Array Indexing

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

基本情報

このカテゴリには、配列のインデックスの取り扱いのエラーによって特定のデータを上書きすることが可能になるために発生するすべての脆弱性が含まれます。これは非常に広いカテゴリであり、脆弱性の条件に完全に依存するため、特定の方法論はありません。

しかし、いくつかの良い例を見つけることができます：

https://guyinatuxedo.github.io/11-index/swampctf19_dreamheaps/index.html
2つの衝突する配列があり、一方はデータが保存されるアドレス用、もう一方はそのデータのサイズ用です。片方からもう片方を上書きすることが可能で、任意のアドレスをサイズとして指定して書き込むことができます。これにより、GOTテーブルにあるfree関数のアドレスを書き込み、その後systemのアドレスで上書きし、/bin/shを持つメモリからfreeを呼び出すことができます。
https://guyinatuxedo.github.io/11-index/csaw18_doubletrouble/index.html
64ビット、nxなし。サイズを上書きして、すべてのものが倍の数として使用され、最小から最大にソートされるようなバッファオーバーフローを引き起こします。そのため、その要件を満たすシェルコードを作成する必要があります。カナリアはその位置から移動しないようにし、最終的にRIPをretへのアドレスで上書きし、その要件を満たし、最大のアドレスをスタックの開始を指す新しいアドレスに設定します（プログラムによって漏洩された）。
https://faraz.faith/2019-10-20-secconctf-2019-sum/
64ビット、relroなし、カナリア、nx、pieなし。スタック内の配列にオフバイワンがあり、ポインタを制御することができます。WWWを付与します（配列のすべての数の合計を上書きされたアドレスに書き込みます）。スタックが制御されているため、GOTのexitアドレスがpop rdi; retで上書きされ、スタックにmainへのアドレスが追加されます（mainに戻る）。次に、putsを使用してGOTにあるputのアドレスを漏洩させるためのROPチェーンが使用されます（exitが呼び出されるため、pop rdi; retが呼び出され、このチェーンがスタックで実行されます）。最後に、ret2libを実行する新しいROPチェーンが使用されます。
https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html
32ビット、relroなし、カナリアなし、nx、pieなし。悪いインデックスを悪用して、スタックからlibcとヒープのアドレスを漏洩させます。バッファオーバーフローを悪用して、system('/bin/sh')を呼び出すret2libを行います（ヒープアドレスはチェックをバイパスするために必要です）。

PreviousSROP - ARM64 NextInteger Overflow

Last updated 1 day ago

基本情報

しかし、いくつかの良い例を見つけることができます：

https://guyinatuxedo.github.io/11-index/swampctf19_dreamheaps/index.html

2つの衝突する配列があり、一方はデータが保存されるアドレス用、もう一方はそのデータのサイズ用です。片方からもう片方を上書きすることが可能で、任意のアドレスをサイズとして指定して書き込むことができます。これにより、GOTテーブルにあるfree関数のアドレスを書き込み、その後systemのアドレスで上書きし、/bin/shを持つメモリからfreeを呼び出すことができます。

https://guyinatuxedo.github.io/11-index/csaw18_doubletrouble/index.html

64ビット、nxなし。サイズを上書きして、すべてのものが倍の数として使用され、最小から最大にソートされるようなバッファオーバーフローを引き起こします。そのため、その要件を満たすシェルコードを作成する必要があります。カナリアはその位置から移動しないようにし、最終的にRIPをretへのアドレスで上書きし、その要件を満たし、最大のアドレスをスタックの開始を指す新しいアドレスに設定します（プログラムによって漏洩された）。

https://faraz.faith/2019-10-20-secconctf-2019-sum/

64ビット、relroなし、カナリア、nx、pieなし。スタック内の配列にオフバイワンがあり、ポインタを制御することができます。WWWを付与します（配列のすべての数の合計を上書きされたアドレスに書き込みます）。スタックが制御されているため、GOTのexitアドレスがpop rdi; retで上書きされ、スタックにmainへのアドレスが追加されます（mainに戻る）。次に、putsを使用してGOTにあるputのアドレスを漏洩させるためのROPチェーンが使用されます（exitが呼び出されるため、pop rdi; retが呼び出され、このチェーンがスタックで実行されます）。最後に、ret2libを実行する新しいROPチェーンが使用されます。

https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html

32ビット、relroなし、カナリアなし、nx、pieなし。悪いインデックスを悪用して、スタックからlibcとヒープのアドレスを漏洩させます。バッファオーバーフローを悪用して、system('/bin/sh')を呼び出すret2libを行います（ヒープアドレスはチェックをバイパスするために必要です）。