Array Indexing
Información Básica
Esta categoría incluye todas las vulnerabilidades que ocurren porque es posible sobrescribir ciertos datos a través de errores en el manejo de índices en arrays. Es una categoría muy amplia sin una metodología específica, ya que el mecanismo de explotación depende completamente de las condiciones de la vulnerabilidad.
Sin embargo, aquí puedes encontrar algunos ejemplos interesantes:
Hay 2 arrays colisionando, uno para las direcciones donde se almacenan los datos y otro con los tamaños de esos datos. Es posible sobrescribir uno desde el otro, permitiendo escribir una dirección arbitraria indicándola como un tamaño. Esto permite escribir la dirección de la función
free
en la tabla GOT y luego sobrescribirla con la dirección desystem
, y llamar a free desde una memoria con/bin/sh
.64 bits, sin nx. Sobrescribe un tamaño para obtener una especie de desbordamiento de búfer donde todo va a ser utilizado como un número doble y ordenado de menor a mayor, por lo que es necesario crear un shellcode que cumpla con ese requisito, teniendo en cuenta que el canary no debe ser movido de su posición y finalmente sobrescribir el RIP con una dirección a ret, que cumpla con los requisitos anteriores y colocando la mayor dirección una nueva dirección apuntando al inicio del stack (filtrada por el programa) para que sea posible usar el ret para saltar allí.
64 bits, sin relro, canary, nx, sin pie. Hay un off-by-one en un array en la pila que permite controlar un puntero otorgando WWW (escribe la suma de todos los números del array en la dirección sobrescrita por el off-by-one en el array). La pila está controlada, por lo que la dirección
exit
de la GOT es sobrescrita conpop rdi; ret
, y en la pila se agrega la dirección amain
(volviendo amain
). Se utiliza una cadena ROP para filtrar la dirección de put en la GOT usando puts (exit
será llamado, por lo que llamará apop rdi; ret
ejecutando así esta cadena en la pila). Finalmente se utiliza una nueva cadena ROP ejecutando ret2lib.32 bits, sin relro, sin canary, nx, pie. Abusa de un mal indexado para filtrar direcciones de libc y heap desde la pila. Abusa del desbordamiento de búfer para hacer un ret2lib llamando a
system('/bin/sh')
(se necesita la dirección del heap para evitar una comprobación).
Last updated