C7

just a test

来复现下肥猫出的题目 至于漏洞点我就不贴了，就是个2.32下的uaf，然后开了沙盒，然后限制在了largebin，这里我就直接调它的exp了。 因为开了混淆，所以我没怎么看反汇编，这里知道的是使用calloc函数。 首先申请了四个堆块 add(0x410,'c7')#0add(0x450,'c8')#1add(0x420,'c9')#2add(0x450,'ca')#3 然后释放两个堆块 free(0)free(2) 这里就是很传统的放两个chunk进unsortedbin中，然后申请一个大的chunk之后就能把这两个chunk放到largebin中 add(0x450,'ca')#4 可以看到上面的图，申请了大的chunk之后确实把两个chunk放入到了largebin中 show(0)p.recvuntil('Content: ')libc_base = u64(p.recv(6).ljust(8,'\x00')) - 0x1e3ff0p ...

概述本lab是6.828默认的最后一个实验，围绕网络展开。主要就做一件事 从0实现网络驱动。 还提到一些比较重要的概念： 内存映射I/O DMA 用户级线程实现原理 The Network Server从0开始写协议栈是十分困难的，我们将使用IwIP，这是一种轻量级TCP/IP的实现，更多的IwIP信息可以参考lwIP官网。对于我们来说IwIP就像是实现了BSD socket接口的黑盒，分别有一个包输入和包输出端口。 JOS网络服务由四个进程组成： 核心网络进程： 核心网络进程由socket调用分发器和IwIP组成。socket调用分发器和文件服务一样。用户进程发送IPC消息给核心网络进程。 用户进程不直接使用nsipc_*开头的函数调用，而是使用lib/socket.c中的函数。这样用户进程通过文件描述符来访问socket。 文件服务和网络服务有很多相似的地方，但是最大的不同点在于，BSD socket调用accept和recv可能会阻塞，如果分发调用IwIP这些阻塞的函数，自己也会阻塞，这样就只能提供一个网络服务了。显然是不能接受的，网络服务将使用用户级的线程来避免这种情况 ...

File system preliminaries我们要完成一个相对简单的文件系统，其可以实现创建、读、写以及删除在分层目录结构中组织的文件。目前，我们的OS只支持单用户，因此我们的文件系统也不支持UNIX文件拥有或权限的概念。同时不支持硬链接、符号链接、时间戳或者特别的设备文件。 On-Disk File System StructureJOS的文件系统不适用inodes，所有文件的元数据都被存储在directory entry中。 文件和目录逻辑上都是由一系列数据block组成，这些blocks分散在磁盘中，文件系统屏蔽block分布的细节，提供一个可以顺序读写文件的接口。JOS文件系统允许用户读目录元数据，这就意味着用户可以扫描目录来像实现ls这种程序，UNIX没有采用这种方式的原因是，这种方式使得应用程序过度依赖目录元数据格式。 Sectors and Blocks大部分磁盘都是以为Sectors为粒度进行读写，JOS中Secotrs为512字节。文件系统以block为单位分配和使用磁盘。注意区别，secotr size是磁盘的属性，block size是操作系统使用磁盘的粒度 ...

在lab4中多了如下文件：kern/cpu.h、kern/mpconfig.c、kern/lapic.c、kern/mpentry.S、kern/spinlock.h、kern/spinlock.c、kern/sched.c Part A: Multiprocessor Support and Cooperative Multitasking在这个lab的第一部分，我们首先拓展JOS让其能在多处理器系统上运行，然后实现一些新的JOS内核系统调用以允许用户级环境创建额外的新环境。还将实现协作循环调度，当当前环境自愿放弃CPU(或退出)时，允许内核从一种环境切换到另一种环境。在第三部分中，还将实现抢占式调度，即使环境不合作，它也允许内核在经过一定时间后从环境中重新控制CPU。 Multiprocessor Support我们将让JOS支持”对称多处理”(SMP)，一种多处理器模型，其中所有CPU都具有对系统资源(如内存和IO总线)的同等访问权限。虽然在SMP模型中所有的CPU的功能都是相同的，但是启动的过程中，还是可以分为两种类型：引导处理器(BSP)负责初始化系统和引导操作系统；另一种是 ...

任务修改kern/trap.c文件，使其能够实现：当在内核模式下发现页错，trap.c 文件会panic。 分析题目要求我们在检测到这个 page fault 是出现在内核态时，要把这个事件 panic 出来，所以我们把 page_fault_handler 文件修改如下 voidpage_fault_handler(struct Trapframe *tf){ uint32_t fault_va; // Read processor's CR2 register to find the faulting address fault_va = rcr2(); // Handle kernel-mode page faults. if((tf->tf_cs && 0x1) == 0 ){ panic("page fault in kernel-mode,fault address %d\n",fault_va); } // LAB 3: Your code here. // We've alre ...

任务给中断向量T_SYSCALL编写一个中断处理函数。我们需要去编辑kern/trapentry.S和kern/trap.c中的trap_init函数。也需要去修改trap_dispatch()函数，使他能够通过调用syscall()(在kern/syscall.h中定义)函数处理系统调用中断。最终你需要去实现kern/syscall.c中的syscall函数。确保这个函数会在系统调用号为非法值时返回-E_INVAL。我们应该充分理解lib/syscall.c文件。我们要处理在inc/syscall.h文件中定义的所有系统调用。通过make run-hello指令来运行 user/hello 程序，它应该在控制台上输出 “hello, world” 然后出发一个页中断。如果没有发生的话，代表你编写的系统调用处理函数是不正确的 分析我们需要了解一下系统调用的整个流程，如果现在运行的是内核态的程序的话，此时调用了一个系统调用，比如 sys_cputs 函数时，此时不会触发中断，那么系统会直接执行定义在 lib/syscall.c 文件中的 sys_cputs，我们可以看一下这个文件，可以发 ...

任务修改trap_dispatch()使断点异常发生时，能够触发kernel monitor。修改完成后运行 make grade，运行结果应该是你修改后的 JOS 能够正确运行 breakpoint 测试程序。 分析这个练习其实和上一个练习是类似的，只不过是在这里我们需要处理断点中断 (T_BRKPT)，kernel monitor 就是定义在 kern/monitor.c 文件中的 monitor 函数，所以修改后的程序如下 static voidtrap_dispatch(struct Trapframe *tf){ // Handle processor exceptions. // LAB 3: Your code here. if (tf->tf_trapno == T_PGFLT) { page_fault_handler(tf); return; } if (tf->tf_trapno == T_BRKPT) { monitor(tf); return; } // Unexpected trap: T ...

任务修改一下 trap_dispatch 函数，使系统能够把缺页异常引导到 page_fault_handler() 上执行。在修改完成后，运行 make grade，出现的结果应该是你修改后的 JOS 可以成功运行 faultread，faultreadkernel，faultwrite，faultwritekernel 测试程序。 分析据 trapentry.S 文件中的 TRAPHANDLER 函数可知，这个函数会把当前中断的中断码压入堆栈中，再根据 inc/trap.h 文件中的 Trapframe 结构体我们可以知道，Trapframe 中的 tf_trapno 成员代表这个中断的中断码。所以在 trap_dispatch 函数中我们需要根据输入的 Trapframe 指针 tf 中的 tf_trapno 成员来判断到来的中断是什么中断，这里我们需要判断是否是缺页中断，如果是则执行 page_fault_handler 函数，所以我们可以这么修改代码 static voidtrap_dispatch(struct Trapframe *tf){ // Handle ...

任务编辑一下trapentry.S 和 trap.c 文件，并且实现上面所说的功能。宏定义 TRAPHANDLER 和 TRAPHANDLER_NOEC 会对你有帮助。你将会在 trapentry.S文件中为在inc/trap.h文件中的每一个trap加入一个入口值， 你也将会提供_alttraps的值。 你需要修改trap_init()函数来初始化idt表，使表中每一项指向定义在trapentry.S中的入口指针，SETGATE宏定义在这里用得上。 　　　　你所实现的 _alltraps 应该： 　　　　1. 把值压入堆栈使堆栈看起来像一个结构体 Trapframe 　　　　2. 加载 GD_KD 的值到 %ds, %es寄存器中 　　　　3. 把%esp的值压入，并且传递一个指向Trapframe的指针到trap()函数中。 　　　　4. 调用trap 　　考虑使用pushal指令，他会很好的和结构体 Trapframe 的布局配合好。 分析首先看一下 trapentry.S 文件，里面定义了两个宏定义，TRAPHANDLER，TRAPHANDLER_NOEC。他们的功能从汇编代码 ...