看不见的彼方:互换空间——小菜一碟

河曲智叟  论坛元老 | 2024-12-1 04:44:59 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 1037|帖子 1037|积分 3111

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x



有个蓝色的链接,先去看看两年前的题目标write up
(https://github.com/USTC-Hackergame/hackergame2022-writeups/blob/master/official/%E7%9C%8B%E4%B8%8D%E8%A7%81%E7%9A%84%E5%BD%BC%E6%96%B9/README.md)
从别人的write up中相识到,可以用信号和IPC来传递数据,而这个IPC指的就是消息队列(msgget 等)和共享内存(shmget 等),留意一定要使用System V的 API,因为posix的那几个会依赖文件系统而不能使用。
历程间通信的题目解决了,接下来就是内存限制的处置处罚了。固然不能完全复制,但是一次复制个2MiB 照旧没题目标。开一个2MiB大小的共享内存空间,然后前半部分用来把A的文件内容传给B,后半部分用来把 B 的文件内容传给 A,写入到文件的时候直接原位置覆盖写入即可。每次传递两个1MiB 大小的文件片断,再加上用消息队列跨历程同步,整个事情就成了。
容器内存限制 316 MiB,你提交的程序文件会复制为两份,分别占用一份内存空间。环境限制总 PID 数为 32。对于 chroot 内部的历程,只有 /space 可读写。/space(/home/pwn/A/space/ 和 /home/pwn/B/space/)为 tmpfs,使用内存空间。
已经尝试过让AI天生代码,但照旧不行,代码这块我不认识,下面是大佬的write up的代码:
  1. #include <unistd.h>
  2. #include <signal.h>
  3. #include <stdio.h>
  4. #include <stdlib.h>
  5. #include <fcntl.h>
  6. #include <sys/stat.h>
  7. #include <sys/msg.h>
  8. #include <sys/shm.h>
  10. void perror_exit(char* message){
  11.         perror(message);
  12.         exit(-1);
  13. }
  15. struct message {
  16.     long type;
  17.     char buffer[4];
  18. };
  20. int main()
  21. {
  22.         printf("a start\n");
  23.         int mqab=msgget(12450,0666 |IPC_CREAT);
  24.         if(mqab<0){
  25.                 perror_exit("msgget swapab error");
  26.         }
  27.         int mqba=msgget(12451,0666 |IPC_CREAT);
  28.         if(mqba<0){
  29.                 perror_exit("msgget swapba error");
  30.         }
  31.         int shm=shmget(12452,2*1024*1024,0666 |IPC_CREAT);
  32.         if(mqba<0){
  33.                 perror_exit("shmget error");
  34.         }
  35.         void* mem=shmat(shm,0,0);
  36.         if(mem==(void*)(-1)){
  37.                 perror_exit("shmat error");
  38.         }
  39.         int fd=open("/space/file",O_RDWR);
  40.         if(fd<0){
  41.                 perror_exit("open error");
  42.         }
  43.         printf("a ok\n");
  44.         char* read_start=((char*)(mem));
  45.         char* write_start=((char*)(mem))+1024*1024;
  46.         for(int i=0;i<128;i++){
  47.                 int segment_start=i*1024*1024;
  48.                 // 读出文件内容
  49.                 off_t read_off=lseek(fd,segment_start,SEEK_SET);
  50.                 if(read_off<0){
  51.                         perror_exit("lseek error");
  52.                 }
  53.                 int read_count=0;
  54.                 while(read_count<1024*1024){
  55.                         int read_len=read(fd,read_start+read_count,1024*1024-read_count);
  56.                         if(read_len<0){
  57.                                 perror_exit("read error");
  58.                         }
  59.                         read_count+=read_len;
  60.                 }
  61.                 // 发送同步信号
  62.                 struct message out;
  63.                 out.type=1;
  64.                 if (msgsnd(mqab, &out, sizeof (struct message), 0) <0) {
  65.                         perror_exit("msgsnd error");
  66.         }
  67.                 // 接收同步信号
  68.                 struct message in;
  69.                 if (msgrcv(mqba, &in, sizeof (struct message),0, 0) <0) {
  70.                         perror_exit("msgrcv error");
  71.         }
  72.                 // 写回文件内容
  73.                 off_t write_off=lseek(fd,segment_start,SEEK_SET);
  74.                 if(write_off<0){
  75.                         perror_exit("lseek error");
  76.                 }
  77.                 int write_count=0;
  78.                 while(write_count<1024*1024){
  79.                         int write_len=write(fd,write_start+write_count,1024*1024-write_count);
  80.                         if(write_len<0){
  81.                                 perror_exit("write error");
  82.                         }
  83.                         write_count+=write_len;
  84.                 }
  85.         }
  86.         printf("a complete\n");
  87. }
复制代码
  1. #include <unistd.h>
  2. #include <signal.h>
  3. #include <stdio.h>
  4. #include <stdlib.h>
  5. #include <fcntl.h>
  6. #include <sys/stat.h>
  7. #include <sys/msg.h>
  8. #include <sys/shm.h>
  10. void perror_exit(char* message){
  11.         perror(message);
  12.         exit(-1);
  13. }
  15. struct message {
  16.     long type;
  17.     char buffer[4];
  18. };
  20. int main()
  21. {
  22.         printf("b start\n");
  23.         int mqab=msgget(12450,0666 |IPC_CREAT);
  24.         if(mqab<0){
  25.                 perror_exit("msgget swapab error");
  26.         }
  27.         int mqba=msgget(12451,0666 |IPC_CREAT);
  28.         if(mqba<0){
  29.                 perror_exit("msgget swapba error");
  30.         }
  31.         int shm=shmget(12452,2*1024*1024,0666 |IPC_CREAT);
  32.         if(mqba<0){
  33.                 perror_exit("shmget error");
  34.         }
  35.         void* mem=shmat(shm,0,0);
  36.         if(mem==(void*)(-1)){
  37.                 perror_exit("shmat error");
  38.         }
  39.         int fd=open("/space/file",O_RDWR);
  40.         if(fd<0){
  41.                 perror_exit("open error");
  42.         }
  43.         printf("b ok\n");
  44.         char* read_start=((char*)(mem))+1024*1024;
  45.         char* write_start=((char*)(mem));
  46.         for(int i=0;i<128;i++){
  47.                 int segment_start=i*1024*1024;
  48.                 // 接收同步信号
  49.                 struct message in;
  50.                 if (msgrcv(mqab, &in, sizeof (struct message),0, 0) <0) {
  51.                         perror_exit("msgrcv error");
  52.         }
  53.                 // 读出文件内容
  54.                 off_t read_off=lseek(fd,segment_start,SEEK_SET);
  55.                 if(read_off<0){
  56.                         perror_exit("lseek error");
  57.                 }
  58.                 int read_count=0;
  59.                 while(read_count<1024*1024){
  60.                         int read_len=read(fd,read_start+read_count,1024*1024-read_count);
  61.                         if(read_len<0){
  62.                                 perror_exit("read error");
  63.                         }
  64.                         read_count+=read_len;
  65.                 }
  66.                 // 写回文件内容
  67.                 off_t write_off=lseek(fd,segment_start,SEEK_SET);
  68.                 if(write_off<0){
  69.                         perror_exit("lseek error");
  70.                 }
  71.                 int write_count=0;
  72.                 while(write_count<1024*1024){
  73.                         int write_len=write(fd,write_start+write_count,1024*1024-write_count);
  74.                         if(write_len<0){
  75.                                 perror_exit("write error");
  76.                         }
  77.                         write_count+=write_len;
  78.                 }
  79.                 // 发送同步信号
  80.                 struct message out;
  81.                 out.type=1;
  82.                 if (msgsnd(mqba, &out, sizeof (struct message), 0) <0) {
  83.                         perror_exit("msgsnd error");
  84.         }
  85.         }
  86.         printf("b complete\n");
  87. }
复制代码
编译之后上传文件:






乐成得到flag:flag{just A p1ece 0f cake_2e65492b77}

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

河曲智叟

论坛元老
这个人很懒什么都没写!

楼主热帖

标签云

AI 运维 CIO 存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表