Array Indexing
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Esta categoría incluye todas las vulnerabilidades que ocurren porque es posible sobrescribir ciertos datos a través de errores en el manejo de índices en arrays. Es una categoría muy amplia sin una metodología específica, ya que el mecanismo de explotación depende completamente de las condiciones de la vulnerabilidad.
Sin embargo, aquí puedes encontrar algunos ejemplos interesantes:
Hay 2 arrays colisionando, uno para las direcciones donde se almacenan los datos y otro con los tamaños de esos datos. Es posible sobrescribir uno desde el otro, permitiendo escribir una dirección arbitraria indicándola como un tamaño. Esto permite escribir la dirección de la función free
en la tabla GOT y luego sobrescribirla con la dirección de system
, y llamar a free desde una memoria con /bin/sh
.
64 bits, sin nx. Sobrescribe un tamaño para obtener una especie de desbordamiento de búfer donde todo va a ser utilizado como un número doble y ordenado de menor a mayor, por lo que es necesario crear un shellcode que cumpla con ese requisito, teniendo en cuenta que el canary no debe ser movido de su posición y finalmente sobrescribir el RIP con una dirección a ret, que cumpla con los requisitos anteriores y colocando la mayor dirección una nueva dirección apuntando al inicio del stack (filtrada por el programa) para que sea posible usar el ret para saltar allí.
64 bits, sin relro, canary, nx, sin pie. Hay un off-by-one en un array en la pila que permite controlar un puntero otorgando WWW (escribe la suma de todos los números del array en la dirección sobrescrita por el off-by-one en el array). La pila está controlada, por lo que la dirección exit
de la GOT es sobrescrita con pop rdi; ret
, y en la pila se agrega la dirección a main
(volviendo a main
). Se utiliza una cadena ROP para filtrar la dirección de put en la GOT usando puts (exit
será llamado, por lo que llamará a pop rdi; ret
ejecutando así esta cadena en la pila). Finalmente se utiliza una nueva cadena ROP ejecutando ret2lib.
32 bits, sin relro, sin canary, nx, pie. Abusa de un mal indexado para filtrar direcciones de libc y heap desde la pila. Abusa del desbordamiento de búfer para hacer un ret2lib llamando a system('/bin/sh')
(se necesita la dirección del heap para evitar una comprobación).