EOS节点远程代码执行漏洞细节

这是一个缓冲区溢出越界写漏洞

漏洞存在于在 libraries/chain/webassembly/binaryen.cpp文件的78行,

Function binaryen_runtime::instantiate_module:
for (auto& segment : module->table.segments) {
Address offset = ConstantExpressionRunner<TrivialGlobalManager>(globals).visit(segment.offset).value.geti32();
assert(offset + segment.data.size() <= module->table.initial);
for (size_t i = 0; i != segment.data.size(); ++i) {
table[offset + i] = segment.data[i]; <= OOB write here !
}
}

这里的table是一个std :: vector包含在函数表中的名称,在将元素存储到table中时,|offset| 字段没有被正确检查。注意在设置该值之前是有一个assert 断言的,它会检查偏移量,但不幸的是assert 仅适用于Debug版本,不适用于发布版本。

table.resize(module->table.initial);

|module->table.initial| 这个代码片段读取的值是根据函数表声明,在WASM文件中的读取的,该字段的有效值为0〜1024。

|offset| 字段的值是根据数据段从WASM文件中读取的,它是一个带符号的32位值。

所以通过这个漏洞,我们可以在table向量之后的内存,越界写入一定范围的内容。

重现漏洞过程

1.编译最新的EOS代码release版本

./eosio-build.sh

2.启动EOS节点Start EOS node, 完成如下所有必要的配置

https://github.com/EOSIO/eos/wiki/Tutorial-Getting-Started-With-Contracts

3.设置一个漏洞合约

我们提供了一个会造成程序崩溃的WASM漏洞验证文件(POC)

在这个PoC中, 我们简单的设置了 |offset| 字段引用 0xfffffff地址,所以会触发越界写造成程序崩溃

开始测试 PoC:

cd poc
cleos set contract eosio ../poc -p eosio

顺利的话我们会看到 nodeos 进程出现 segment fault错误

崩溃信息:

(gdb) c
Continuing.
Program received signal SIGSEGV, Segmentation fault.
0x0000000000a32f7c in eosio::chain::webassembly::binaryen::binaryen_runtime::instantiate_module(char const*, unsigned long, std::vector<unsigned char, std::allocator<unsigned char> >) ()
(gdb) x/i $pc
=> 0xa32f7c <_ZN5eosio5chain11webassembly8binaryen16binaryen_runtime18instantiate_moduleEPKcmSt6vectorIhSaIhEE+2972>:   mov    %rcx,(%rdx,%rax,1)
(gdb) p $rdx
$1 = 59699184
(gdb) p $rax
$2 = 34359738360
Here |rdx| points to the start of the |table| vector,
And |rax| is 0x7FFFFFFF8, which holds the value of |offset| * 8.

利用漏洞实现远程代码执行

利用此漏洞可以在nodeos进程中实现远程代码执行,漏洞利用方法是将恶意合约上传到受害节点,并让节点解析恶意合约。而在真正的攻击中,攻击者可能会向EOS主网络发布恶意合约。

EOS超级节点解析恶意合约触发漏洞后,攻击者将可以完全控制这个节点。

攻击者可以窃取超级节点的私钥或控制新区块的内容,更重要的是攻击者可以将恶意合约打包成一个新块并发布进行攻击,最终整个网络中的所有节点都将受到攻击并被控制。

我们完成了概念性的漏洞验证程序,并在基于64位Ubuntu系统的nodeos上进行了测试。这个漏洞的攻击过程是这样的:

1.攻击者将恶意合约上传到nodeos服务器。

2.服务器nodeos进程解析引发漏洞的恶意合约。

3.使用越界写入的原生代码,我们可以覆盖WASM模块实例的WASM内存缓冲区,在恶意WASM代码的帮助下,最终可以在nodeos进程中实现了任意内存读/写操作,并绕过了64位操作系统上的DEP / ASLR等常见的攻击缓解技术。

4.漏洞利用一旦成功,会启动一个反向shell连接攻击者。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒网络空间安全讲武堂

Python编写渗透工具学习笔记二 | 0x02利用FTP与web批量抓肉鸡

0x02利用FTP与web批量抓肉鸡 脚本要实现的目标和思路: 先尝试匿名登录ftp,当匿名登录失败时再尝试用用户/密码爆破登录,登录成功后,脚本会搜索ftp中...

1.7K7
来自专栏技术之路

将某个Qt4项目升级到Qt5遇到的问题[转]

该Qt4项目以前是使用Qt4.7.4 MSVC2008开发的,因为使用到了OWC10(Office Web Components),使用MSVC编译器的话无法正...

2399
来自专栏一名合格java开发的自我修养

javaOOM该分析dump文件而不是看异常log日志原因

应用程序出现OOM异常,你是否仍然通过看日志的方式去排查问题(该方式定位解决问题是大概率的巧合而已)?正确的排查方案是进行dump文件分析,你知道为什么吗?

3734
来自专栏Danny的专栏

ASP.NET实现文件的上传和下载

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/huyuyang6688/article/...

2.4K3
来自专栏区块链大本营

福利|评价超高的《精通以太坊》丛书免费送,还包邮!手慢无

在去中心化应用中,发送给节点的请求通常被称为“交易”。交易和普通的请求有很大不同,即交易的数据经过用户个人签名之后发送到节点。

1872
来自专栏区块链大本营

送书|5分钟技术实操: 手把手教你开发以太坊钱包

钱包服务将允许用户生成独一无二的种子,显示地址和相关余额,最后将允许用户发送以太币给其他账户。所有操作都在客户端上进行,这样比较容易取得用户的信任。用户必须记住...

822
来自专栏柠檬先生

webpack 简单配置

1.webpack 是一个现代JavaScript 应用程序的静态打包器,它能够把各种资源,例如JS,样式,图片   等都作为模块来使用处理,将许多松散的模块按...

2647
来自专栏云飞学编程

Python爬虫框架scrapy抓取旅行家网所有游记!从此出游不发愁!

安装scrapy,pip可以解决你的问题: pip install scrapy。

761
来自专栏小白鼠

ZookeeperZNode基本命令四字命令SessionWatcherACLZookeeper集群Paxos算法ZAB协议Curator分布式锁

在Zookeeper中,ZNode可以分为持久节点和临时节点两类。所谓持久节点是指一旦这个ZNode被创建了,除非主动进行ZNode的移除操作,否则这个ZNod...

1163
来自专栏我的博客

max x Yosemide无法安装jdk8解决

1.下载 好jdk 1.7(1.8) 地址:http://www.oracle.com/technetwork/java/javase/downloads/in...

43613

扫码关注云+社区

领取腾讯云代金券