Pwn2Own 2020 利用 Oracle VirtualBox 网卡、USB 设备驱动实现虚拟机逃逸的细节

最新推荐文章于 2024-09-04 07:43:25 发布
最新推荐文章于 2024-09-04 07:43:25 发布
阅读量428 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/110069364
版权
本文详细剖析了Pwn2Own 2020比赛中Oracle VirtualBox的两个漏洞,涉及E1000网络适配器的越界读取和OHCI USB控制器的未初始化变量问题,这些漏洞可能导致虚拟机逃逸。漏洞利用过程包括通过设置网络帧和控制消息URB来触发数据泄露和代码执行,最终实现对主机进程的控制。
摘要由CSDN通过智能技术生成

本文将介绍在Pwn2Own 2020中的Oracle VirtualBox逃逸漏洞,这两个漏洞会影响Oracle VirtualBox 6.1.4和更低的版本。

0x01 漏洞分析

漏洞利用链包括2个漏洞:

· 英特尔PRO 1000 MT桌面(E1000)网络适配器-越界读取漏洞

https://www.zerodayinitiative.com/advisories/ZDI-20-581/

· 开放主机控制器接口(OHCI)USB控制器-未初始化变量漏洞

https://www.zerodayinitiative.com/advisories/ZDI-20-582/

1.E1000越界读取漏洞

有关E1000网络适配器内部工作的更多信息,可以在此处阅读有关信息。

https://github.com/hongphipham95/Vulnerabilities/blob/master/VirtualBox/Oracle VirtualBox Intel PRO 1000 MT Desktop - Integer Underflow Vulnerability/Oracle VirtualBox Intel PRO 1000 MT Desktop - Integer Underflow Vulnerability.md

使用E1000网络适配器发送以太网帧时,我们可以通过设置IXSM数据描述符选项字段中的位来控制IP校验和的插入奇热

// VirtualBox-6.1.4\src\VBox\Devices\Network\DevE1000.cpp:5191
static bool e1kLocateTxPacket(PE1KSTATE pThis)
{
    ...    
    E1KTXDESC *pDesc = &pThis->aTxDescriptors[i];
    switch (e1kGetDescType(pDesc))
    {
    ...                
        case E1K_DTYP_DATA:
     ...                
            if (cbPacket == 0)
            {
                /*
                 * The first fragment: save IXSM and TXSM options
                 * as these are only valid in the first fragment.
                 */
                pThis->fIPcsum  = pDesc->data.dw3.fIXSM;
                pThis->fTCPcsum = pDesc->data.dw3.fTXSM;
                        fTSE     = pDesc->data.cmd.fTSE;
     ...                    
}

随着pThis->fIPcsum有效标记,IP校验将被插入到以太网帧

// VirtualBox-6.1.4\src\VBox\Devices\Network\DevE1000.cpp:4997
static int e1kXmitDesc(PPDMDEVINS pDevIns, PE1KSTATE pThis, PE1KSTATECC pThisCC, E1KTXDESC *pDesc,
                       RTGCPHYS addr, bool fOnWorkerThread)
{
    ...
    switch (e1kGetDescType(pDesc))
    {
        ...            
        case E1K_DTYP_DATA:
        {
            STAM_COUNTER_INC(pDesc->data.cmd.fTSE?
                             &pThis->StatTxDescTSEData:
                             &pThis->StatTxDescData);
            E1K_INC_ISTAT_CNT(pThis->uStatDescDat);
            STAM_PROFILE_ADV_START(&pThis->CTX_SUFF_Z(StatTransmit), a);
            if (pDesc->data.cmd.u20DTALEN == 0 || pDesc->data.u64BufAddr == 0)
            {
         ...                
            }
            else
            {
         ...                
                else if (!pDesc->data.cmd.fTSE)
                {
                    ...
                    if (pThis->fIPcsum)
                        e1kInsertChecksum(pThis, (uint8_t *)pThisCC->CTX_SUFF(pTxSg)->aSegs[0].pvSeg, pThis->u16TxPktLen,
                                          pThis->contextNormal.ip.u8CSO,
                                          pThis->contextNormal.ip.u8CSS,
                                          pThis->contextNormal.ip.u16CSE);

函数e1kInsertChecksum()将

最低0.47元/天 解锁文章
systemino
关注
corechip usb网卡驱动_好用的无线网卡——野花USB无线网卡
weixin_39936388的博客
11-29 1337
无线网卡实际上是一个非常有用的东西,特别对于求学的学生,因为大部分租赁的房屋内都没有网口,即使墙上有网口也是没有信号的,这个时候,无线网卡就可以让你拥有网络。还有就是在家里不方便扯网线的时候,它可以让你的台式机也拥有连接无线上网的能力。如果,你想替换掉笔记本自带的低性能网卡,以此来让笔记本获得更好的网速的话,网卡也是必不可少的。那么,下面就来说一款我已经入手,并且还好用的无线网卡。【野花5300Y...
Pwn2Own Tokyo 2020 用于挑战的Mobile和IOT设备清单
systemino的博客
11-24 8744
在过去的几年中,Pwn2Own比赛一直在日本东京的PacSec应用安全会议上举行。今年,PacSec将线上举行,因此我们开始研究如何线上进行Pwn2Own Tokyo,类似于我们举办春季比赛的方式。 https://www.zerodayinitiative.com/blog/2020/3/20/pwn2own-day-two-results-and-master-of-pwn Pwn2Own Tokyo专注于移动手机设备,电视,智能通信设备和无线路由器等设备,这些物理设备使完全线上举办成为问题。但是
corechip_usb_1000906_64_316.exe
05-16
装了个win10发现系统没有有线网卡驱动,必须手动安装一个。使用英特尔官网网卡驱动竟然提示“不存在英特尔适配器”,无语了,只好试试万能网卡驱动。然后下载了驱动精灵的网卡驱动安装后,竟然可以用。故在这分享下经验。
corechip usb网卡驱动_电脑网卡损坏了不仅不用修,它还能这样来用,而且非常方便...
weixin_39854440的博客
11-29 899
很多超极本因为轻便、薄的需要,没有设计网线接口或者网卡损坏的问题,所以很多笔记本用户会另外购买usb网卡来使用有线方式连接网络。也有一些台式电脑用户由于经常插拔网线,导致网线接口损坏,所以不得不要买一个USB网卡来用。刚好我也好久没怎么体验USB网卡了,是时候好好检验一下帝特USB 3.0千兆高速网卡的水平了。帝特USB 3.0千兆高速网卡可以轻松帮你解决兼容性太差、网卡接口损坏、上网经常掉线、没...
利用Chromium漏洞夺取CTF胜利:VitualBox虚拟机逃逸漏洞分析(CVE-2019-2446)
systemino的博客
04-30 917
一、前言 早在2018年10月,我就留意到Niklas Baumstark发表了一篇关于VirtualBox的Chromium组件的文章,随后我就开始对它进行研究。在两周的时间中,我发现并报告了十几个可以轻松实现利用虚拟机逃逸漏洞。但遗憾的是,其中的大多数都是重复的。 在2018年12月底,3C35 CTF期间,我留意到Niklas发表的一条推文,他宣布VirtualBox的Chromium...
Oracle转移后逃逸,【翻译】Oracle VirtualBox虚拟机逃逸漏洞分析
weixin_34656273的博客
04-12 195
阅读:968本文介绍了两个近期公布的Virtual Box 虚拟机逃逸漏洞,问题存在于 Oracle VirtualBox 5.1.30和5.2-rc1中。漏洞的发现归功于独立安全研究人员Niklas Baumstark。目前漏洞已被提交至 Beyond Security 的 SecuriTeam。厂商回应CVE 编号:CVE: CVE-2018-2698漏洞详情漏洞存在于 VirtualBox ...
pwn2own2020:通过链接六个漏洞通过Safari破坏macOS内核
02-04
该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 在exploits文件夹中使用python3运行HTTP服务器。 $ python3 -m http.server 80 通过Safari使用攻击者服务器的...
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
Re2Own:著名的Pwn2Own的模仿
05-02
Pwn2Own的宝藏 该存储库/项目是每年在著名的cansecwest会议上举办的著名Pwn2Own竞赛的模仿,该竞赛的目标是跨越各种平台和主机体系结构的各种目标。 从逆向工程师的角度来看,该项目的大部分工作将集中于理解漏洞...
c语言中strucopy,VirtualBox虚拟机逃逸之SharedOpenGL模块
weixin_39955421的博客
05-20 374
0x00 前言最近研究VirtualBox虚拟机逃逸,前面分析了VirtualBox的HGCM通信协议,本文我们基于HGCM协议与SharedOpenGL模块进行通信,并分析SharedOpenGL中使用的chromium协议,复现SharedOpenGL中出现的历史漏洞从而进行虚拟机逃逸。0x01 前置知识chromium协议引言我们使用HGCM通信协议,可以在Guest中与主机的一些服务进行通...
SR900USB网卡驱动
12-03
USB网卡驱动,2000/XP/7都可以使用
SR9900 USB2.0转以太网转资料
07-25
SR9900是一款USB2.0接口的100M以太网芯片,超低功耗,采用QFN小封装,广泛应用于电脑周边和嵌入式设计
USB_网卡驱动
06-01
JP1081 USB2.0 To Fast Ethernet Adapter;usb 10/100MB Ethernet Adapter网卡驱动
virtualbox 虚拟网卡驱动
08-23
virtualbox虚拟网卡,特别是安装精简版的系统的时候,这个就可以驱动网卡,然后再用驱动精灵去网络驱动你需要的硬件。
virtualbox 虚拟声卡网卡驱动
04-12
使用virtualbox 虚拟声卡网卡驱动,解决了我的虚拟XP操作系统的上网问题,和大家分享。
RWCTF21-VirtualBox-61-Escape:虚拟机逃逸实战指南
最新发布
gitblog_01074的博客
09-04 556
RWCTF21-VirtualBox-61-Escape:虚拟机逃逸实战指南 RWCTF21-VirtualBox-61-escape0day VirtualBox 6.1.2 Escape for RealWorld CTF 2020/2021 CVE-2021-2119项目地址:https://gitcode.com/gh_mirrors/rw/RWCTF21-VirtualBox-61-e...
CVE-2020-2905: VirtualBox 虚拟机逃逸漏洞通告
爱国小白帽
04-24 1012
CVE-2020-2905: VirtualBox 虚拟机逃逸漏洞通告 360-CERT [360CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年04月24日, 360CERT监测发现 业内安全厂商 发布了 VirtualBox 虚拟机逃逸漏洞 的风险通告,该漏洞编号为 CVE-2020-2905,漏洞等级:高危。 USB 3.0 XHCI模块 是 Vir...
Pwn2Own 2020线上争霸赛落幕:Fluoroacetate 团队四度蝉联 Master of Pwn!
smellycat000的专栏
03-23 366
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队原定于2020年3月18日至20日在加拿大温哥华举办的Pwn2Own 2020大赛受新...
ZDI 公布2020Pwn2Own 东京赛规则和奖金
smellycat000的专栏
07-31 698
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队本周二,趋势科技ZDI宣布了2020Pwn2Own东京赛的赛事规则和奖金。2020Pwn2Own 东京赛将于2020...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值