专栏首页尚国EOS节点远程代码执行漏洞细节

EOS节点远程代码执行漏洞细节

这是一个缓冲区溢出越界写漏洞

漏洞存在于在 libraries/chain/webassembly/binaryen.cpp文件的78行,

Function binaryen_runtime::instantiate_module:
for (auto& segment : module->table.segments) {
Address offset = ConstantExpressionRunner<TrivialGlobalManager>(globals).visit(segment.offset).value.geti32();
assert(offset + segment.data.size() <= module->table.initial);
for (size_t i = 0; i != segment.data.size(); ++i) {
table[offset + i] = segment.data[i]; <= OOB write here !
}
}

这里的table是一个std :: vector包含在函数表中的名称,在将元素存储到table中时,|offset| 字段没有被正确检查。注意在设置该值之前是有一个assert 断言的,它会检查偏移量,但不幸的是assert 仅适用于Debug版本,不适用于发布版本。

table.resize(module->table.initial);

|module->table.initial| 这个代码片段读取的值是根据函数表声明,在WASM文件中的读取的,该字段的有效值为0〜1024。

|offset| 字段的值是根据数据段从WASM文件中读取的,它是一个带符号的32位值。

所以通过这个漏洞,我们可以在table向量之后的内存,越界写入一定范围的内容。

重现漏洞过程

1.编译最新的EOS代码release版本

./eosio-build.sh

2.启动EOS节点Start EOS node, 完成如下所有必要的配置

https://github.com/EOSIO/eos/wiki/Tutorial-Getting-Started-With-Contracts

3.设置一个漏洞合约

我们提供了一个会造成程序崩溃的WASM漏洞验证文件(POC)

在这个PoC中, 我们简单的设置了 |offset| 字段引用 0xfffffff地址,所以会触发越界写造成程序崩溃

开始测试 PoC:

cd poc
cleos set contract eosio ../poc -p eosio

顺利的话我们会看到 nodeos 进程出现 segment fault错误

崩溃信息:

(gdb) c
Continuing.
Program received signal SIGSEGV, Segmentation fault.
0x0000000000a32f7c in eosio::chain::webassembly::binaryen::binaryen_runtime::instantiate_module(char const*, unsigned long, std::vector<unsigned char, std::allocator<unsigned char> >) ()
(gdb) x/i $pc
=> 0xa32f7c <_ZN5eosio5chain11webassembly8binaryen16binaryen_runtime18instantiate_moduleEPKcmSt6vectorIhSaIhEE+2972>:   mov    %rcx,(%rdx,%rax,1)
(gdb) p $rdx
$1 = 59699184
(gdb) p $rax
$2 = 34359738360
Here |rdx| points to the start of the |table| vector,
And |rax| is 0x7FFFFFFF8, which holds the value of |offset| * 8.

利用漏洞实现远程代码执行

利用此漏洞可以在nodeos进程中实现远程代码执行,漏洞利用方法是将恶意合约上传到受害节点,并让节点解析恶意合约。而在真正的攻击中,攻击者可能会向EOS主网络发布恶意合约。

EOS超级节点解析恶意合约触发漏洞后,攻击者将可以完全控制这个节点。

攻击者可以窃取超级节点的私钥或控制新区块的内容,更重要的是攻击者可以将恶意合约打包成一个新块并发布进行攻击,最终整个网络中的所有节点都将受到攻击并被控制。

我们完成了概念性的漏洞验证程序,并在基于64位Ubuntu系统的nodeos上进行了测试。这个漏洞的攻击过程是这样的:

1.攻击者将恶意合约上传到nodeos服务器。

2.服务器nodeos进程解析引发漏洞的恶意合约。

3.使用越界写入的原生代码,我们可以覆盖WASM模块实例的WASM内存缓冲区,在恶意WASM代码的帮助下,最终可以在nodeos进程中实现了任意内存读/写操作,并绕过了64位操作系统上的DEP / ASLR等常见的攻击缓解技术。

4.漏洞利用一旦成功,会启动一个反向shell连接攻击者。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 深入剖析最新IE0day漏洞

    在2018年4月下旬,我们使用沙箱发现了IE0day漏洞;自从在野外发现上一个样本(CVE-2016-0189)已经有两年多了。从许多方面来看,这个特别的漏洞及...

    伍尚国
  • 联储证券被曝存在多项信息安全漏洞

      5月21日,深圳证监局公布对联储证券有限责任公司采取出具警示函行政监管措施的决定 。深圳证监局表示,根据中国信息安全测评中心出具的信息系统渗透测试报告显示,...

    伍尚国
  • ECShop全系列版本远程代码执行漏洞复现

    问题发生在user.php的display函数,模版变量可控,导致注入,配合注入可达到远程代码执行

    伍尚国
  • 重磅 | Struts2 S2-048远程代码执行漏洞分析报告

    Struts2 S2-048 远程代码执行漏洞分析报告 安全通告 尊敬的客户: 2017年7月7日,Struts2官方公布最新的Struts2远程代码执行漏洞S...

    安恒信息
  • [S2-045]紧急预警!安恒研究院发现史上最严重的Struts2安全漏洞

    近日,安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官...

    安恒信息
  • 2019年 JavaScript 框架安全性报告

    安全厂商Snyk发布最新2019年的JavaScript框架安全性报告,Snyk主要调查了Angular以及React生态系统中的安全漏洞和风险,同时也连带分析...

    ConardLi
  • 季度漏洞披露十年来首次下

    统计显示,即使周二补丁中披露了更多的安全漏洞,但是 2020 年第一季度发现的漏洞总数量确实下降了。

    FB客服
  • 漫谈网络安全应急要略

    早上看到朋友圈有人说Metasploit公布BlueKeep远程执行漏洞的利用,一些安全群里也有人喊着加班了,但这漏洞明明很早就已经发布补丁了,现在才加班应急明...

    泉哥
  • 渗透测试公司 APP安全漏洞检测报告

    2019年第三季度以来,我们SINE安全,APP漏洞检测中心发现许多APP被检测出含有高危漏洞,包括目前漏洞比较严重的SIM卡漏洞以及安卓端、IOS端漏洞,根据...

    网站安全专家
  • APP安全漏洞检测报告 渗透测试项

    2019年第三季度以来,我们SINE安全,APP漏洞检测中心发现许多APP被检测出含有高危漏洞,包括目前漏洞比较严重的SIM卡漏洞以及安卓端、IOS端漏洞,根据...

    技术分享达人

扫码关注云+社区

领取腾讯云代金券