Array Indexing

Lernen Sie & üben Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie & üben Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud Github-Repositorys senden.

Grundlegende Informationen

Diese Kategorie umfasst alle Schwachstellen, die auftreten, weil es möglich ist, bestimmte Daten durch Fehler bei der Behandlung von Indizes in Arrays zu überschreiben. Es handelt sich um eine sehr breite Kategorie ohne spezifische Methodik, da der Ausnutzungsmechanismus vollständig von den Bedingungen der Schwachstelle abhängt.

Hier finden Sie jedoch einige gute Beispiele:

https://guyinatuxedo.github.io/11-index/swampctf19_dreamheaps/index.html
Es gibt 2 kollidierende Arrays, eines für Adressen, an denen Daten gespeichert sind, und eines mit den Größen dieser Daten. Es ist möglich, eines vom anderen zu überschreiben, um eine beliebige Adresse zu schreiben, die als Größe angegeben wird. Dies ermöglicht das Schreiben der Adresse der free-Funktion in der GOT-Tabelle und dann das Überschreiben mit der Adresse zu system und das Aufrufen von free aus einem Speicher mit /bin/sh.
https://guyinatuxedo.github.io/11-index/csaw18_doubletrouble/index.html
64 Bit, kein nx. Überschreiben einer Größe, um eine Art Pufferüberlauf zu erhalten, bei dem alles als doppelte Zahl verwendet wird und von kleinster bis größter Zahl sortiert wird. Es ist erforderlich, einen Shellcode zu erstellen, der diese Anforderung erfüllt, unter Berücksichtigung, dass der Canary nicht von seiner Position verschoben werden sollte, und schließlich das Überschreiben des RIP mit einer Adresse zu ret, die die vorherigen Anforderungen erfüllt, und das Setzen der größten Adresse auf eine neue Adresse, die auf den Anfang des Stacks zeigt (vom Programm geleakt), sodass es möglich ist, den ret zu verwenden, um dorthin zu springen.
https://faraz.faith/2019-10-20-secconctf-2019-sum/
64 Bit, kein relro, Canary, nx, kein pie. Es gibt ein Off-by-One in einem Array im Stack, das es ermöglicht, einen Zeiger zu steuern, der WWW gewährt (es schreibt die Summe aller Zahlen des Arrays in die überschriebene Adresse durch das Off-by-One im Array). Der Stack wird kontrolliert, sodass die GOT-Adresse von exit mit pop rdi; ret überschrieben wird, und im Stack wird die Adresse zu main hinzugefügt (Rückkehr zu main). Eine ROP-Kette wird verwendet, um die Adresse von put in der GOT unter Verwendung von puts zu leaken (exit wird aufgerufen, sodass es pop rdi; ret aufrufen wird und somit diese Kette im Stack ausführen wird). Schließlich wird eine neue ROP-Kette verwendet, die ret2lib ausführt.
https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html
32 Bit, kein relro, kein Canary, nx, pie. Missbrauchen Sie eine schlechte Indizierung, um Adressen von libc und Heap aus dem Stack zu leaken. Missbrauchen Sie den Pufferüberlauf, um ein ret2lib aufzurufen, das system('/bin/sh') aufruft (die Heap-Adresse wird benötigt, um eine Überprüfung zu umgehen).

PreviousSROP - ARM64 NextInteger Overflow

Last updated 4 months ago

Grundlegende Informationen

Hier finden Sie jedoch einige gute Beispiele:

https://guyinatuxedo.github.io/11-index/swampctf19_dreamheaps/index.html

Es gibt 2 kollidierende Arrays, eines für Adressen, an denen Daten gespeichert sind, und eines mit den Größen dieser Daten. Es ist möglich, eines vom anderen zu überschreiben, um eine beliebige Adresse zu schreiben, die als Größe angegeben wird. Dies ermöglicht das Schreiben der Adresse der free-Funktion in der GOT-Tabelle und dann das Überschreiben mit der Adresse zu system und das Aufrufen von free aus einem Speicher mit /bin/sh.

https://guyinatuxedo.github.io/11-index/csaw18_doubletrouble/index.html

64 Bit, kein nx. Überschreiben einer Größe, um eine Art Pufferüberlauf zu erhalten, bei dem alles als doppelte Zahl verwendet wird und von kleinster bis größter Zahl sortiert wird. Es ist erforderlich, einen Shellcode zu erstellen, der diese Anforderung erfüllt, unter Berücksichtigung, dass der Canary nicht von seiner Position verschoben werden sollte, und schließlich das Überschreiben des RIP mit einer Adresse zu ret, die die vorherigen Anforderungen erfüllt, und das Setzen der größten Adresse auf eine neue Adresse, die auf den Anfang des Stacks zeigt (vom Programm geleakt), sodass es möglich ist, den ret zu verwenden, um dorthin zu springen.

https://faraz.faith/2019-10-20-secconctf-2019-sum/

64 Bit, kein relro, Canary, nx, kein pie. Es gibt ein Off-by-One in einem Array im Stack, das es ermöglicht, einen Zeiger zu steuern, der WWW gewährt (es schreibt die Summe aller Zahlen des Arrays in die überschriebene Adresse durch das Off-by-One im Array). Der Stack wird kontrolliert, sodass die GOT-Adresse von exit mit pop rdi; ret überschrieben wird, und im Stack wird die Adresse zu main hinzugefügt (Rückkehr zu main). Eine ROP-Kette wird verwendet, um die Adresse von put in der GOT unter Verwendung von puts zu leaken (exit wird aufgerufen, sodass es pop rdi; ret aufrufen wird und somit diese Kette im Stack ausführen wird). Schließlich wird eine neue ROP-Kette verwendet, die ret2lib ausführt.

https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html

32 Bit, kein relro, kein Canary, nx, pie. Missbrauchen Sie eine schlechte Indizierung, um Adressen von libc und Heap aus dem Stack zu leaken. Missbrauchen Sie den Pufferüberlauf, um ein ret2lib aufzurufen, das system('/bin/sh') aufruft (die Heap-Adresse wird benötigt, um eine Überprüfung zu umgehen).