以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > ADA > Info

IOST公鏈P2P遠程拒絕服務漏洞_REA:CryptosTribe

Author:

Time:1900/1/1 0:00:00

漏洞分析

IOST公鏈使用Go語言開發,Go語言的make函數如果參數控制不當容易產生拒絕服務漏洞。在IOST的公鏈代碼中搜索make,找到了一處貌似可以利用的地方。

func(sy*SyncImpl)getBlockHashes(startint64,endint64)*msgpb.BlockHashResponse{resp:=&msgpb.BlockHashResponse{BlockInfos:make(*msgpb.BlockInfo,0,end-start1),}node:=sy.blockCache.Head()ifnode!=nil&&end>node.Head.Number{end=node.Head.Number}省略...

Line3make的第3個參數為end-start1,end和start來自handleHashQuery

func(sy*SyncImpl)handleHashQuery(rh*msgpb.BlockHashQuery,peerIDp2p.PeerID){ifrh.End<rh.Start||rh.Start<0{return}varresp*msgpb.BlockHashResponseswitchrh.ReqType{casemsgpb.RequireType_GETBLOCKHASHES:resp=sy.getBlockHashes(rh.Start,rh.End)casemsgpb.RequireType_GETBLOCKHASHESBYNUMBER:resp=sy.getBlockHashesByNums(rh.Nums。省略...

可以看到并沒有限制end-start1的大小,只要end足夠大,start足夠小就可以導致拒絕服務。所以現在問題就只剩下如何觸發這個漏洞。

漏洞利用

IOST節點之間的P2P通信使用的是libp2p,libp2p是一個模塊化的網絡堆棧,匯集了各種傳輸和點對點協議,使開發人員可以輕松構建大型,強大的p2p網絡。

來看一看IOST節點的P2Pservice啟動流程。

首先創建一個NetService,代碼如下:

數字人民幣APP(試點版)登上iOS APP排行榜第一名:金色財經報道,1月6日,數字人民幣APP(試點版)已經超越微信,登上iOS APP排行榜第一名。根據此前報道,數字人民幣(試點版)App目前已允許國內12地用戶在蘋果和各大安卓應用商店下載,分別是深圳、蘇州、雄安、成都、上海、海南、長沙、西安、青島、大連及冬奧會場景(北京、張家口)。[2022/1/6 8:30:24]

//NewNetServicereturnsaNetServiceinstancewiththeconfigargument.funcNewNetService(config*common.P2PConfig)(*NetService,error){ns:=&NetService{config:config,}iferr:=os.MkdirAll(config.DataPath,0755);config.DataPath!=""&&err!=nil{ilog.Errorf("failedtocreatep2pdatapath,err=%v,path=%v",err,config.DataPath)returnnil,err}privKey,err:=getOrCreateKey(filepath.Join(config.DataPath,privKeyFile))iferr!=nil{ilog.Errorf("failedtogetprivatekey.err=%v,path=%v",err,config.DataPath)returnnil,err}host,err:=ns.startHost(privKey,config.ListenAddr)iferr!=nil{ilog.Errorf("failedtostartahost.err=%v,listenAddr=%v",err,config.ListenAddr)returnnil,err}ns.host=hostns.PeerManager=NewPeerManager(host,config)ns.adminServer=newAdminServer(config.AdminPort,ns.PeerManager)returnns,nil}

主要看Line18的startHost,該函數調用libp2p庫創建了一個host

Gensokishi Online -METAWORLD與Polygon Studios建立技術合作:12月14日消息,Gensokishi Online -METAWORLD與Polygon Studios建立技術合作。Gensokishi Online是一款來自日本的游戲,已在playstation4和Nintendo Switch上發布。(genso)[2021/12/14 7:39:15]

//startHoststartsalibp2phost.func(ns*NetService)startHost(pkcrypto.PrivKey,listenAddrstring)(host.Host,error){tcpAddr,err:=net.ResolveTCPAddr("tcp",listenAddr)iferr!=nil{returnnil,err}if!isPortAvailable(tcpAddr.Port){returnnil,ErrPortUnavailable}opts:=libp2p.Option{libp2p.Identity(pk),libp2p.NATPortMap(),libp2p.ListenAddrStrings(fmt.Sprintf("/ip4/%s/tcp/%d",tcpAddr.IP,tcpAddr.Port)),libp2p.Muxer(protocolID,mplex.DefaultTransport),}h,err:=libp2p.New(context.Background(),opts...)iferr!=nil{returnnil,err}h.SetStreamHandler(protocolID,ns.streamHandler)returnh,nil}

該host的流處理邏輯在ns.streamHandler中

func(ns*NetService)streamHandler(slibnet.Stream){ns.PeerManager.HandleStream(s,inbound。

steamHandler又調用PeerManager的HandleStream函數

//HandleStreamhandlestheincomingstream.////Itcheckswhethertheremotepeeralreadyexists.//Ifthepeerisnewandtheneighborcountdoesn'treachthethreshold,itaddsthepeerintotheneighborlist.//Ifpeeralreadyexits,justaddthestreamtothepeer.//Inothercases,resetthestream.func(pm*PeerManager)HandleStream(slibnet.Stream,directionconnDirection){remotePID:=s.Conn().RemotePeer()pm.freshPeer(remotePID)ifpm.isStreamBlack(s){ilog.Infof("remotepeerisinblacklist.pid=%v,addr=%v",remotePID.Pretty(),s.Conn().RemoteMultiaddr())s.Conn().Close()return}ilog.Debugf("handlenewstream.pid=%s,addr=%v,direction=%v",remotePID.Pretty(),s.Conn().RemoteMultiaddr(),direction)peer:=pm.GetNeighbor(remotePID)ifpeer!=nil{s.Reset()return}ifpm.NeighborCount(direction)>=pm.neighborCap{if!pm.isBP(remotePID){ilog.Infof("neighborcountexceeds,closeconnection.remoteID=%v,addr=%v",remotePID.Pretty(),s.Conn().RemoteMultiaddr())ifdirection==inbound{bytes,_:=pm.getRoutingResponse(string{remotePID.Pretty(。)iflen(bytes)>0{msg:=newP2PMessage(pm.config.ChainID,RoutingTableResponse,pm.config.Version,defaultReservedFlag,bytes)s.Write(msg.content()。time.AfterFunc(time.Second,func(){s.Conn().Close(。。else{s.Conn().Close(。return}pm.kickNormalNeighbors(direction。pm.AddNeighbor(NewPeer(s,pm,direction))return}

IOST與Raze Network達成戰略合作,推動IOST態中隱私保護層發展:4月20日,IOST宣布與基于波卡的跨鏈隱私協議Raze Network達成合作,攜手推動IOST生態中隱私保護層的發展。

Raze Network將為IOST生態中的交易和數據出入提供隱私保護機制。通過將IOST dApps、錢包與RazeVM集合,用戶能夠使用“Σ-子彈”算法有效的對賬戶余額和交易進行加密,并提升Raze和IOST賬戶隱私支付渠道在用戶中的影響力。

Raze Network是一個波卡生態中基于substrate的跨鏈隱私協議。它致力于為DeFi和Web 3.0提供一個跨鏈隱私中間件,是一個能為DeFi和Web 3.0堆棧提供端對端匿名性的原生隱私協議。[2021/4/20 20:39:59]

對于新建立連接的peer,IOST會啟動該peer并添加到neighborlist中

//AddNeighborstartsapeerandaddsittotheneighborlist.func(pm*PeerManager)AddNeighbor(p*Peer){pm.neighborMutex.Lock()deferpm.neighborMutex.Unlock()ifpm.neighbors==nil{p.Start()pm.storePeerInfo(p.id,multiaddr.Multiaddr{p.addr})pm.neighbors=ppm.neighborCount}}

peer啟動之后,IOST會調用peer的readLoop和writeLoop函數對該peer進行讀寫。

//Startstartspeer'sloop.func(p*Peer)Start(){ilog.Infof("peerisstarted.id=%s",p.ID())gop.readLoop()gop.writeLoop(。

我們主要看readLoop,看IOST對我們發送的數據如何處理。

func(p*Peer)readLoop(){header:=make(byte,dataBegin)for{_,err:=io.ReadFull(p.stream,header)iferr!=nil{ilog.Warnf("readheaderfailed.err=%v",err)break}chainID:=binary.BigEndian.Uint32(header)ifchainID!=p.peerManager.config.ChainID{ilog.Warnf("mismatchedchainID.chainID=%d",chainID)break}length:=binary.BigEndian.Uint32(header)iflength>maxDataLength{ilog.Warnf("datalengthtoolarge:%d",length)break}data:=make(byte,dataBeginlength)_,err=io.ReadFull(p.stream,data)iferr!=nil{ilog.Warnf("readmessagefailed.err=%v",err)break}copy(data,header)msg,err:=parseP2PMessage(data)iferr!=nil{ilog.Errorf("parsep2pmessagefailed.err=%v",err)break}tagkv:=mapstring{"mtype":msg.messageType().String(。byteInCounter.Add(float64(len(msg.content())),tagkv)packetInCounter.Add(1,tagkv)p.handleMessage(msg。p.peerManager.RemoveNeighbor(p.id。

動態 | 跨ETH/EOS/TRON/IOST四大公鏈,DApp活躍度排行榜:據 DAppTotal 01月06日數據顯示,過去一周,綜合對比ETH、EOS、TRON、IOST四大公鏈的DApp生態情況發現:總用戶量(個): ETH(178,990) > TRON(48,281) > EOS(31,724) > IOST(4,264);總交易次數(筆):EOS(335,077,404) > IOST(7,720,741) > TRON(5,207,539) > ETH(919,726);總交易額(美元):EOS(88,179,757) > ETH(40,753,792) > TRON(24,972,894) > IOST(5,713,015);跨四條公鏈按用戶量TOP3 DApps為:MillionMoney(ETH)、EOS Dynasty(EOS)、WINk(TRON);按交易次數TOP3 DApps分別為:EIDOS(EOS)、iPirates(IOST)、MICH token miner(EOS);按交易額TOP3 DApps分別為:Newdex(EOS)、EIDOS(EOS)、WINk(TRON)。[2020/1/6]

主要是讀取一個固定長度的header,然后根據header中的length來讀取data,通過header和data創建一個P2PMessage,最后調用handleMessage來處理這個msg。節點發送的數據包結構如下:

/*P2PMessageprotocol:0123(bytes)01234567012345670123456701234567--------------------------------|ChainID|--------------------------------------------------------------|MessageType|Version|--------------------------------------------------------------|DataLength|---------------------------------------------------------------|DataChecksum|---------------------------------------------------------------|Reserved|---------------------------------------------------------------||.Data.||---------------------------------------------------------------*/

公告 | OKEx已開放IOST充提:OKEx宣布關于IOST主網切換的工作已完成,用戶在平臺的代幣已切換為主網代幣,無需其他操作。OKEx已于4月29日15點開放IOST的充提服務。注意:主網切換后,OKEx將會生成新的IOST充值地址,用戶需要使用此新的IOST地址進行充值,原來IOST充值地址將失效,充值時請務必添加tag。若用戶充值到原有IOST地址,將會造成代幣丟失。[2019/4/29]

handleMessage會根據messageType對message進行處理

//HandleMessagehandlesmessagesaccordingtoitstype.func(pm*PeerManager)HandleMessage(msg*p2pMessage,peerIDpeer.ID){data,err:=msg.data()iferr!=nil{ilog.Errorf("getmessagedatafailed.err=%v",err)return}switchmsg.messageType(){caseRoutingTableQuery:gopm.handleRoutingTableQuery(msg,peerID)caseRoutingTableResponse:gopm.handleRoutingTableResponse(msg)default:inMsg:=NewIncomingMessage(peerID,data,msg.messageType())ifm,exist:=pm.subs.Load(msg.messageType());exist{m.(*sync.Map).Range(func(k,vinterface{})bool{select{casev.(chanIncomingMessage)<-*inMsg:default:ilog.Warnf("sendingincomingmessagefailed.type=%s",msg.messageType()。returntrue}。}

了解了IOST節點之間P2P通信的處理邏輯,再來看看如何觸發存在漏洞的handleHashQuery函數。messageLoop中調用了handlerHashQuery

func(sy*SyncImpl)messageLoop(){defersy.wg.Done()for{select{casereq:=<-sy.messageChan:switchreq.Type(){casep2p.SyncBlockHashRequest:varrhmsgpb.BlockHashQueryerr:=proto.Unmarshal(req.Data(),&rh)iferr!=nil{ilog.Errorf("UnmarshalBlockHashQueryfailed:%v",err)break}gosy.handleHashQuery(&rh,req.From())省略...

可以看到當messageType為p2p.SyncBlockHashRequest,Data為BlockHashQuery時,handlerHashQuery函數會被調用。BlockHashQuery的結構如下,End和Start的值可控。

typeBlockHashQuerystruct{ReqTypeRequireType`protobuf:"varint,1,opt,name=reqType,proto3,enum=msgpb.RequireType"json:"reqType,omitempty"`Startint64`protobuf:"varint,2,opt,name=start,proto3"json:"start,omitempty"`Endint64`protobuf:"varint,3,opt,name=end,proto3"json:"end,omitempty"`Numsint64`protobuf:"varint,4,rep,packed,name=nums,proto3"json:"nums,omitempty"`XXX_NoUnkeyedLiteralstruct{}`json:"-"`XXX_unrecognizedbyte`json:"-"`XXX_sizecacheint32`json:"-"`}

因此,我們可以構造一個Message,將Start的值設為0,End的值設為math.MaxInt64,將該Message發送給節點,就可以觸發make函數的capoutofrange,導致拒絕服務。

POC見https://github.com/fatal0/poc/blob/master/go-iost/p2p_dos.go

漏洞修復

官方的修復方式也很簡單,限制end-start1的大小。

https://github.com/iost-official/go-iost/commit/9824cfce3bb4b14f43b60f470cbba86e879dd32a#diff-4e27320b328b8f0d452f10e1ed383d73R330

Tags:OSTPEEREERREACryptosTribePEER價格Ethereal詞匯

ADA
怎么辦?我的幣不見了!_比特幣:區塊鏈工程專業學什么女生好就業

很長一段時間,中心化交易所成為眾矢之的。每個持幣人都認為高額上幣費中有自己的一份,另一邊是交易所安全事件頻發,讓人有種交了保護費卻不干事兒的錯覺.

1900/1/1 0:00:00
大餅打開局面?其他的幣跟不_CBD:比特幣

今天封面是《紳士的樂趣》,阿道夫.亞歷山大。今天都在傳言,納斯達克可以買比特幣了,并有人從納斯達克的平臺,成功購入一枚比特幣.

1900/1/1 0:00:00
JEX上線周HT期權0503公告_JEX:SDT

HT看漲期權 代碼周HT看漲0503期權標的HT合約類型歐式看漲期權計價單位USDT最小價格單位0.0001USDT合約比例1:8.

1900/1/1 0:00:00
2019,最深的谷底,也是最大的機遇!_區塊鏈:AVA

2019最深的谷底,最大的機遇來自幣市小姐姐00:0020:39跌宕的2018年,幣圈在瘋狂中開始,在落寞中結束.

1900/1/1 0:00:00
公鑰、私鑰、地址是啥?_DEG:GODS

如果你是比特幣的持有者,還湊巧有windows或者mac電腦,那你應該用過一款叫Bitcoin-qt的軟件。這個軟件就是號稱比特幣錢包的工具,與此相關的還有私鑰、公鑰、地址等名詞概念.

1900/1/1 0:00:00
什么是拜占庭將軍問題?_DEFI:EFI

區塊鏈共識機制中,常見的一個名詞是——拜占庭將軍問題。小白每次試圖去理解它的時候,百度百科出來的每一個字都認識,但合在一起就覺得晦澀難懂,難以靜心看下去.

1900/1/1 0:00:00
ads