首页
论坛
专栏
课程

[翻译]虚拟机逃逸——QEMU的案例分析(二)

2017-5-31 22:58 5047

[翻译]虚拟机逃逸——QEMU的案例分析(二)

2017-5-31 22:58
5047

其他部分链接:

http://bbs.pediy.com/thread-217997.htm   虚拟机逃逸——QEMU的案例分析(一)

http://bbs.pediy.com/thread-218045.htm   虚拟机逃逸——QEMU的案例分析(三)


3.内存泄露的利用

  本节中,我们将利用CVE-2015-5165——一个影响RTL8139

网卡仿真的内存泄露漏洞——来重现QEMU的内存泄露。更确切的说,我们需要泄露(1.text字段的基地址,用于构建shellcode2)用户物理内存的基地址,用于得到一些虚拟结构的准确地址。

 3.1漏洞代码

  REALTEK网卡支持两种接收/传送模式:C模式和C+模式。当网卡配置成C+模式时,NIC设备仿真器会错误计算IP数据包的长度并在结束时发送更多的数据。

  漏洞出现在hw/net/rtl8139.c文件中的rtl8139_cplus_transmit_one函数:


  IP头包括两个参数:hlen表示ip数据包长度,ip->ip_len表示IP头的长度(一个包20字节,不包括可选字段),数据包的总长度包括ip头的长度。如下所示的代码片段最后,在计算IP数据长度(ip_data_len)时没有检查确保ip->ip_len不小于hlen。因为ip_data_len参数类型为unsigned short,这会导致发送比传送缓冲区实际更多的数据。

  更确切的说,ip_data_len会被复制用于之后计算TCP数据的长度——如果数据超过了MTU的长度将会一直传送下去——最后进入一个malloced缓冲区:


  所以,如果我们伪造一个长度错误的包(比如长度ip->ip_len = hlen - 1),那我们就可以从QEMU的内存中泄露大约64KB的数据。这样,网卡就不会发送一个简单的包了,而是在结束时发送43个分散的包。

 3.2配置网卡

  为了传送我们伪造的包并读取泄露的数据,我们需要配置网卡的接收缓冲和发送缓冲,并设置一些标记来确保我们的包经过漏洞代码的路径传输。

  下图是RTL8139的寄存器。这不是所有的寄存器,只列出与漏洞利用有关的寄存器。

  - TxConfig:开启/关闭Tx的标记,比如TxLoopBack(开启loopback测试模式),TxCRCTx包不添加冗余校验码)等。

  - RxConfig:开启/关闭Rx的标记,比如AcceptBroadcast(接收广播包), AcceptMulticast(接收组播包)等。

  - CpCmdC+指令寄存器用来执行一些函数,比如 CplusRxEnd(允许接收),CplusTxEnd(允许发送)等。

  - TxAddr0Tx表的物理内存地址。

  - RxRingAddrLORx表的物理内存地址的低32位。

  - RxRingAddrHIRx表的物理内存地址的高32位。

  - TxPoll:告诉网卡检查Tx

  一个Rx/Tx-descriptor定义有如下特征:buf_lobuf_hi分别表示Tx/Rx缓冲的物理内存地址的低32位和高32位。这些地址指向存储要发送/接收的包的缓冲区,必须与页面大小对齐。变量dw0表示缓冲区的长度加上额外的标记,比如用来标记缓冲区归网卡还是驱动所有的ownership标记。

  网卡通过in*()out*()(定义在sys/io.h)进行配置。配置需要CAP_SYS_RAWIO特权。以下代码段配置网卡并构建一个简单的Tx descriptor

 3.3 漏洞利用

  完整的漏洞利用代码(cve-2015-5165.c)可参见附录的源代码压缩包。首先配置会用到的网卡寄存器并构建了TxRx缓冲。然后伪造一个IP包并发送给网卡的MAC地址。这让我们能在配置的Rx缓冲中读到泄露的数据。

  当分析泄露的数据时,会出现很多函数指针。仔细分析后发现,这些函数指针都有相同的QEMU内部结构:

  QEMU遵循一个对象模型来管理设备、内存等。QEMU在启动时会创建一些对象并分配属性。例如,以下调用会给一个内存对象添加属性“may-overlap”。该属性通过getter方法获得一个布尔值。

  RTL8139网卡需要在头中分配64KB的空间来重组包。很有可能这个空间与对象属性撤销后的空间正好合适。

  在漏洞利用中,我们在溢出内存中搜索已知的对象属性。更确切的说,我们搜索至少有一个函数指针被设置(获取、设置、解决或释放)的80字节的内存块(一个自由ObjectProperty结构的块)。即使这些地址有ASLR(一种针对缓冲区溢出安全保护技术)保护,但我们仍可以猜.text字段的基地址。实际上,他们的页偏移地址是确定的(12个最小有效位或虚地址都不是随机的)。我们可以计算获得一些QEMU函数的地址。我们还可以得到一些LibC函数的地址,比如从PLT入口获得mprotect()system()的地址。

  我们还发现PHY_MEM + 0x78的地址多次泄露,PHY_MEM表示分配给用户的物理内存空间的首地址。

  目前的漏洞利用是搜索泄露的内存并尝试找到(1.text字段的基地址(2)物理内存的基地址。

4.堆溢出的利用

  这部分讨论漏洞CVE-2015-7504并利用漏洞获得%rip寄存器的控制权。

 4.1 漏洞代码

  AMD PCNET网卡仿真器在loopback测试模式下接收大型包时有一个堆溢出漏洞。PCNET4KB的缓冲区存储包。如果开启了Tx缓冲的ADDFCS标记,网卡会给接收到的包添加一个冗余校验码,如下代码段所示,定义于hw/net/pcnet.c

pcnet_receive()函数。如果接收到的包长度小于4096-4字节)就不会出现问题,然而,如果包长度正好是4096字节,我们就可以溢出目的缓冲区4个字节的数据。


  上述代码中s指向 PCNET的主结构体,可以看到通过漏洞缓冲区的溢出,我们得到irq变量的值:

  irq变量是一个指针,指向IRQState结构体表示一个用于执行的处理程序。


  这个处理程序被PCNET网卡多次调用,比如在pcnet_receive()函数的最后,调用pcnet_update_irq()时会调用qemu_set_irq()函数:

  所以,为了利用这个漏洞,我们需要做:

  - 构造一个假的IRQState结构体用于执行的处理程序(比如 system()函数)。

  - 计算该结构体的准确地址。多亏于精确内存泄露,我们准确的知道了该结构体在QEMU进程内存的准确地址(在用户物    理内存的基地址的一些偏移地址处)。

  - 构造一个4KB的恶意包。

  - 给该恶意包打补丁,让其冗余校验码与我们构造的假IRQState结构体相匹配。

  - 发送恶意包。

  当PCNET接收到该恶意包时,调用pcnet_receive function()处理包,执行以下操作:

  - 复制接收包的内容到缓冲区变量。

  - 计算一个冗余校验码并添加到缓冲区中。缓冲区溢出4字节数据并泄露出irq变量。

  -调用pcnet_update_irq()时会调用使用irq变量的qemu_set_irq()函数。然后输出处理程序执行。

  注意我们可以控制替换处理程序的前两个参数(irq->opaqueirq->n),但多亏于我们之后会说到的小技巧,我们可以控制第三个参数(level参数)。这在调用 mprotect()函数是必须的。

  还要注意我们用4字节泄露了一个8字节的指针。这足够在我们的测试环境中成功控制%rip寄存器、然而,这会在没有设置CONFIG_ARCH_BINFMT_ELF_RANDOMIZE_PIE参数的内核上出现问题。这个问题会在5.4中讨论。

 4.2 配置网卡

  在继续进行之前,我们需要配置PCNET网卡用以配置需要的参数、构造TxRx缓冲和分配循环缓冲区用来保存发送和接收的数据包。

  AMD PCNET网卡有16位和32位两种模式。这取决于DWIO(存储在网卡上的变量)的实际值。下面,我们详细列出了PCNET网卡在16位模式下的主要寄存器,该模式是网卡重启后的默认模式:

  通过访问复位寄存器让网卡复位到默认状态。

  网卡有两种内部寄存器:CSR(控制和状态寄存器)和BCR(总线控制寄存器)。两种寄存器都通过首先设置对应的我们要访问的RAP(寄存器地址端口)寄存器来访问。比如,如果我们想启动并重置网卡,我们需要设置CSR0寄存器的bit0bit11。可以通过写0RAP寄存器来选择CSRO寄存器,然后设置CSR寄存器为0x3

  网卡的配置可以通过填充一个初始化结构体,并将该结构体的物理地址传送到网卡(通过CSR1CSR2代码)来完成:

 4.3 逆向冗余校验码

  如前面所说,我们需要给包打补丁,让其冗余校验码与我们构造的假结构体相匹配。幸运的是,冗余校验码是可以逆向的。得益于文章[6]的方法,我们可以打一个4字节的补丁让冗余校验码与我们的选择相匹配。源码reverse-crc.c添加了一个补丁到一个预填充缓冲区来让冗余校验码与0xdeadbeef相等。

---[ reverse-crc.c ]---
#include <stdio.h>
#include <stdint.h>

#define CRC(crc, ch)	 (crc = (crc >> 8) ^ crctab[(crc ^ (ch)) & 0xff])

/* generated using the AUTODIN II polynomial
 *	x^32 + x^26 + x^23 + x^22 + x^16 +
 *	x^12 + x^11 + x^10 + x^8 + x^7 + x^5 + x^4 + x^2 + x^1 + 1
 */
static const uint32_t crctab[256] = {
	0x00000000, 0x77073096, 0xee0e612c, 0x990951ba,
	0x076dc419, 0x706af48f, 0xe963a535, 0x9e6495a3,
	0x0edb8832, 0x79dcb8a4, 0xe0d5e91e, 0x97d2d988,
	0x09b64c2b, 0x7eb17cbd, 0xe7b82d07, 0x90bf1d91,
	0x1db71064, 0x6ab020f2, 0xf3b97148, 0x84be41de,
	0x1adad47d, 0x6ddde4eb, 0xf4d4b551, 0x83d385c7,
	0x136c9856, 0x646ba8c0, 0xfd62f97a, 0x8a65c9ec,
	0x14015c4f, 0x63066cd9, 0xfa0f3d63, 0x8d080df5,
	0x3b6e20c8, 0x4c69105e, 0xd56041e4, 0xa2677172,
	0x3c03e4d1, 0x4b04d447, 0xd20d85fd, 0xa50ab56b,
	0x35b5a8fa, 0x42b2986c, 0xdbbbc9d6, 0xacbcf940,
	0x32d86ce3, 0x45df5c75, 0xdcd60dcf, 0xabd13d59,
	0x26d930ac, 0x51de003a, 0xc8d75180, 0xbfd06116,
	0x21b4f4b5, 0x56b3c423, 0xcfba9599, 0xb8bda50f,
	0x2802b89e, 0x5f058808, 0xc60cd9b2, 0xb10be924,
	0x2f6f7c87, 0x58684c11, 0xc1611dab, 0xb6662d3d,
	0x76dc4190, 0x01db7106, 0x98d220bc, 0xefd5102a,
	0x71b18589, 0x06b6b51f, 0x9fbfe4a5, 0xe8b8d433,
	0x7807c9a2, 0x0f00f934, 0x9609a88e, 0xe10e9818,
	0x7f6a0dbb, 0x086d3d2d, 0x91646c97, 0xe6635c01,
	0x6b6b51f4, 0x1c6c6162, 0x856530d8, 0xf262004e,
	0x6c0695ed, 0x1b01a57b, 0x8208f4c1, 0xf50fc457,
	0x65b0d9c6, 0x12b7e950, 0x8bbeb8ea, 0xfcb9887c,
	0x62dd1ddf, 0x15da2d49, 0x8cd37cf3, 0xfbd44c65,
	0x4db26158, 0x3ab551ce, 0xa3bc0074, 0xd4bb30e2,
	0x4adfa541, 0x3dd895d7, 0xa4d1c46d, 0xd3d6f4fb,
	0x4369e96a, 0x346ed9fc, 0xad678846, 0xda60b8d0,
	0x44042d73, 0x33031de5, 0xaa0a4c5f, 0xdd0d7cc9,
	0x5005713c, 0x270241aa, 0xbe0b1010, 0xc90c2086,
	0x5768b525, 0x206f85b3, 0xb966d409, 0xce61e49f,
	0x5edef90e, 0x29d9c998, 0xb0d09822, 0xc7d7a8b4,
	0x59b33d17, 0x2eb40d81, 0xb7bd5c3b, 0xc0ba6cad,
	0xedb88320, 0x9abfb3b6, 0x03b6e20c, 0x74b1d29a,
	0xead54739, 0x9dd277af, 0x04db2615, 0x73dc1683,
	0xe3630b12, 0x94643b84, 0x0d6d6a3e, 0x7a6a5aa8,
	0xe40ecf0b, 0x9309ff9d, 0x0a00ae27, 0x7d079eb1,
	0xf00f9344, 0x8708a3d2, 0x1e01f268, 0x6906c2fe,
	0xf762575d, 0x806567cb, 0x196c3671, 0x6e6b06e7,
	0xfed41b76, 0x89d32be0, 0x10da7a5a, 0x67dd4acc,
	0xf9b9df6f, 0x8ebeeff9, 0x17b7be43, 0x60b08ed5,
	0xd6d6a3e8, 0xa1d1937e, 0x38d8c2c4, 0x4fdff252,
	0xd1bb67f1, 0xa6bc5767, 0x3fb506dd, 0x48b2364b,
	0xd80d2bda, 0xaf0a1b4c, 0x36034af6, 0x41047a60,
	0xdf60efc3, 0xa867df55, 0x316e8eef, 0x4669be79,
	0xcb61b38c, 0xbc66831a, 0x256fd2a0, 0x5268e236,
	0xcc0c7795, 0xbb0b4703, 0x220216b9, 0x5505262f,
	0xc5ba3bbe, 0xb2bd0b28, 0x2bb45a92, 0x5cb36a04,
	0xc2d7ffa7, 0xb5d0cf31, 0x2cd99e8b, 0x5bdeae1d,
	0x9b64c2b0, 0xec63f226, 0x756aa39c, 0x026d930a,
	0x9c0906a9, 0xeb0e363f, 0x72076785, 0x05005713,
	0x95bf4a82, 0xe2b87a14, 0x7bb12bae, 0x0cb61b38,
	0x92d28e9b, 0xe5d5be0d, 0x7cdcefb7, 0x0bdbdf21,
	0x86d3d2d4, 0xf1d4e242, 0x68ddb3f8, 0x1fda836e,
	0x81be16cd, 0xf6b9265b, 0x6fb077e1, 0x18b74777,
	0x88085ae6, 0xff0f6a70, 0x66063bca, 0x11010b5c,
	0x8f659eff, 0xf862ae69, 0x616bffd3, 0x166ccf45,
	0xa00ae278, 0xd70dd2ee, 0x4e048354, 0x3903b3c2,
	0xa7672661, 0xd06016f7, 0x4969474d, 0x3e6e77db,
	0xaed16a4a, 0xd9d65adc, 0x40df0b66, 0x37d83bf0,
	0xa9bcae53, 0xdebb9ec5, 0x47b2cf7f, 0x30b5ffe9,
	0xbdbdf21c, 0xcabac28a, 0x53b39330, 0x24b4a3a6,
	0xbad03605, 0xcdd70693, 0x54de5729, 0x23d967bf,
	0xb3667a2e, 0xc4614ab8, 0x5d681b02, 0x2a6f2b94,
	0xb40bbe37, 0xc30c8ea1, 0x5a05df1b, 0x2d02ef8d,
};

uint32_t crc_compute(uint8_t *buffer, size_t size)
{
	uint32_t fcs = ~0;
	uint8_t *p = buffer;

	while (p != &buffer[size])
		CRC(fcs, *p++);

	return fcs;
}

uint32_t crc_reverse(uint32_t current, uint32_t target)
{
	size_t i = 0, j;
	uint8_t *ptr;
	uint32_t workspace[2] = { current, target };
	for (i = 0; i < 2; i++)
		workspace[i] &= (uint32_t)~0;
	ptr = (uint8_t *)(workspace + 1);
	for (i = 0; i < 4; i++) {
		j = 0;
		while(crctab[j] >> 24 != *(ptr + 3 - i)) j++;
		*((uint32_t *)(ptr - i)) ^= crctab[j];
		*(ptr - i - 1) ^= j;
	}
	return *(uint32_t *)(ptr - 4);
}


int main()
{
	uint32_t fcs;
	uint32_t buffer[2] = { 0xcafecafe };
	uint8_t *ptr = (uint8_t *)buffer;

	fcs = crc_compute(ptr, 4);
	printf("[+] current crc = %010p, required crc = \n", fcs);

	fcs = crc_reverse(fcs, 0xdeadbeef);
	printf("[+] applying patch = %010p\n", fcs);
	buffer[1] = fcs;

	fcs = crc_compute(ptr, 8);
	if (fcs == 0xdeadbeef)
		printf("[+] crc patched successfully\n");
}

 4.4漏洞利用

  漏洞利用的代码(附录源代码压缩包中cve-2015-7504.c文件)重置网卡到默认设置,然后配置TxRx并设置需要的参数,最后启动并重启网卡来让设置生效。

  剩下的就是用一个简单的包来触发漏洞。如下所示,qemu_set_irq被一个泄露的指向0x7f66deadbeefirq变量调用。QEMU因在这个地址中没有可用的的处理程序而发生泄露。




作者: Mehdi TalbiPaul Fariello

原文链接:http://www.phrack.org/papers/vm-escape-qemu-case-study.html

本文由 看雪翻译小组 Green奇 编译



[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

打赏 + 1.00
打赏次数 1 金额 + 1.00
收起 
赞赏  CCkicker   +1.00 2017/07/12
最新回复 (4)
marsboys 2017-6-1 07:02
2
0
谢谢分享!
CCkicker 2017-6-1 10:57
3
0
文章很好!建议可以合为一篇发,或者在这两篇文章  都加上  另一篇文章的链接,方便查看
Green奇 2017-6-1 18:50
4
0
哆啦咪 文章很好![em_63]建议可以合为一篇发,或者在这两篇文章 都加上 另一篇文章的链接,方便查看[em_12]
已修改~
小丞VS小澈 2017-6-28 22:23
5
0
请问文章提到的源代码要怎么下载?想学习一下
游客
登录 | 注册 方可回帖
返回