mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-22 12:43:23 +00:00
4 KiB
4 KiB
Indexación de Arrays
Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
- Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
- Obtén el oficial PEASS & HackTricks swag
- Descubre The PEASS Family, nuestra colección exclusiva de NFTs
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte tus trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.
Información Básica
Esta categoría incluye todas las vulnerabilidades que ocurren porque es posible sobrescribir ciertos datos a través de errores en el manejo de índices en arrays. Es una categoría muy amplia sin una metodología específica, ya que el mecanismo de explotación depende completamente de las condiciones de la vulnerabilidad.
Sin embargo, aquí puedes encontrar algunos ejemplos interesantes:
- https://guyinatuxedo.github.io/11-index/swampctf19_dreamheaps/index.html
- Hay 2 arrays colisionando, uno para las direcciones donde se almacenan los datos y otro con los tamaños de esos datos. Es posible sobrescribir uno desde el otro, lo que permite escribir una dirección arbitraria indicándola como un tamaño. Esto permite escribir la dirección de la función
freeen la tabla GOT y luego sobrescribirla con la dirección desystem, y llamar a free desde una memoria con/bin/sh. - https://guyinatuxedo.github.io/11-index/csaw18_doubletrouble/index.html
- 64 bits, sin nx. Sobrescribe un tamaño para obtener una especie de desbordamiento de búfer donde todo se va a utilizar como un número doble y se ordena de menor a mayor, por lo que es necesario crear un shellcode que cumpla con ese requisito, teniendo en cuenta que el canary no debe moverse de su posición y finalmente sobrescribir el RIP con una dirección a ret, que cumpla con los requisitos anteriores y colocando la mayor dirección una nueva dirección apuntando al inicio del stack (filtrada por el programa) para que sea posible usar el ret para saltar allí.
- https://faraz.faith/2019-10-20-secconctf-2019-sum/
- 64 bits, sin relro, canary, nx, sin pie. Hay un off-by-one en un array en la pila que permite controlar un puntero otorgando WWW (escribe la suma de todos los números del array en la dirección sobrescrita por el off-by-one en el array). La pila está controlada para que la dirección
exitde la GOT sea sobrescrita conpop rdi; ret, y en la pila se agrega la dirección amain(volviendo amain). Se utiliza una cadena ROP para filtrar la dirección de put en la GOT usando puts (exitserá llamado, por lo que llamará apop rdi; rety ejecutará esta cadena en la pila). Finalmente se utiliza una nueva cadena ROP para ejecutar ret2lib. - https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html
- 32 bits, sin relro, sin canary, nx, pie. Abusa de un mal indexado para filtrar direcciones de libc y heap desde la pila. Abusa del desbordamiento de búfer para hacer un ret2lib llamando a
system('/bin/sh')(se necesita la dirección del heap para evitar una comprobación).