这是一个创建于 126 天前的主题,其中的信息可能已经有所发展或是发生改变。
strcpy(end+32, argv[1]); 为什么是偏移 32 呢,run 应该占用了一个 64 字节 的指针才对啊,有点儿疑惑
https://pdos.csail.mit.edu/6.828/2024/labs/syscall.html
struct run { struct run *next; }; int main(int argc, char *argv[]) { if(argc != 2){ printf("Usage: secret the-secret\n"); exit(1); } char *end = sbrk(PGSIZE*32); end = end + 9 * PGSIZE; strcpy(end, "my very very very secret pw is: "); strcpy(end+32, argv[1]); printf("secret pointer: %p\n", end); exit(0); } 第 1 条附言 126 天前
1. 是我搞糊涂指针和位的计算了.
2. 最小应该是 offset + 8 ,移动 8 个字节,8 * 8 = 64.
3. 32 是字节数,因为 end 是 char*,+1 会移动一个字节.
2. 最小应该是 offset + 8 ,移动 8 个字节,8 * 8 = 64.
3. 32 是字节数,因为 end 是 char*,+1 会移动一个字节.
2 条回复 2025-08-13 11:07:23 +08:00
 | 1 aynakeya 125 天前  1 虽然好像你懂了,但是我还是还是回一下。 sbrk 申请一块新的 heap ,总之就是向系统申请了一块内存。 然后往那块内存的第 10 个 page 写了`"my very very very secret pw is: "` 这个字符串,这串字符串长度是 34 byte. char 的大小是 1byte ,+32 就是移动指针到"is: _"这边然后写入 secret ,所以最后在第 10 个 page 里就会有"my very very very secret pw is: some_random_secret"。 这块和`struct run `没有多大关系 然后稍微看了一下 lab ,可能有剧透。 没仔细看,先运行 secret 然后再运行 attack ,两个都是 fork 然后 exec 。所以我猜应该两个 proc 可以拿到相同的 page 。然后 lab 里写了没 memset 清空 page ,所以应该直接申请一堆 page 暴力看哪个 page 开头有"my"就 ok 了。 |
Select Language