攻防世界 Pwn time_formatter

最新推荐文章于 2023-10-27 09:50:43 发布
原创 最新推荐文章于 2023-10-27 09:50:43 发布 · 508 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ctf #安全

攻防世界 Pwn time_formatter

1.checksec分析

在这里插入图片描述

2.IDA分析

menu

  puts("Welcome to Mary's Unix Time Formatter!");
  do
  {
    while ( 2 )
    {
      puts("1) Set a time format.");
      puts("2) Set a time.");
      puts("3) Set a time zone.");
      puts("4) Print your time.");
      puts("5) Exit.");
      __printf_chk(1LL, "> ");
  • 看到一个菜单
  • 应该是有关堆的漏洞

在 print_your_time 找到有关system函数

if ( ptr )
  {
    __snprintf_chk(
      command,
      2048LL,
      1LL,
      2048LL,
      "/bin/date -d @%d +'%s'",
      (unsigned int)dword_602120,
      (const char *)ptr);
    __printf_chk(1LL, "Your formatted time is: ");
    fflush(stdout);
    if ( getenv("DEBUG") )
      __fprintf_chk(stderr, 1LL, "Running command: %s\n", command);
    setenv("TZ", value, 1);
    system(command);
  }
  else
  {
    puts("You haven't specified a format!");
  }

控制好参数ptr即可拿到权限

参数ptr是由我们选择set_time_format输入的

v7 = a4;
  v4 = strdup(a1);
  if ( !v4 )
    err(1, "strdup", v7);
  v5 = (__int64)v4;
  if ( getenv("DEB
最低0.47元/天 解锁文章

200万优质内容无限畅学
攻防世界 time_formatter
10-25 653
1 题目 2 分析 首先,找到漏洞点: 通过构造command,我们可以执行系统命令。所以对于ptr,我们希望他是这样的:';/bin/sh;' 这样我们就能通过system方法执行/bin/sh。于是,接下来的工作就是如何让ptr等于我们需要的值。 需要注意。ptr,也就是time format,他的输入时有字符检查的: 可以看到,我们的“;”不在允许范围内,所以通过输入直接构建ptr是不可能的。 这道题目的突破点其实就在退出函数这里: 可以看到,退出函...
堆UAF-攻防世界time_formatter
csdn546229768的博客
11-23 3459
终于来到了传说中的堆,这是攻防世界里面的堆第一次,刚遇到的时候有点懵逼,看了wp也看不懂,后来才知道是堆题。。。 嗯,我回来了,哈哈哈哈,首先详细了分析了一波题目,先把重要的函数例举出来 纵观全局在我菜鸟看来就只有个system(“asdadasd;/bin/sh;as21sad12e”);这个漏洞,因为system的参数由我们控制,所以就有无限可能,这里有两个全局变量,第一个被格式化为整型了,另一个是字符串类型,那么就是构造";/bin/sh;"的最好容器,嗯,如图:可以看到ida列出来对ptr
time_formatter [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列20
重新启程
12-25 927
题目地址:time_formatter 速度挺快的,已经赶上高手进阶区的第九题了! 废话不说,看看题目先 可以看到星星已经到了三颗星了。表示有点不一样的地方了。 照例看下安全机制 [*] '/ctf/work/python/time_formatter/807522d1647f4f0b8b26d6c1530d72b7' Arch: amd64-64-little ...
攻防世界pwn高手进阶区-time_formatter
优快云_sunrise的博客
10-31 972
文章目录time_formatter伪代码main函数功能1--set_time_format功能2--set_time功能3--set_time_zone功能4--print_time功能5--free_and_exitpayload说明exp time_formatter 伪代码 main函数 循环输出菜单并根据输入跳转执行不同功能。 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __gid_t v3; // eax FI
time_formatter攻防世界学习
shanwei274的博客
04-12 388
time_formatter 前言:这题说实话分析量蛮大的,首先是程序内壁比较绕,而且调用了之前许多没有见到的函数—如snprintf_che,以及strsup(好像打错了),getegid(),并且对于一般的题目考察堆的方向是比较少的。 还是学了一些东西吧。 废话不多说,开始吧: 1.查看保护 保护极高了已经!!!就很恐惧!!! 2.运行收集信息 好家伙上来就报菜名嗷,更加恐惧了,不过有个提示嗷,一般报菜名的题目都是和堆有关的,至少我见的不多几道是这样。 3.ida查看 这里解释一些课外东西: 1.
红队专题-与维持隐匿Privilege Escalation
aming小老弟
10-27 1666
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
[攻防世界 pwn]——time_formatter(内涵peak小知识)
Y_peak的博客
02-20 378
[攻防世界 pwn]——time_formatter 题目地址: https://adworld.xctf.org.cn/ 题目: 这是一道堆利用的题, UAFF(use After Free)漏洞。 peak小知识 堆空间释放后,指针不指向NULL,就仍指向该空间,并且重新申请的堆空间就是最先释放的堆空间 Linux中 echo “;ls;cat flag;/bin/sh;” ls ,cat flag , /bin/sh, 会挨个执行 老规矩还是先checksec一下 在IDA中查看一下反汇
2019XCTF攻防世界之萌新入坑(time_formatter
weixin_44113469的博客
04-11 2003
time_formatter
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.youkuaiyun.com/m0_59188912/article/details/127861757
XCTF PWN高手进阶区之time_formatter
neuisf的博客
01-29 392
这是第一道堆溢出题目, 程序执行选项1时,通过strdup函数申请了一块内存保存用户输入的时间格式字符串,执行选项三时,同样 通过strdup申请了一块内存用于存放用户输入的时区字符串,执行选项五时,首先释放这两块内存,然后,询问是否真的退出,此时,用户选择不退出时,程序继续回到开始执行。而此时,前两块申请的内存已被释放,未将指针置为NULL。造成UAF漏洞。 由于选项一读取用户输入内容时,会过滤...
time_formatter(xctf)
weixin_43868725的博客
08-08 401
0x0 程序保护和流程 保护: 流程: main() 选择1可以设置时间格式,选择2可以设置时间,选择3可以设置时区,选择4可以打印时间,选择5可以退出程序。 可以看到再选择4的时候使用了snprintf函数构造了一个命令字符串,然后再交由system函数执行相应的命令。 ptr在选择1中被赋值。 并且ptr所指向的内存空间中的字符串不能含有除**%aAbBcCdDeFgGhHIjklmNnNpPrRsStTuUVwWxXyYzZ:-_/0^#** 之外的字符。 最后进入选择5。 发现程序在退出
time_formatter-UAF利用
playmaker的博客
06-12 698
time_formatter-UAF利用 看一眼程序主逻辑 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __gid_t v3; // eax FILE *v4; // rdi __int64 v5; // rdx int v6; // eax __int64 result; // rax v3 =...
plaidctf-2016 unix_time_formatter uaf漏洞分析
小强的博客
11-15 1042
源代码下载及其他writeup参考: https://github.com/ctfs/write-ups-2016/tree/master/plaidctf-2016/pwnable/unix_time_formatter-76 直接去print_time函数(自定义)查看: 在system中执行command命令,command字符串通过snprin
xman_2019_nooocall(pwn里基于时间的盲注)
seaaseesa的博客
04-30 825
xman_2019_nooocall 首先,检查一下程序的保护机制 沙箱机制禁用了所有的系统调用 然后,我们用IDA分析一下,我们可以输入并执行16字节shellcode。然后问题在于系统调用全部被禁用。 程序一开始的时候使用了fopen打开了flag,并且将flag读取到了内存里。然后,当执行shellcode的时候,我们发现,栈里有FILE结构体的地址。 FILE...
pwn环境搭建_CTFpwn题的搭建
weixin_39864373的博客
12-19 1930
2017年5月11日 补:1、socat 中有参数reuseaddr,使用的时候加上这个,顾名思义,这个参数的意思就是地址(端口)重用,是为了防止socat绑定失败或者由于某些情况退出时,重新使用此端口需要等待2分钟的时间。如果端口忙,但TCP状态位于 TIME_WAIT ,可以重用端口。如果端口忙,而TCP状态位于其他状态,重用端口时依旧得到一个错误信息,指明”地址已经使用中”。如果你的服务程序...
CTF模式
haoshangguan的博客
10-12 1669
CTF竞赛模式具体分为以下几类: 正文 理论知识 理论题多见于国内比赛,通常为选择题。包含单选及多选,选手需要根据自己所学的相关理论知识进行作答。最终得出分数。理论部分通常多见于初赛或是初赛之前的海选 Jeopardy-解题 参赛队伍可以通过互联网或者现场网络参与,参数队伍通过与在线环境交互或文件离线分析,解决网络安全技术挑战获取相应分值,类似于 ACM 编程竞赛、信息学奥林匹克赛,根据总分和时间来进行排名。 不同的是这个解题模式一般会设置 一血(First Blood) 、 二血(Second Blood
攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 656
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
攻防世界pwn题目int_overflow
最新发布
03-08
### 关于CTF PWN Int Overflow Challenge Solution 在处理PWN类型的整数溢出挑战时,理解程序如何处理输入以及这些输入怎样影响内存至关重要。当遇到名为`int_overflow`的题目时,这可能意味着某个`int`型变量存在栈溢出风险[^2]。 对于这类问题的一个常见解决方法涉及以下几个方面: #### 分析目标程序 使用反汇编工具IDA可以深入分析二进制文件的工作原理。通过将题目中的可执行文件加载至IDA中并检查其主要逻辑流程,能够识别潜在的安全缺陷位置。特别是要注意那些未启用安全防护机制(如stack canary)的情况,在Ubuntu环境下测试可以帮助确认这一点。 #### 构造有效载荷(Payload) 基于发现的漏洞特性来构建特定的有效载荷是非常重要的一步。例如,在某些情况下,可以通过向缓冲区填充足够的数据直到覆盖返回地址,并指向一个已知地址处的gadget链或直接调用系统函数实现控制流劫持的目的。Python库`pwntools`提供了便捷的方法用于创建这样的payloads,并且支持本地调试和远程连接服务器提交攻击尝试[^3]。 ```python from pwn import * # 设置目标IP和端口 target_ip = "example.com" port_num = 12345 # 创建远程连接对象 io = remote(target_ip, port_num) # 定义payload结构 offset_to_ret_addr = ... # 需要根据实际情况调整偏移量大小 rop_chain_or_function_ptr = ... payload = b'A' * offset_to_ret_addr + pack(rop_chain_or_function_ptr) # 发送payload给服务端 io.sendlineafter(b"prompt:", payload) ``` 请注意上述代码片段仅为模板示意;实际操作前需依据具体情况进行适当修改以适应不同场景下的需求。 #### 测试与验证 完成以上准备工作之后,应当在一个受控环境中反复试验所设计出来的exploit直至成功获取shell或其他预期效果为止。同时也要注意遵守比赛规则和服务条款,确保行为合法合规[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值