攻防世界 Pwn time_formatter

原创

于 2022-03-06 18:13:11 发布 · 544 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#ctf #安全

攻防世界 Pwn time_formatter

1.checksec分析
2.IDA分析
3.exp

1.checksec分析

在这里插入图片描述

2.IDA分析

在 print_your_time 找到有关system函数

if ( ptr )
  {
    __snprintf_chk(
      command,
      2048LL,
      1LL,
      2048LL,
      "/bin/date -d @%d +'%s'",
      (unsigned int)dword_602120,
      (const char *)ptr);
    __printf_chk(1LL, "Your formatted time is: ");
    fflush(stdout);
    if ( getenv("DEBUG") )
      __fprintf_chk(stderr, 1LL, "Running command: %s\n", command);
    setenv("TZ", value, 1);
    system(command);
  }
  else
  {
    puts("You haven't specified a format!");
  }

控制好参数ptr即可拿到权限

参数ptr是由我们选择set_time_format输入的

v7 = a4;
  v4 = strdup(a1);
  if ( !v4 )
    err(1, "strdup", v7);
  v5 = (__int64)v4;
  if ( getenv("DEBUG") )

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

==Microsoft==

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

攻防世界 time_formatter

10-25

671

1 题目 2 分析首先，找到漏洞点：通过构造command，我们可以执行系统命令。所以对于ptr，我们希望他是这样的:';/bin/sh;' 这样我们就能通过system方法执行/bin/sh。于是，接下来的工作就是如何让ptr等于我们需要的值。需要注意。ptr，也就是time format，他的输入时有字符检查的：可以看到，我们的“；”不在允许范围内，所以通过输入直接构建ptr是不可能的。这道题目的突破点其实就在退出函数这里：可以看到，退出函...

time_formatter [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列20

重新启程

12-25

959

题目地址：time_formatter 速度挺快的，已经赶上高手进阶区的第九题了！废话不说，看看题目先可以看到星星已经到了三颗星了。表示有点不一样的地方了。照例看下安全机制 [*] '/ctf/work/python/time_formatter/807522d1647f4f0b8b26d6c1530d72b7' Arch: amd64-64-little ...

参与评论您还未登录，请先登录后发表或查看评论

攻防世界pwn高手进阶区-time_formatter

优快云_sunrise的博客

10-31

1009

文章目录time_formatter伪代码main函数功能1--set_time_format功能2--set_time功能3--set_time_zone功能4--print_time功能5--free_and_exitpayload说明exp time_formatter 伪代码 main函数循环输出菜单并根据输入跳转执行不同功能。 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __gid_t v3; // eax FI

堆UAF-攻防世界time_formatter

csdn546229768的博客

11-23

3490

终于来到了传说中的堆，这是攻防世界里面的堆第一次，刚遇到的时候有点懵逼，看了wp也看不懂，后来才知道是堆题。。。嗯，我回来了，哈哈哈哈，首先详细了分析了一波题目，先把重要的函数例举出来纵观全局在我菜鸟看来就只有个system(“asdadasd;/bin/sh;as21sad12e”);这个漏洞，因为system的参数由我们控制，所以就有无限可能，这里有两个全局变量，第一个被格式化为整型了，另一个是字符串类型，那么就是构造";/bin/sh;"的最好容器，嗯，如图：可以看到ida列出来对ptr

攻防世界 Pwn hello_pwn

MrTreebook的博客

10-18

558

攻防世界pwn hello_pwn 文章目录攻防世界pwn hello_pwn1.checksec走一下2.先跑一下看看4.exp如下5.运行结果如下6.可以不用python总结 1.checksec走一下可以看到只有 Partial RELRO 没有开启栈保护，是属于简单的栈溢出pwn题 2.先跑一下看看 ## 3.拉进IDA看一下 sub_400686函数中调用系统函数直接获取flag 因此如果让60106c == 1853186401就可以获取到flag 看到危险函数read可以实现栈

[攻防世界 pwn]——time_formatter（内涵peak小知识）

Y_peak的博客

02-20

410

[攻防世界 pwn]——time_formatter 题目地址: https://adworld.xctf.org.cn/ 题目: 这是一道堆利用的题， UAFF(use After Free)漏洞。 peak小知识堆空间释放后，指针不指向NULL，就仍指向该空间，并且重新申请的堆空间就是最先释放的堆空间 Linux中 echo “;ls;cat flag;/bin/sh;” ls ，cat flag , /bin/sh，会挨个执行老规矩还是先checksec一下在IDA中查看一下反汇

2019XCTF攻防世界之萌新入坑（time_formatter）

weixin_44113469的博客

04-11

2027

time_formatter

XCTF PWN高手进阶区之time_formatter

neuisf的博客

01-29

403

这是第一道堆溢出题目，程序执行选项1时，通过strdup函数申请了一块内存保存用户输入的时间格式字符串，执行选项三时，同样通过strdup申请了一块内存用于存放用户输入的时区字符串，执行选项五时，首先释放这两块内存，然后，询问是否真的退出，此时，用户选择不退出时，程序继续回到开始执行。而此时，前两块申请的内存已被释放，未将指针置为NULL。造成UAF漏洞。由于选项一读取用户输入内容时，会过滤...

time_formatter(xctf)

weixin_43868725的博客

08-08

423

0x0 程序保护和流程保护：流程： main() 选择1可以设置时间格式，选择2可以设置时间，选择3可以设置时区，选择4可以打印时间，选择5可以退出程序。可以看到再选择4的时候使用了snprintf函数构造了一个命令字符串，然后再交由system函数执行相应的命令。 ptr在选择1中被赋值。并且ptr所指向的内存空间中的字符串不能含有除**%aAbBcCdDeFgGhHIjklmNnNpPrRsStTuUVwWxXyYzZ:-_/0^#** 之外的字符。最后进入选择5。发现程序在退出

time_formatter-UAF利用

playmaker的博客

06-12

707

time_formatter-UAF利用看一眼程序主逻辑 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __gid_t v3; // eax FILE *v4; // rdi __int64 v5; // rdx int v6; // eax __int64 result; // rax v3 =...

time_formatter攻防世界学习

shanwei274的博客

04-12

404

time_formatter 前言：这题说实话分析量蛮大的，首先是程序内壁比较绕，而且调用了之前许多没有见到的函数—如snprintf_che，以及strsup(好像打错了),getegid()，并且对于一般的题目考察堆的方向是比较少的。还是学了一些东西吧。废话不多说，开始吧： 1.查看保护保护极高了已经！！！就很恐惧！！！ 2.运行收集信息好家伙上来就报菜名嗷，更加恐惧了，不过有个提示嗷，一般报菜名的题目都是和堆有关的，至少我见的不多几道是这样。 3.ida查看这里解释一些课外东西： 1.

plaidctf-2016 unix_time_formatter uaf漏洞分析

小强的博客

11-15

1069

源代码下载及其他writeup参考： https://github.com/ctfs/write-ups-2016/tree/master/plaidctf-2016/pwnable/unix_time_formatter-76 直接去print_time函数（自定义）查看：在system中执行command命令，command字符串通过snprin

xman_2019_nooocall(pwn里基于时间的盲注)

seaaseesa的博客

04-30

853

xman_2019_nooocall 首先，检查一下程序的保护机制沙箱机制禁用了所有的系统调用然后，我们用IDA分析一下，我们可以输入并执行16字节shellcode。然后问题在于系统调用全部被禁用。程序一开始的时候使用了fopen打开了flag，并且将flag读取到了内存里。然后，当执行shellcode的时候，我们发现，栈里有FILE结构体的地址。 FILE...

pwn环境搭建_CTF中pwn题的搭建

weixin_39864373的博客

12-19

1981

2017年5月11日补:1、socat 中有参数reuseaddr，使用的时候加上这个，顾名思义，这个参数的意思就是地址(端口)重用，是为了防止socat绑定失败或者由于某些情况退出时，重新使用此端口需要等待2分钟的时间。如果端口忙，但TCP状态位于 TIME_WAIT ，可以重用端口。如果端口忙，而TCP状态位于其他状态，重用端口时依旧得到一个错误信息，指明”地址已经使用中”。如果你的服务程序...

CTF模式

haoshangguan的博客

10-12

1776

CTF竞赛模式具体分为以下几类：正文理论知识理论题多见于国内比赛，通常为选择题。包含单选及多选，选手需要根据自己所学的相关理论知识进行作答。最终得出分数。理论部分通常多见于初赛或是初赛之前的海选 Jeopardy-解题参赛队伍可以通过互联网或者现场网络参与，参数队伍通过与在线环境交互或文件离线分析，解决网络安全技术挑战获取相应分值，类似于 ACM 编程竞赛、信息学奥林匹克赛，根据总分和时间来进行排名。不同的是这个解题模式一般会设置一血(First Blood) 、二血(Second Blood

攻防世界base除4_攻防世界pwn新手训练

weixin_36310597的博客

12-24

683

小白刚开始接触pwn，做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道，很多都是看别人的wp才知道要干嘛，比如才知道原来printf函数也是有漏洞的。把这些题的思路和做法记录下来，不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述：运行就能拿到shell呢，真的如题，nc连接，连接直接就是shell，直接cat flag就可以了。CGfsb题目描述：菜鸡面对着pringf发愁，...

攻防世界 pwn练习区解法 write up

qq_46441427的博客

02-16

948

checksec stack： canary found 是指运行程序时，会把canary取出放入一个rbp定向的值，在退出函数前将rbp定向的值和canary的值进行一个比较（异或一下，看是不是0），如果不相等，则运行_stack_chk_fail函数 NX 数据所在的内存为不可执行，程序溢出转为shellcode时，程序会去在数据页面上执行指令，这个时候CPU抛出异常，不会让它执行 PIE 程序装在随机的地址 ASLR 即使文件开启了PIE保护，还需要开启ASLR才会真正打乱基址 ...

攻防世界pwn题目int_overflow

攻防世界 Pwn time_formatter

攻防世界 Pwn time_formatter

1.checksec分析

2.IDA分析

menu

在 print_your_time 找到有关system函数

控制好参数ptr即可拿到权限