Array Indexing

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Ova kategorija uključuje sve ranjivosti koje se javljaju jer je moguće prepisati određene podatke kroz greške u rukovanju indeksima u nizovima. To je veoma široka kategorija bez specifične metodologije, jer mehanizam eksploatacije potpuno zavisi od uslova ranjivosti.

Međutim, ovde možete pronaći neke lepe primere:

https://guyinatuxedo.github.io/11-index/swampctf19_dreamheaps/index.html
Postoje 2 kolidirajuća niza, jedan za adrese gde su podaci sačuvani i jedan sa veličinama tih podataka. Moguće je prepisati jedan iz drugog, omogućavajući pisanje proizvoljne adrese označavajući je kao veličinu. Ovo omogućava pisanje adrese free funkcije u GOT tabeli, a zatim je prepisivanje adresom system, i pozivanje free iz memorije sa /bin/sh.
https://guyinatuxedo.github.io/11-index/csaw18_doubletrouble/index.html
64 bita, bez nx. Prepišite veličinu da biste dobili neku vrstu prelivanja bafera gde će sve biti korišćeno kao dvostruki broj i sortirano od najmanjeg do najvećeg, tako da je potrebno kreirati shellcode koji ispunjava taj zahtev, uzimajući u obzir da se kanar ne sme pomerati sa svoje pozicije i konačno prepisivanje RIP-a sa adresom za ret, koja ispunjava prethodne zahteve i postavljanje najveće adrese na novu adresu koja pokazuje na početak steka (procurila od programa) tako da je moguće koristiti ret za skakanje tamo.
https://faraz.faith/2019-10-20-secconctf-2019-sum/
64 bita, bez relro, kanar, nx, bez pie. Postoji off-by-one u nizu na steku koji omogućava kontrolu pokazivača dodeljujući WWW (upisuje sumu svih brojeva niza u prepisanu adresu zbog off-by-one u nizu). Stek je kontrolisan tako da je GOT exit adresa prepisana sa pop rdi; ret, a na stek se dodaje adresa do main (ponovo se vraća na main). Koristi se ROP lanac za curenje adrese stavljene u GOT koristeći puts (exit će biti pozvan, tako da će pozvati pop rdi; ret, stoga izvršavajući ovaj lanac na steku). Na kraju se koristi novi ROP lanac koji izvršava ret2lib.
https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html
32 bita, bez relro, bez kanara, nx, pie. Iskoristite loše indeksiranje da biste procurili adrese libc i heap-a iz steka. Iskoristite prelivanje bafera da uradite ret2lib pozivajući system('/bin/sh') (adresa heap-a je potrebna da bi se zaobišla provera).

PreviousSROP - ARM64 NextInteger Overflow

Last updated 1 day ago

Basic Information

Međutim, ovde možete pronaći neke lepe primere:

https://guyinatuxedo.github.io/11-index/swampctf19_dreamheaps/index.html

Postoje 2 kolidirajuća niza, jedan za adrese gde su podaci sačuvani i jedan sa veličinama tih podataka. Moguće je prepisati jedan iz drugog, omogućavajući pisanje proizvoljne adrese označavajući je kao veličinu. Ovo omogućava pisanje adrese free funkcije u GOT tabeli, a zatim je prepisivanje adresom system, i pozivanje free iz memorije sa /bin/sh.

https://guyinatuxedo.github.io/11-index/csaw18_doubletrouble/index.html

64 bita, bez nx. Prepišite veličinu da biste dobili neku vrstu prelivanja bafera gde će sve biti korišćeno kao dvostruki broj i sortirano od najmanjeg do najvećeg, tako da je potrebno kreirati shellcode koji ispunjava taj zahtev, uzimajući u obzir da se kanar ne sme pomerati sa svoje pozicije i konačno prepisivanje RIP-a sa adresom za ret, koja ispunjava prethodne zahteve i postavljanje najveće adrese na novu adresu koja pokazuje na početak steka (procurila od programa) tako da je moguće koristiti ret za skakanje tamo.

https://faraz.faith/2019-10-20-secconctf-2019-sum/

64 bita, bez relro, kanar, nx, bez pie. Postoji off-by-one u nizu na steku koji omogućava kontrolu pokazivača dodeljujući WWW (upisuje sumu svih brojeva niza u prepisanu adresu zbog off-by-one u nizu). Stek je kontrolisan tako da je GOT exit adresa prepisana sa pop rdi; ret, a na stek se dodaje adresa do main (ponovo se vraća na main). Koristi se ROP lanac za curenje adrese stavljene u GOT koristeći puts (exit će biti pozvan, tako da će pozvati pop rdi; ret, stoga izvršavajući ovaj lanac na steku). Na kraju se koristi novi ROP lanac koji izvršava ret2lib.

https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html

32 bita, bez relro, bez kanara, nx, pie. Iskoristite loše indeksiranje da biste procurili adrese libc i heap-a iz steka. Iskoristite prelivanje bafera da uradite ret2lib pozivajući system('/bin/sh') (adresa heap-a je potrebna da bi se zaobišla provera).