Array Indexing

Impara e pratica il Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.

Informazioni di Base

Questa categoria include tutte le vulnerabilità che si verificano perché è possibile sovrascrivere determinati dati attraverso errori nella gestione degli indici negli array. È una categoria molto ampia senza una metodologia specifica poiché il meccanismo di sfruttamento si basa completamente sulle condizioni della vulnerabilità.

Tuttavia, qui puoi trovare alcuni esempi:

https://guyinatuxedo.github.io/11-index/swampctf19_dreamheaps/index.html
Ci sono 2 array in collisione, uno per indirizzi dove i dati sono memorizzati e uno con le dimensioni di quei dati. È possibile sovrascrivere uno dall'altro, consentendo di scrivere un indirizzo arbitrario indicandolo come dimensione. Questo consente di scrivere l'indirizzo della funzione free nella tabella GOT e poi sovrascriverlo con l'indirizzo di system, e chiamare free da una memoria con /bin/sh.
https://guyinatuxedo.github.io/11-index/csaw18_doubletrouble/index.html
64 bit, no nx. Sovrascrivi una dimensione per ottenere una sorta di buffer overflow dove tutto verrà utilizzato come un numero doppio e ordinato dal più piccolo al più grande, quindi è necessario creare uno shellcode che soddisfi quel requisito, tenendo conto che il canary non dovrebbe essere spostato dalla sua posizione e infine sovrascrivere il RIP con un indirizzo per ret, che soddisfi i requisiti precedenti e mettendo il più grande indirizzo a un nuovo indirizzo che punta all'inizio dello stack (leaked dal programma) in modo che sia possibile utilizzare il ret per saltare lì.
https://faraz.faith/2019-10-20-secconctf-2019-sum/
64 bit, no relro, canary, nx, no pie. C'è un off-by-one in un array nello stack che consente di controllare un puntatore concedendo WWW (scrive la somma di tutti i numeri dell'array nell'indirizzo sovrascritto dall'off-by-one nell'array). Lo stack è controllato quindi l'indirizzo GOT exit è sovrascritto con pop rdi; ret, e nello stack viene aggiunto l'indirizzo a main (ritornando a main). Viene utilizzata una catena ROP per leakare l'indirizzo di put nella GOT usando puts (exit verrà chiamato quindi chiamerà pop rdi; ret eseguendo quindi questa catena nello stack). Infine, viene utilizzata una nuova catena ROP che esegue ret2lib.
https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html
32 bit, no relro, no canary, nx, pie. Abusa di una cattiva indicizzazione per leakare indirizzi di libc e heap dallo stack. Abusa del buffer overflow per fare un ret2lib chiamando system('/bin/sh') (l'indirizzo heap è necessario per bypassare un controllo).

PreviousSROP - ARM64 NextInteger Overflow

Last updated 3 days ago

Informazioni di Base

Tuttavia, qui puoi trovare alcuni esempi:

https://guyinatuxedo.github.io/11-index/swampctf19_dreamheaps/index.html

Ci sono 2 array in collisione, uno per indirizzi dove i dati sono memorizzati e uno con le dimensioni di quei dati. È possibile sovrascrivere uno dall'altro, consentendo di scrivere un indirizzo arbitrario indicandolo come dimensione. Questo consente di scrivere l'indirizzo della funzione free nella tabella GOT e poi sovrascriverlo con l'indirizzo di system, e chiamare free da una memoria con /bin/sh.

https://guyinatuxedo.github.io/11-index/csaw18_doubletrouble/index.html

64 bit, no nx. Sovrascrivi una dimensione per ottenere una sorta di buffer overflow dove tutto verrà utilizzato come un numero doppio e ordinato dal più piccolo al più grande, quindi è necessario creare uno shellcode che soddisfi quel requisito, tenendo conto che il canary non dovrebbe essere spostato dalla sua posizione e infine sovrascrivere il RIP con un indirizzo per ret, che soddisfi i requisiti precedenti e mettendo il più grande indirizzo a un nuovo indirizzo che punta all'inizio dello stack (leaked dal programma) in modo che sia possibile utilizzare il ret per saltare lì.

https://faraz.faith/2019-10-20-secconctf-2019-sum/

64 bit, no relro, canary, nx, no pie. C'è un off-by-one in un array nello stack che consente di controllare un puntatore concedendo WWW (scrive la somma di tutti i numeri dell'array nell'indirizzo sovrascritto dall'off-by-one nell'array). Lo stack è controllato quindi l'indirizzo GOT exit è sovrascritto con pop rdi; ret, e nello stack viene aggiunto l'indirizzo a main (ritornando a main). Viene utilizzata una catena ROP per leakare l'indirizzo di put nella GOT usando puts (exit verrà chiamato quindi chiamerà pop rdi; ret eseguendo quindi questa catena nello stack). Infine, viene utilizzata una nuova catena ROP che esegue ret2lib.

https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html

32 bit, no relro, no canary, nx, pie. Abusa di una cattiva indicizzazione per leakare indirizzi di libc e heap dallo stack. Abusa del buffer overflow per fare un ret2lib chiamando system('/bin/sh') (l'indirizzo heap è necessario per bypassare un controllo).