IOST公链P2P远程拒绝服务漏洞

漏洞分析

IOST公链使用Go语言开发,Go语言的make函数如果参数控制不当容易产生拒绝服务漏洞。在IOST的公链代码中搜索make,找到了一处貌似可以利用的地方。

func(sy*SyncImpl)getBlockHashes(startint64,endint64)*msgpb.BlockHashResponse{resp:=&msgpb.BlockHashResponse{BlockInfos:make(*msgpb.BlockInfo,0,end-start1),}node:=sy.blockCache.Head()ifnode!=nil&&end>node.Head.Number{end=node.Head.Number}省略...

Line3make的第3个参数为end-start1,end和start来自handleHashQuery

func(sy*SyncImpl)handleHashQuery(rh*msgpb.BlockHashQuery,peerIDp2p.PeerID){ifrh.End<rh.Start||rh.Start<0{return}varresp*msgpb.BlockHashResponseswitchrh.ReqType{casemsgpb.RequireType_GETBLOCKHASHES:resp=sy.getBlockHashes(rh.Start,rh.End)casemsgpb.RequireType_GETBLOCKHASHESBYNUMBER:resp=sy.getBlockHashesByNums(rh.Nums。省略...

可以看到并没有限制end-start1的大小,只要end足够大,start足够小就可以导致拒绝服务。所以现在问题就只剩下如何触发这个漏洞。

漏洞利用

IOST节点之间的P2P通信使用的是libp2p,libp2p是一个模块化的网络堆栈,汇集了各种传输和点对点协议,使开发人员可以轻松构建大型,强大的p2p网络。

来看一看IOST节点的P2Pservice启动流程。

首先创建一个NetService,代码如下:

粉丝代币平台Socios代币持有者可竞拍获得意大利超级杯“比赛得分球”:1月17日消息,粉丝代币平台Socios宣布,通过Socios购买粉丝代币的球迷将有机会在本周三AC米兰和国际米兰之间举行的意大利超级杯比赛中,赢得一个“比赛得分球”。

据悉,用户必须同时拥有足够数量的任何一支球队的粉丝代币和Socios代币,如果符合条件,粉丝们将参加拍卖。该“比赛得分球”将装有芯片,充当“真实性证书”,无论谁赢得球,都将使用芯片验证其所有权。[2023/1/17 11:15:42]

//NewNetServicereturnsaNetServiceinstancewiththeconfigargument.funcNewNetService(config*common.P2PConfig)(*NetService,error){ns:=&NetService{config:config,}iferr:=os.MkdirAll(config.DataPath,0755);config.DataPath!=""&&err!=nil{ilog.Errorf("failedtocreatep2pdatapath,err=%v,path=%v",err,config.DataPath)returnnil,err}privKey,err:=getOrCreateKey(filepath.Join(config.DataPath,privKeyFile))iferr!=nil{ilog.Errorf("failedtogetprivatekey.err=%v,path=%v",err,config.DataPath)returnnil,err}host,err:=ns.startHost(privKey,config.ListenAddr)iferr!=nil{ilog.Errorf("failedtostartahost.err=%v,listenAddr=%v",err,config.ListenAddr)returnnil,err}ns.host=hostns.PeerManager=NewPeerManager(host,config)ns.adminServer=newAdminServer(config.AdminPort,ns.PeerManager)returnns,nil}

Web3策略游戏创作者平台Theia Studios完成240万美元融资:11月10日消息,据外媒报道,Web3策略游戏创作者平台Theia Studios宣布完成240万美元新一轮融资,Hashed、Snackclub、IVC、Mint Ventures、Taureon、Arcanum Capital、BigBrain Holdings、Lancer Capital、Ignite Group、Andover Ventures和Plum Ventures参投。

该公司旗下的Web3回合制策略游戏创作者平台为开发者提供了工具包,其中包括地图编辑器、资产管道、脚本框架、经济构建器等,帮助游戏创作者构建自己的策略游戏,其首款游戏“IconsofTheis”预计将在11月10日启动封闭Beta测试。(finsmes)[2022/11/10 12:42:37]

主要看Line18的startHost,该函数调用libp2p库创建了一个host

//startHoststartsalibp2phost.func(ns*NetService)startHost(pkcrypto.PrivKey,listenAddrstring)(host.Host,error){tcpAddr,err:=net.ResolveTCPAddr("tcp",listenAddr)iferr!=nil{returnnil,err}if!isPortAvailable(tcpAddr.Port){returnnil,ErrPortUnavailable}opts:=libp2p.Option{libp2p.Identity(pk),libp2p.NATPortMap(),libp2p.ListenAddrStrings(fmt.Sprintf("/ip4/%s/tcp/%d",tcpAddr.IP,tcpAddr.Port)),libp2p.Muxer(protocolID,mplex.DefaultTransport),}h,err:=libp2p.New(context.Background(),opts...)iferr!=nil{returnnil,err}h.SetStreamHandler(protocolID,ns.streamHandler)returnh,nil}

欧足联俱乐部与Socios.com达成合作,推出其官方粉丝Token:2月16日消息,欧足联与Socios.com达成合作,并签署赞助协议。Socios.com成为UEFA冠军联赛等UEFA官方授权产品和官方粉丝Token合作伙伴。此外,Socios.com已成为美国2021-2024赛季欧洲冠军联赛和欧洲超级杯的地区赞助商。

Socios.com所提供的粉丝Token允许持有者通过投票来影响团队。此外,UEFA将在Socios.com上以各种方式奖励粉丝Token持有者,包括参加UEFA赛季启动活动的VIP之旅、参观UEFA总部的机会等。

迄今为止,已有120多个主要体育组织通过粉丝Token与Socios.com合作,包括顶级足球俱乐部、F1、UFC、NHL、NBA、NFL和MLS等。[2022/2/16 9:55:35]

该host的流处理逻辑在ns.streamHandler中

func(ns*NetService)streamHandler(slibnet.Stream){ns.PeerManager.HandleStream(s,inbound。

steamHandler又调用PeerManager的HandleStream函数

//HandleStreamhandlestheincomingstream.////Itcheckswhethertheremotepeeralreadyexists.//Ifthepeerisnewandtheneighborcountdoesn'treachthethreshold,itaddsthepeerintotheneighborlist.//Ifpeeralreadyexits,justaddthestreamtothepeer.//Inothercases,resetthestream.func(pm*PeerManager)HandleStream(slibnet.Stream,directionconnDirection){remotePID:=s.Conn().RemotePeer()pm.freshPeer(remotePID)ifpm.isStreamBlack(s){ilog.Infof("remotepeerisinblacklist.pid=%v,addr=%v",remotePID.Pretty(),s.Conn().RemoteMultiaddr())s.Conn().Close()return}ilog.Debugf("handlenewstream.pid=%s,addr=%v,direction=%v",remotePID.Pretty(),s.Conn().RemoteMultiaddr(),direction)peer:=pm.GetNeighbor(remotePID)ifpeer!=nil{s.Reset()return}ifpm.NeighborCount(direction)>=pm.neighborCap{if!pm.isBP(remotePID){ilog.Infof("neighborcountexceeds,closeconnection.remoteID=%v,addr=%v",remotePID.Pretty(),s.Conn().RemoteMultiaddr())ifdirection==inbound{bytes,_:=pm.getRoutingResponse(string{remotePID.Pretty(。)iflen(bytes)>0{msg:=newP2PMessage(pm.config.ChainID,RoutingTableResponse,pm.config.Version,defaultReservedFlag,bytes)s.Write(msg.content()。time.AfterFunc(time.Second,func(){s.Conn().Close(。。else{s.Conn().Close(。return}pm.kickNormalNeighbors(direction。pm.AddNeighbor(NewPeer(s,pm,direction))return}

动态 | 跨ETH/EOS/TRON/IOST四大公链 DApp活跃度排行榜:据 DAppTotal 12月02日数据显示,过去一周,综合对比ETH、EOS、TRON、IOST四大公链的DApp生态情况发现:总用户量(个): ETH(218,068) > TRON(61,026) > EOS(17,664) > IOST(4,341);总交易次数(笔):EOS(270,249,428) > TRON(5,091,316) > ETH(1,219,798) > IOST(455,724);总交易额(美元):EOS(81,263,791) > ETH(40,726,055) > TRON(20,529,275) > IOST(2,448,655);跨四条公链按用户量TOP3 DApps为:BeeHive(TRON)、Maker(ETH)、CDP Portal(ETH);按交易次数TOP3 DApps分别为:EIDOS(EOS)、WINk(TRON)、Dice(EOS);按交易额TOP3 DApps分别为:Newdex(EOS)、WINk(TRON)、dYdX(ETH)。[2019/12/2]

对于新建立连接的peer,IOST会启动该peer并添加到neighborlist中

//AddNeighborstartsapeerandaddsittotheneighborlist.func(pm*PeerManager)AddNeighbor(p*Peer){pm.neighborMutex.Lock()deferpm.neighborMutex.Unlock()ifpm.neighbors==nil{p.Start()pm.storePeerInfo(p.id,multiaddr.Multiaddr{p.addr})pm.neighbors=ppm.neighborCount}}

peer启动之后,IOST会调用peer的readLoop和writeLoop函数对该peer进行读写。

//Startstartspeer'sloop.func(p*Peer)Start(){ilog.Infof("peerisstarted.id=%s",p.ID())gop.readLoop()gop.writeLoop(。

动态 | 谷歌iOS键盘添加比特币符号:据DailyHodl报道,谷歌的iOS键盘现已添加比特币符号“B”。iOS用户在安装Gboard应用程序并启动运行后,按住美元符号,就能找到比特币符号并选择输入,目前仅为IOS用户添加了这一功能,尚不支持安卓。[2019/2/20]

我们主要看readLoop,看IOST对我们发送的数据如何处理。

func(p*Peer)readLoop(){header:=make(byte,dataBegin)for{_,err:=io.ReadFull(p.stream,header)iferr!=nil{ilog.Warnf("readheaderfailed.err=%v",err)break}chainID:=binary.BigEndian.Uint32(header)ifchainID!=p.peerManager.config.ChainID{ilog.Warnf("mismatchedchainID.chainID=%d",chainID)break}length:=binary.BigEndian.Uint32(header)iflength>maxDataLength{ilog.Warnf("datalengthtoolarge:%d",length)break}data:=make(byte,dataBeginlength)_,err=io.ReadFull(p.stream,data)iferr!=nil{ilog.Warnf("readmessagefailed.err=%v",err)break}copy(data,header)msg,err:=parseP2PMessage(data)iferr!=nil{ilog.Errorf("parsep2pmessagefailed.err=%v",err)break}tagkv:=mapstring{"mtype":msg.messageType().String(。byteInCounter.Add(float64(len(msg.content())),tagkv)packetInCounter.Add(1,tagkv)p.handleMessage(msg。p.peerManager.RemoveNeighbor(p.id。

主要是读取一个固定长度的header,然后根据header中的length来读取data,通过header和data创建一个P2PMessage,最后调用handleMessage来处理这个msg。节点发送的数据包结构如下:

/*P2PMessageprotocol:0123(bytes)01234567012345670123456701234567--------------------------------|ChainID|--------------------------------------------------------------|MessageType|Version|--------------------------------------------------------------|DataLength|---------------------------------------------------------------|DataChecksum|---------------------------------------------------------------|Reserved|---------------------------------------------------------------||.Data.||---------------------------------------------------------------*/

handleMessage会根据messageType对message进行处理

//HandleMessagehandlesmessagesaccordingtoitstype.func(pm*PeerManager)HandleMessage(msg*p2pMessage,peerIDpeer.ID){data,err:=msg.data()iferr!=nil{ilog.Errorf("getmessagedatafailed.err=%v",err)return}switchmsg.messageType(){caseRoutingTableQuery:gopm.handleRoutingTableQuery(msg,peerID)caseRoutingTableResponse:gopm.handleRoutingTableResponse(msg)default:inMsg:=NewIncomingMessage(peerID,data,msg.messageType())ifm,exist:=pm.subs.Load(msg.messageType());exist{m.(*sync.Map).Range(func(k,vinterface{})bool{select{casev.(chanIncomingMessage)<-*inMsg:default:ilog.Warnf("sendingincomingmessagefailed.type=%s",msg.messageType()。returntrue}。}

了解了IOST节点之间P2P通信的处理逻辑,再来看看如何触发存在漏洞的handleHashQuery函数。messageLoop中调用了handlerHashQuery

func(sy*SyncImpl)messageLoop(){defersy.wg.Done()for{select{casereq:=<-sy.messageChan:switchreq.Type(){casep2p.SyncBlockHashRequest:varrhmsgpb.BlockHashQueryerr:=proto.Unmarshal(req.Data(),&rh)iferr!=nil{ilog.Errorf("UnmarshalBlockHashQueryfailed:%v",err)break}gosy.handleHashQuery(&rh,req.From())省略...

可以看到当messageType为p2p.SyncBlockHashRequest,Data为BlockHashQuery时,handlerHashQuery函数会被调用。BlockHashQuery的结构如下,End和Start的值可控。

typeBlockHashQuerystruct{ReqTypeRequireType`protobuf:"varint,1,opt,name=reqType,proto3,enum=msgpb.RequireType"json:"reqType,omitempty"`Startint64`protobuf:"varint,2,opt,name=start,proto3"json:"start,omitempty"`Endint64`protobuf:"varint,3,opt,name=end,proto3"json:"end,omitempty"`Numsint64`protobuf:"varint,4,rep,packed,name=nums,proto3"json:"nums,omitempty"`XXX_NoUnkeyedLiteralstruct{}`json:"-"`XXX_unrecognizedbyte`json:"-"`XXX_sizecacheint32`json:"-"`}

因此,我们可以构造一个Message,将Start的值设为0,End的值设为math.MaxInt64,将该Message发送给节点,就可以触发make函数的capoutofrange,导致拒绝服务。

POC见https://github.com/fatal0/poc/blob/master/go-iost/p2p_dos.go

漏洞修复

官方的修复方式也很简单,限制end-start1的大小。

https://github.com/iost-official/go-iost/commit/9824cfce3bb4b14f43b60f470cbba86e879dd32a#diff-4e27320b328b8f0d452f10e1ed383d73R330

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

狗狗币什么是区块链最长链?

比特币白皮书规定,节点永远认为最长链是正确的区块链,并将持续在它上面延长。所有矿工都在最长链上挖矿,有利于区块链账本的唯一性。如果给你转账的比特币交易不记录在最长链上,你将有可能面临财产损失.

酷币下载赵长鹏是加密货币的“扎克伯格”?

根据福布斯报道,知名加密货币博客平台CoinTalk的主持人AaronLammer和JayCaspianKang最近将世界上最大加密货币交易平台币安的首席执行官赵长鹏(CZ)和Facebook创始人扎克伯格相较.

[0:0ms0-2:652ms