黑客怎么挣钱:2019年Pwn2Own上用于攻破 VMware 的虚拟机逃逸缝隙剖析

在本年的温哥华Pwn2Own竞赛期间，Fluoroacetate团队展现了他们经过运用VMware Workstation从客户机虚拟机逃逸到物理机。他们运用虚拟USB 1.1 UHCI（通用主机操控器接口）中的越界读/写缝隙来到达此意图。
Fluoroacetate 经过此缝隙赢得了Pwn2Own温哥华的Pwn Smrter大奖，总奖金为340,000美元，还得到了一个全新的Tesla Model 3。他们为VMware编写了两个缝隙运用程序，都是针对通用主机操控器接口（UHCI）的。之一个是根据堆的溢出，另一个是一个条件竞赛缝隙。这两个缝隙都需求guest虚拟机操作系统上的Admin权限才干运用成功。
在这篇剖析中，我将介绍根据堆的缓冲区溢出缝隙，这是我最喜欢的Pwn2Own缝隙之一。
缝隙描述
在处理发送到批量端点的特定UHCI央求时存在一个堆溢出缝隙，这些端点首要用于传输很多数据，这个缝隙也可用于触发一个越界写。
首要，当端点接纳到用于处理的帧时，它会从相 应的帧中提取传输描述符（TD），查看是否存在URB政策。假设不存在政策，则经过名为“NewUrb”的函数分配新的URB政策。
URB政策简述：英特尔UHCI标准说到的URB政策是USB中的一个央求块，研讨发现，从NewUrb函数回来的政策是一个环绕有用标准USB央求块（URB）的包装器结构。查看TD的类型以及缓冲区巨细后，假设TD类型是0xE1（USB_PID_O批改hosts后用浏览器拜访，可是没有回显，发现用curl能够UT），那么TD缓冲区被仿制到从中回来的政策内的缓冲区NewUrb函数。假设TD政策的类型不是0xE1，则它会传递缓冲区指针（在代码中引用purb_data_cursor）。

触发缝隙并不难，只需创立一个TD政策，在token特点中设置正确的长度以及0x1E/USB_PID_OUT类型就能够触发。
能够参看下面的PoC代码：

WinDbg附加的溃散成果显现，现已操控了程序流程：

上面的溃散现场是一个根据堆的缓冲区溢出缝隙。可是cx LK 2019-03-15 0 99999 7 -1 (更改其时运用的认证方案。)，假设想要到达越界写，那么有必要创立更多不同类型的TD，这关于运用此缝隙至关重要。之后再创立另一个类型为USB_PID_OUT的TD政策来触发写入。
缝隙剖析
为了答应VMware客户计算机拜访USB设备，VMware会装置guest虚拟机中指定的内核设备驱动程序uhci_hcd，“hcd”代表“主机操控器驱动程序”。此驱动程序答应guest虚拟机与主机端的主机操控器接口（HCI）进行通讯，主机端是主机用于与物理USB端口通讯的硬件接口。经过向USB设备界说的各种端点发送或接纳USB央求块（URB）分组来完结通讯。USB设备的每个端点用于接纳来自主机（OUT）的数据包，或许将数据包发送到主机（IN）。经过将特制的OUT数据包发送到称为批量端点的特定端点来触发此缝隙。
由uhci_hcd驱动程序处理的数据包由uhci_td（传输描述符）结构在内存中表明如下：

该token字段包括不行见的某些位对齐子字段，更低的8位表明“分组ID”，它界说了分组的类型。前10位是一个名为MaxLen的长度字段。
要触发此缝隙，guest虚拟机有必要发送精心结构的TD结构，将Packet ID设置为OUT（0xE1）。此外，由MaxLen子字段指示的TD的缓冲区长度有必要大于0x40字节才干溢出堆上的政策。经过将windbg附加到vmware-vmx.exe并触发缝隙，会收到以下缝隙溃散场景：

回溯调用仓库显现了一系列处理