QEMU漏洞挖掘

轉載：https://www.tuicool.com/articles/MzqYbia

 

qemu是一個開源的模擬處理器硬件設備的全虛擬化仿真器和虛擬器.

KVM(kernel virtual machine)是一個Linux內核模塊,爲用戶層提供硬件虛擬化的特性,QEMU經過kvm模擬一個目標架構的時候,能夠實現與主機相同的架構,從而極大提升模擬效率.

安裝配置qemu參見 官方文檔

漏洞挖掘

要想實現從虛擬機裏(之後統稱guest主機)影響qemu,繼而影響用戶的主機(之後統稱Host主機),就須要找到Guest主機與qemu通訊的方法,再經過分析qemu對虛擬機傳遞數據的處理流程來發掘可利用點,好比虛擬機內傳遞一個異常值,致使qemu堆溢出,而後利用虛擬機傳遞佈置的內容構造exploit,就能夠實現控制qemu完成任意代碼執行了.

這裏,我介紹的是IO通訊的挖掘與利用.

IO通訊

硬件接入系統的時候,系統會爲硬件的寄存器分配連續的IO端口或者IO內存.經過寫入IO端口或內存,就能將數據傳遞給硬件.而qemu虛擬了不少硬件設備,當咱們操做這些IO端口的時候,就至關於傳遞了數據進入qemu進程內.

對於 IO端口 ,咱們能夠經過下列方式傳遞數據:

#include <sys/io.h>
iopl(3)//賦予當前程序讀寫IO端口的權限,也可使用IOperm()來臨時啓用
//讀取
inb(port);//byte
inw(port);//word=2 bytes
inl(port);//dwords=4 bytes
//寫入
outb(val,port);
outw(val,port);
outl(val,port);

對於 IO內存 ,可使用下列方式傳遞數據:

#include <asm/io.h>
#include <linux/ioport.h>

long addr=ioremap(ioaddr,iomemsize);
readb(addr);
readw(addr);
readl(addr);
readq(addr);//qwords=8 btyes

writeb(val,addr);
writew(val,addr);
writel(val,addr);
writeq(val,addr);
iounmap(addr);

須要注意的是,IO端口操做能夠直接使用gcc編譯,再經過root權限執行就能夠,而IO內存操做須要編寫內核驅動.

挖掘第一步:肯定目標設備

開始挖掘前,咱們須要先定一個目標設備,而設備列表咱們能夠經過下列命令得到:

$ qemu-system-x86_64 -device ?

若想了解設備的使用信息能夠這樣:

$ qemu-system-x86_64 -device mptsas1068,help

例如:若是咱們想加載mptsas設備,可使用以下命令:

$ qemu-system-x86_64 -m 2048 --enable-kvm -device mptsas1068 -hda /folder/with/img/centos.img

固然可能還須要其它參數設置,這個就看你我的需求了.

另外,每一個設備其實對應的都是一個或多個c文件,咱們也能夠在qemu源碼的 hw 目錄裏找,而後根據文件裏的關鍵詞,對比前面獲取的設備列表,判斷是屬於哪一個設備.

同時,不少默認設備咱們不須要主動加載.對於默認設備,咱們只須要找到對應的c文件就能夠開始測試了.

挖掘第二步:肯定設備對應的IO端口\IO內存

在guest主機裏,咱們執行以下命令獲取設備信息:

$ lspci

若是認不出來,咱們能夠這樣:

$ lsmod |grep mptsas(假設驅動就叫mptsas) 
有可能驅動並非叫mptsas,這個時候你就例舉全部的驅動,而後對比不加載設備時結果的區別來判斷.

$ modinfo mptsas

若是還認不出來,咱們就這樣:

$ lspci -nnv

這下你總知道了吧.並且咱們還知道了這個設備對應的IO端口是 0xc000 ,大小爲256(意味着最大能夠inl(0xc000+255)).IO內存是 0xfebc0000-febc3fff,febb0000-febbffff ,能夠看到它有兩塊IO內存

針對mptsas設備,從 lspci 命令,咱們知道其對應的bus信息是 00:04.0 ,咱們也能夠經過下列方式獲取對應的IO內存和端口的信息.

$ cat /proc/iomem| grep 00:04.0
$ cat /proc/ioports|grep 00:04.0

除此之外,還有一種方法能夠快速獲取全部信息:

$ lshw

有的設備是特殊設備(好比usb設備,virtio設備),你不必定找獲得對應名字,就須要你結合對應c文件的各類關鍵詞以及加載時列表的關鍵詞來找.

若是加載了一個設備,找不到io信息,你谷歌一下.好比以前測試vmware-vga的時候,我是這樣搜索的」How can I find what video driver is in use on my system」

挖掘第三步:找到對應源文件

若是你是直接經過文件肯定的設備能夠跳過這一步.

若是你是經過設備列表選定目標,就須要找尋該設備的c源文件了.否則你都不知道誰在處理你傳的數據,不是很尷尬.

找文件的技巧也就是先去hw目錄,而後找到對應設備的子目錄,好比我舉例的mptsas,咱們經過lspci命令知道,其屬於scsi設備,所以就在scsi目錄查找,輕鬆找到兩個相關文件 mptconfig.c 和 mptsas.c ,至於mptendian.c,看一眼就知道不重要啦.固然了,有時候咱們不必定能找到關鍵詞怎麼辦?? 經過source Insight 的關鍵詞搜索,搜索全部文件來匹配關鍵詞.

挖掘第四步: 編寫交互代碼

終於要開始隨心所欲了,先來看看怎麼寫測試代碼:

#include <sys/io.h>
void main(){
  iopl(3);
 inb(0xc050);
}

//針對IO內存
#include <asm/io.h>
#include <linux/module.h>
#include <linux/ioport.h>
#include <linux/random.h>
 
long pmem;//注意這裏不要使用指針類型,否則後面地址加偏移的時候很容易出錯
void m_init(){
 printk("m_init\n");
 int i,cmd,cmd_size;
 int va,offset;
 pmem=ioremap(0xfebf0000,0x8000);//映射io內存
 offset=0x10;//根據設備狀況而定
 if (pmem){
 writel(value,pmem+offset);//一般狀況下都是寫4字節,你也能夠根據源碼的處理方式選擇
 }else printk("ioremap fail\n");
 iounmap(pmem);
 return;
}
void m_exit(){
 printk("m_exit\n");
 return;
}
module_init(m_init);
module_exit(m_exit);

[更多IO操做詳細信息] http://www.oschina.net/question/565065_67988 )

挖掘第五步: 審計源碼

咱們已經找處處理輸入的文件了,怎麼找到哪個函數是第一個處理咱們輸入的函數呢??

通用的方法:找包含 read,write 關鍵字的函數名.

針對mptsas,找的結果以下:

經過不斷找函數的caller,咱們最終會找到第一個處理的函數,而有的設備有多個映射IO內存和端口,就意味着有多個處理函數分別對應不一樣的內存和端口.

自此能說的也很少了,你都已經知道怎麼控制數據了,剩下就是去查看qemu怎麼處理數據了.

qemu在獲取數據的時候也會經過調用Guest系統的內存來讀取數據,處理guest地址轉換的函數叫 dma_memory_read,dma_memory_write ,因此記得注意地址不要出錯.

有的模塊有一個內存是拿來放數據的,好比以前測試vmware-vga的時候,一段IO內存就是從結構s-fifo[0x1000] 來讀取的.而不是使用函數來處理.

改天再附上測試mptsas的fuzz代碼.