近日,俄罗斯安全研究人员Sergey Zelenyuk发布了有关VirtualBox 5.2.20及早期版本的零日漏洞的详细信息,这些版本可以让攻击者逃离虚拟机并在主机上执行 RING 3层的代码。然后,攻击者可以利用传统的攻击技术将权限提升至 RING 0层。
漏洞利用
该漏洞利用Linux内核模块(LKM)加载到客户虚拟机操作系统中。如果虚拟机操作系统是Windows则只需要一个与LKM不同的驱动程序,这个驱动程序是初始化包装器和内核API调用所需要的。
在两个操作系统中加载驱动程序都需要提升权限。利用提权很普遍,所以不被认为是一个不可逾越的障碍。看看研究人员在Pwn2Own竞赛中使用的漏洞利用链:在客户虚拟机操作系统中的浏览器打开一个恶意网站来利用漏洞,一个浏览器沙箱逃逸可以获得完整的RING3访问权限,在你需要从虚拟机操作系统攻击虚拟机管理程序的地方,你利用操作系统的漏洞可以将权限提升至RING0。威力最强大的虚拟机管理程序漏洞肯定是那些可以从客户虚拟机RING3中利用的漏洞。在VirtualBox中也有这样的代码,可以在没有虚拟机root权限的情况下执行,而且大部分代码都没有被审计过。
这个漏洞利用的成功率是100%。这就意味着它要么总是可以成功,要么永远不会因为不匹配的二进制文件或其他没有考虑到的更微妙的原因而导致利用失败。至少在Ubuntu 16.04和18.04 x86_64 的虚拟机上使用默认配置的情况下利用是成功的。
开发漏洞利用程序
1.攻击者卸载在Linux客户虚拟机中默认加载的e1000.ko并加载漏洞利用程序的LKM。
2.LKM根据数据表初始化E1000。由于不需要接收另外一半,因此仅初始化发送一半。
3.第1步:信息泄露。
· a.LKM禁用E1000环回模式,使堆栈缓冲区溢出代码不可达。
· b.LKM使用整数下溢漏洞使堆缓冲区溢出。
· c.堆缓冲区溢出导致攻击者可以使用E1000 EEPROM在相对于堆缓冲区128 KB的范围内写入两个任意字节。因此攻击者获得了写原语。
· d.LKM使用写原语八次,将字节写入堆上的ACPI(高级配置和电源接口)数据结构。字节被写入堆缓冲区的索引变量,从中读取单个字节。由于缓冲区大小小于更大索引号(255),所以攻击者可以读取缓冲区,因此最终攻击者获得了读原语。
· e.LKM使用读原语八次,访问ACPI并从堆中获取8个字节。这些字节是VBoxDD.so共享库的指针。
· f.LKM从指针中减去RVA获得VBoxDD.so镜像基址。
4.第2步:堆栈缓冲区溢出。
· a.LKM启用E1000环回模式,使堆栈缓冲区溢出代码可达。
· b.LKM使用整数下溢漏洞使堆缓冲区溢出以及栈缓冲区溢出。保存的返回地址(RIP / EIP)将被覆盖。攻击者获得了控制权。
· c.执行ROP链来执行shellcode加载程序。
5第3步:shellcode。
· a.shellcode加载器从相邻的栈中复制shellcode。shellcode被执行。
· b.shellcode执行fork和execve系统调用在主机端生成任意进程。
· c.父进程继续运行进程。
6.攻击者卸载LKM并加载e1000.ko允许虚拟机使用 *** 。
初始化
LKM映射了有关于E1000 MMIO的物理内存。物理地址和大小由管理程序预定义。
void* map_mmio(void) {
off_t pa = 0xF0000000;
size_t len = 0x20000;
void* va = ioremap(pa, len);
if (!va) {
printk(KERN_INFO PFX"ioremap failed to map MMIO\n");
return NULL;
}
return va;
}
然后配置E1000通用寄存器,分配Tx Ring存储器,配置发送寄存器。
void e1000_init(void* mmio) {
// Configure general purpose registers
configure_CTRL(mmio);
// Configure TX registers
g_tx_ring = kmalloc(MAX_TX_RING_SIZE, GFP_KERNEL);
if (!g_tx_ring) {
printk(KERN_INFO PFX"Failed to allocate TX Ring\n");
return;
}
configure_TDBAL(mmio);
configure_TDBAH(mmio);
configure_TDLEN(mmio);
configure_TCTL(mmio);
}
ASLR绕过
写原语
从漏洞利用程序的开发开始,我决定不使用默认情况下禁用的服务中的原语。首先要说的就是提供3D加速的Chromium服务(不是浏览器),去年研究人员发现了40多个漏洞。
现在的问题是在默认的VirtualBox子系统中发现信息泄漏。显而易见的想法是,如果整数下溢允许溢出堆缓冲区,那么我们就可以控制任何超过缓冲区的内容。接下来我们将看到我们并不需要一个额外的漏洞:整数下溢似乎非常强大,我们可以从中获取读取,写入和信息泄漏的原语,这里不是在堆栈缓冲区溢出。
让我们来看看堆上究竟是什么样的溢出。
/** * Device state structure. */struct E1kState_st
{
... uint8_t aTxPacketFallback[E1K_MAX_TX_PKT_SIZE];
相信现在有很多的朋友们对于没有房产证的房子可以公证吗?应该怎么办理呢?都想要了解吧,那么今天小编就来给大家针对没有房产证的房子可以公证吗?应该怎么办理呢?进行一个介绍吧,希望小编介绍的内容能够...
怎么查看我女朋友与别人之间的微信聊天记录_-免费接单黑客QQ,黑客 怎么查看我女朋友与别人之间的微信聊天记录_-免费接单黑客QQ,黑客 网友说到:这也太“暴利”了黑客对服务器发起攻击也是需要成本的...
众所周知古代的人家向来奉行的是“一妻多妾”,即一正妻多小妾。而自从有了妻子和小妾的区别后,他们所生的孩子也就有了不一样的地位。正妻所生之子曰嫡子,第一个孩子曰嫡长子。除正妻外,其余诸妾生下的男主的第一...
做了很丢脸的事想死怎么办 1、基本上应该每个人都干过2B的事,时间会冲淡一切的,需要多少时间完全取决于你的心态,你能放下它就能过去,你天天想着它永远过不去。2、不要担心,每个人都会经历人生尴尬丢脸的时...
一、信息哪儿怎么找黑客 1、找黑客肯·汤普逊和丹尼斯·里奇贝尔实验室的计算机科学操作小组程序员。信息哪儿飞凡无线是吗除了建立一个具有高度思维和逻辑的理论体系外,还需要激发人们对美好理想的渴望。接单黑客...
北京市商务接待模特预约做兼职在校学生【蒋韵】 今日给大伙儿共享的內容是“北京市商务接待模特预约做兼职在校学生【蒋韵】”,我是蒋韵,来源于烟台市,2020年二十一岁,做为岗位:造型艺术,我喜爱我的岗位:...