qemu毒液漏洞分析(2015.9)
0x00背景
安全娱乐圈媒体Freebuf对该漏洞的有关报道:
提供的POC没有触发崩溃,在MJ0011的博客给出了修改后可以使qemu崩溃的poc。详见:
http://blogs.360.cn/blog/venom-%E6%AF%92%E6%B6%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%EF%BC%88qemu-kvm-cve%E2%80%902015%E2%80%903456%EF%BC%89/
0x01漏洞重现
注:qemu的用户交互性体验相对于vmware来说,极差
a.Linux 的qemu虚拟机
环境:
Win 10 物理机 + qemu-system-i386.exe (2.0.50) + CentOS 6.3虚拟机
Linux 因为在用户层就可以直接操作端口,所以在linux虚拟机中将MJ给的POC保存成一个C文件,用gcc编译后运行,就可以看到qemu崩溃了:
b.Windows的qemu虚拟机
环境:
Win 10 物理机 + Qemu Manager 7.0 + WinXP虚拟机
Windows因为不可以在用户层直接和端口操作,需要借助驱动,所以就存在了和物理机的交互:驱动加载工具和编译好的驱动程序。
测试的过程中,使用了Qemu Manager 7.0来建立共享文件夹。在物理机设置一个共享文件夹,然后就可在windows虚拟机的网上邻居访问了:
编写的驱动关键代码,换成对应对端口操作的函数就好了:
物理机中用windbg附加到qemu进程后,在xp虚拟机中加载驱动后,就可以观察到windbg捕获到异常了:
注:如果不用windbg附加到qemu.exe进程的话,那么看到的是qemu mannager把虚拟机给关了。
0x02分析
MJ的文章对漏洞成因进行了较为详细的分析了,具体的情况可以查看其blog。下面进行简要的说明:
qemu接受到FIFO命令后,会先调用fdctrl_write_data 函数,该函数会确保fdctrl的状态是可写入的,才会进行下一步操作。
outb(0x8e,0x3f5)对应的函数为fdctrl_handle_drive_specification_command:
因为 fdctrl->fifo[fdctrl->data_pos - 1] 是我们可控的,加上fdctrl ->data_len =6,不可能大于7,所以可以绕过这两个对fdctrl写入状态的改写,其状态还是可以被写入的。
而接受写入数据buffer fdctrl->fifo的大小为0x1000 bytes,poc中对其进行不断的写入,也就发生了越界写了。
by:会飞的猫
转载请注明:http://www.cnblogs.com/flycat-2016
转载于:https://www.cnblogs.com/flycat-2016/p/5453103.html
qemu毒液漏洞分析(2015.9)相关推荐
- QEMU CVE-2020-14364 漏洞分析(含 PoC 演示)
聚焦源代码安全,网罗国内外最新资讯! 作者:奇安信代码安全实验室研究员张子明(@Ezrak1e) 奇安信代码安全实验室研究员为Red Hat发现六个漏洞(CVE-2020-14364.CVE-202 ...
- Linksys WRT54G 路由器溢出漏洞分析—— 运行环境修复
博文视点安全技术大系 · 2015/08/04 15:40 本文节选自<揭秘家用路由器0day漏洞挖掘技术>,吴少华主编,王炜.赵旭编著,电子工业出版社 2015年8月出版. 本章实验测试 ...
- 又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析
本文讲的是又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析, 早在2015年,FireEye曾发布过两次关于Office的Encapsulated PostScript (EPS)图形文 ...
- cve-2014-7911安卓提权漏洞分析
小荷才露尖尖角 · 2015/05/22 10:41 0x00 简介 CVE-2014-7911是由Jann Horn发现的一个有关安卓的提权漏洞,该漏洞允许恶意应用从普通应用权限提权到system用 ...
- RiskSense Spotlight:全球知名开源软件漏洞分析报告
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 RiskSense 公司最近发布了关于全球当前知名开源软件 (OSS) 的漏洞分析报告.奇安信代码卫士团队编译如下. 摘要 开源软 ...
- 机器学习:软件漏洞分析
Software Vulnerability Analysis and Discovery Using Machine-Learning and Data-Mining Techniques: A S ...
- 通达OA任意文件上传/文件包含RCE漏洞分析
通达OA任意文件上传/文件包含RCE漏洞分析 0x01 前提 0x01 漏洞介绍 0x02 漏洞分析 首先下载安装 绕过身份验证文件上传部分 变量传递问题 文件包含部分 0x01 前提 关于这个漏洞的 ...
- 2022CTF培训(十一)IOT 相关 CVE 漏洞分析
附件下载链接 D-Link DIR-823G 固件全系统仿真 2022CTF培训(十)IOT 相关 CVE 漏洞分析 是采用 qemu-user 对个别程序进行仿真,而对于完整的仿真需要使用 qemu ...
- [漏洞分析] CVE-2022-0847 Dirty Pipe linux内核提权分析
CVE-2022-0847 Dirty Pipe linux内核提权分析 文章目录 CVE-2022-0847 Dirty Pipe linux内核提权分析 漏洞简介 环境搭建 漏洞原理 漏洞发生点 ...
最新文章
- 适配器和绑定 没找到_亚马逊如何收款?附亚马逊收款绑定流程
- 2.5 矩阵乘法规则
- 【Pytorch神经网络实战案例】17 带W散度的WGAN-div模型生成Fashon-MNST模拟数据
- 类中函数模板 typeof_Julia中的typeof()函数
- YbSoftwareFactory 代码生成插件【九】:基于JQuery、WebApi的ASP.NET MVC插件的代码生成项目主要技术解析...
- 有关VUE学习的经验(2)
- Android JNI开发笔记二:动态库和静态库
- LHC或许已经首次制造出顶夸克“四胞胎”
- Latex表格/公式在线编译转换器
- pscp使用详解 Win与Linux文件互传工具
- html的绝对定位脱离文档流吗,子元素position:absolute定位之后脱离文档流,怎么使子元素撑开父元素...
- 打破应试教育,犯错亦是成长
- php备份王,帝国备份王常见问题及解决方法
- Mellanox SX6036 40G/56G IB/以太网交换机基础配置以及开启web管理
- 前端开发学习书籍整理,拥有此书,如有神助!
- DSP数据手册和技术参考手册的使用
- AD转换器的主要指标
- 丹弗斯驱动器在EtherCAT扫描中报错INIT ERROR原因分析
- 被碾压过得Samsung SCH-W319 的取证恢复
- 微商,微电商,社交电商,社群电商的区别原来是这样的