上代码中分析得到,需要输入2的n次幂和2的n+1次幂之间

	// run experiment
	for(i=0; i<10; i++){
		size = sizes[i];
		printf("experiment %d : memcpy with buffer size %d\n", i+1, size);
		dest = malloc( size );

这段代码分析得到,输入size后malloc分配空间,分配的空间大小就是我们输入的size大小。

memcpy(cache1, cache2, 0x4000);		// to eliminate cache effect
		t1 = rdtsc();
		slow_memcpy(dest, src, size);		// byte-to-byte memcpy
		t2 = rdtsc();
		printf("ellapsed CPU cycles for slow_memcpy : %llu\n", t2-t1);

		memcpy(cache1, cache2, 0x4000);		// to eliminate cache effect
		t1 = rdtsc();
		fast_memcpy(dest, src, size);		// block-to-block memcpy
		t2 = rdtsc();
		printf("ellapsed CPU cycles for fast_memcpy : %llu\n", t2-t1);
		printf("\n");

分配空间后,分别用slow_memcpy和fast_memcpy两种方式,对堆块内的数据向另外一个内存地址拷贝,并比较二者时间。那么分析一下slow_memcpy和fast_memcpy:

char* slow_memcpy(char* dest, const char* src, size_t len){
	int i;
	for (i=0; i<len; i++) {
		dest[i] = src[i];
	}
	return dest;
}

slow_memcpy是循环赋值

char* fast_memcpy(char* dest, const char* src, size_t len){
	size_t i;
	// 64-byte block fast copy
	if(len >= 64){
		i = len / 64;
		len &= (64-1);
		while(i-- > 0){
			__asm__ __volatile__ (
			"movdqa (%0), %%xmm0\n"
			"movdqa 16(%0), %%xmm1\n"
			"movdqa 32(%0), %%xmm2\n"
			"movdqa 48(%0), %%xmm3\n"
			"movntps %%xmm0, (%1)\n"
			"movntps %%xmm1, 16(%1)\n"
			"movntps %%xmm2, 32(%1)\n"
			"movntps %%xmm3, 48(%1)\n"
			::"r"(src),"r"(dest):"memory");
			dest += 64;
			src += 64;
		}
	}

	// byte-to-byte slow copy
	if(len) slow_memcpy(dest, src, len);
	return dest;
}

fast_memcpy是用asm汇编指令movdqa进行拷贝

拷贝结束后输出flag
编译运行一下
在这里插入图片描述
其实我这里编译完成后乱输入并没有报错,可能gcc编译器帮我做了一些优化
在这里插入图片描述
我还连接上readme提示的接口的程序乱输入尝试了一下,进程没执行完,但是没用获得到错误信息
在这里插入图片描述
在这里插入图片描述
查看了一下系统信息好像也是64位的
在这里插入图片描述
我看别人的writeup中写都是会产生如下的错误:
在这里插入图片描述

具体原因我还不明,知道的大佬可以在下面指导我一下,感激不尽,而且我看 反汇编在编译中也是和别人一样的,如下:
在这里插入图片描述
上面是出错的位置在fast_memcpy中用于内存复制的两个指令movdqa和movntps他们的操作数如果是内存地址的话,那么这个地址必须是16字节对齐的,否则会产生一般保护性异常导致程序退出。
而且在看别人的writeup中提到了这一点:

malloc在分配内存时它实际上还会多分配4字节用于存储堆块信息,所以如果分配a字节实际上分配的是a+4字节。另外32位系统上该函数分配的内存是以8字节对齐的

看到这里突然想到上面瞎输入不报错的原因有可能是我在64位的kali下执行的,但目前没有验证,但是看上面查询的操作系统别人也是64位的,有些矛盾,但可能有特殊设置,目前还不得知,等下次下一个32位的kali再来验证补充(我个人猜测目前可能是针对32位环境有这种错误,64我这里验证是没有的)

既然知道了这两点就知道程序的异常退出是因为分配的内存没有16字节对齐,那么要getflag,只需要每次分配的内存地址能够被16整除就可以了(实际上由于malloc函数分配的内存8字节对齐,只要内存大小除以16的余数大于9就可以了)。
下面是exp

from socket import *
import time

def work():
    host = 'pwnable.kr'
    port = 9022
    
    sock = socket(AF_INET,SOCK_STREAM)
    sock.connect((host,port))
    
    print sock.recv(100)
    for i in xrange(4,14):
        tmp = 2**i-4
        print sock.recv(1024),tmp
        time.sleep(1)
        sock.send(str(tmp)+'\n')
        
    while True:
        r = sock.recv(1024)
        if r:
            print r
            time.sleep(0.5)
        else:
            break

work()

保存运行

C:\Users\xxx\Desktop>python exp.py
Hey, I have a boring assignment for CS class.. :(
The assignment is simple.
------------------------
-----------------------------
- What is the best implementation of memcpy?        -
- 1. implement your own slow/fast version of memcpy -
- 2. compare them with various size of data         -
- 3. conclude your experiment and submit report     -
-----------------------------------------------------
This time, just help me out with my experiment and get flag
No fancy hacking, I promise :D
specify the memcpy amount between 8 ~ 16 :  12
specify the memcpy amount between 16 ~ 32 :  28
specify the memcpy amount between 32 ~ 64 :  60
specify the memcpy amount between 64 ~ 128 :  124
specify the memcpy amount between 128 ~ 256 :  252
specify the memcpy amount between 256 ~ 512 :  508
specify the memcpy amount between 512 ~ 1024 :  1020
specify the memcpy amount between 1024 ~ 2048 :  2044
specify the memcpy amount between 2048 ~ 4096 :  4092
specify the memcpy amount between 4096 ~ 8192 :  8188
ok, lets run the experiment with your configuration


experiment 1 : memcpy with buffer size 12
ellapsed CPU cycles for slow_memcpy : 2040
ellapsed CPU cycles for fast_memcpy : 254

experiment 2 : memcpy with buffer size 28
ellapsed CPU cycles for slow_memcpy : 444
ellapsed CPU cycles for fast_memcpy : 292

experiment 3 : memcpy with buffer size 60
ellapsed CPU cycles for slow_memcpy : 592
ellapsed CPU cycles for fast_memcpy : 478

experiment 4 : memcpy with buffer size 124
ellapsed CPU cycles for slow_memcpy : 962
ellapsed CPU cycles for fast_memcpy : 558

experiment 5 : memcpy with buffer size 252
ellapsed CPU cycles for slow_memcpy : 1818
ellapsed CPU cycles for fast_memcpy : 564

experiment 6 : memcpy with buffer size 508
ellapsed CPU cycles for slow_memcpy : 3496
ellapsed CPU cycles for fast_memcpy : 574

experiment 7 : memcpy with buffer size 1020
ellapsed CPU cycles for slow_memcpy : 6840
ellapsed CPU cycles for fast_memcpy : 724

experiment 8 : memcpy with buffer size 2044
ellapsed CPU cycles for slow_memcpy : 13790
ellapsed CPU cycles for fast_memcpy :
1040

experiment 9 : memcpy with buffer size 4092
ellapsed CPU cycles for slow_memcpy : 28216
ellapsed CPU cycles for fast_memcpy : 1874

experiment 10 : memcpy with buffer size 8188
ellapsed CPU cycles for slow_memcpy : 61294
ellapsed CPU cycles for fast_memcpy : 2874

thanks for helping my experiment!
flag : 1_w4nn4_br34K_th3_m3m0ry_4lignm3nt

获得flag :)

QQQqQqqqqrrrr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable.krmemcpy
weixin_30532837的博客
07-13 1349
pwnable的新一题,和堆分配相关。 http://pwnable.kr/bin/memcpy.c ssh memcpy@pwnable.kr -p2222 (pw:guest) 我觉得主要考察的是堆块分配问题。 推荐《C和C++安全编码》 首先通过阅读源代码,看一下题目大意。 // compiled with : gcc -o memcpy memcpy.c -m32 -l...
pwnable.krmemcpy - RDSTC指令对齐 - malloc chunk
think_ycx的专栏
10-15 804
memcpy - 10 pt Are you tired of hacking?, take some rest here. Just help me out with my small experiment regarding memcpy performance. after that, flag is yours. http://pwnable.kr/bin/memcpy.c ss...
memcpy - pwnable
SkYe's Blog
09-15 406
memcpy - pwnable 题目 题目只给出源码和readme文档,就直接po出来。 #readme the compiled binary of "memcpy.c" source code (with real flag) will be executed under memcpy_pwn privilege if you connect to port 9022. execute th...
pwnablememcpy
pwd_3的博客
09-25 1373
问题描述Are you tired of hacking?, take some rest here. Just help me out with my small experiment regarding memcpy performance. after that, flag is yours.http://pwnable.kr/bin/memcpy.cmemcpy.c// compiled
Pwnable之[Toddler's Bottle](三)--memcpy
杀生丸?不,其实我要的是桔梗
03-30 377
Pwnable之[Toddler’s Bottle](三)–memcpy 提示是: Are you tired of hacking?, take some rest here. Just help me out with my small experiment regarding memcpy performance. after that, flag is yours. 黑累了吗?...
5.编程实现memcpy.docx
11-21
编程实现memcpy memcpy是C语言标准库中的一种函数,它可以将源内存块的内容复制到目标内存块中。其函数原型为void *memcpy(void *destination, const void *source, size_t num),其中destination是目标内存块的...
pwnable_kr:壳牌我们玩游戏吗?
05-14
Pwnable.kr 此仓库将保存我对pwnable.kr wargames的解决方案 [婴儿奶瓶] fd 碰撞 转炉 旗帜 密码 随机的 输入 腿 错误 炮击 硬币1 二十一点 乐透 命令1 命令2 af 码图 Memcpy 汇编 取消连结 ...
strEX.rar_memcpy_strcpy
07-15
void memsetEX(unsigned char *dst,unsigned char val,unsigned char len); void memcpyEX(unsigned char *dst,unsigned char *src,unsigned char len); unsigned char memcmpEX(unsigned char *dst,unsigned char...
memcpy 和strcpy 的区别
05-04
memcpy 和 strcpy 的区别 memcpy 和 strcpy 都是标准 C 库函数,都是用于从一块内存复制一段连续的数据到另一块内存,但是它们之间存在一些关键的区别。 首先,strcpy 函数用于复制字符串,它从源字符串的起始地址...
memcpy.zip
07-08
在提供的`memcpy.c`和`memcpy.h`文件中,我们可以看到`memcpy`的实现细节。`memcpy.c`可能包含一个自定义的`memcpy`实现,考虑了特定的平台优化,如循环展开、预取数据等。而`memcpy.h`则可能包含了函数原型声明,供...
pwnable.kr第二遍---unlink asm memcpy
leeham的博客
03-16 395
pwnable.kr需要学会的内容:&gt;&gt;&gt;&gt;&gt;unlink如何查看堆栈的内存分布?查看源代码的汇编:gdb disassemble funcmov和lea的关系mov的第二个操作是只能是常量,不能是表达式lea ecx,eax 语法错误lea ecx,[eax] 将eax的值给ecx,[]中可以是表达式mov ecx,eax 将eax的值给ecx,第二个操作数不能使表...
pwnable.kr memcpy之write up
weixin_33743661的博客
08-16 101
1 // compiled with : gcc -o memcpy memcpy.c -m32 -lm 2 #include <stdio.h> 3 #include <string.h> 4 #include <stdlib.h> 5 #include <signal.h> 6 #include <un...
pwnable.kr-unlink
r00tnb的博客
07-26 418
前言 这是一道简化了的linux下malloc堆溢出漏洞利用。需要理解linux下关于glibc的堆管理的相关内容,参考 分析 分析源码unlink.c typedef struct tagOBJ{ struct tagOBJ* fd; struct tagOBJ* bk; char buf[8]; }OBJ; void shell(){ syst...
pwnable.kr之simple login详解
Bill
04-26 2094
学习二进制不容易,大家要忍得住寂寞,耐得住孤独,进入正题. 总体思路: 输入更多的数据,溢出,修改main的返回值地址,使其返回到correct中,从而获取shell. 大家可能会有疑问:为什么不修改auth函数的返回值地址,跳到correct中.这是因为长度不够,我们需要输入16个字节的长度,才能覆盖返回值地址,但是程序只给了我们12个字节的长度. main函数int main(int
pwnable.kr解题write up —— Toddler's Bottle(二)
逆水行舟
01-21 4546
网站地址:pwnable.kr 提供许多优质的ctf训练题,题目设计的都非常巧妙,适合思考。
direct x264编译中16字节对齐修改
水牛阿贵
03-30 1552
先说说x264,x264是实现H264编码的最实用开源码,目前在官网http://www.videolan.org/developers/x264.html上可供下载,不过由于源码在linux上进行开发,因此down下的代码并不能直接在VS2010上进行编译调试,这给很多windows用户的开发者带来了不少的麻烦和工作量。不过庆幸的是,sourceforge上有大牛已经帮你解决了大部分window
AM4系统前端探究-npm包的使用
热门推荐
测试
07-24 5万+
Please enter the password to read the blog. Incorrect Password! No content to display! U2FsdGVkX1+T1mQ2PgpYXNF+2CxVkngCnIIXoWHj1Nph/cyf3ANuyMskD2ldHjnOUZ0WKe62AHsR1w...
一次PwnLab挑战的技术解析
think_ycx的专栏
02-01 1128
https://zhuanlan.zhihu.com/p/23890705 作者:嘶吼吼 链接:https://zhuanlan.zhihu.com/p/23890705 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 这是一个boot2root挑战,叫做Pwnlab。我门用vbox运行Pwnlab,并用nmap扫描了下,扫描结果如下: 我
cudart.cudaMemcpy
最新发布
12-22
`cudart.cudaMemcpy`是CUDA库中的一个函数,用于在主机和设备之间进行内存数据的传输。它的原型如下: ```python cudart.cudaMemcpy(dst, src, count, kind) ``` 其中,`dst`是目标内存地址,`src`是源内存地址,`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值