转载：https://www.tuicool.com/articles/MzqYbia

 

qemu是一个开源的模拟处理器硬件设备的全虚拟化仿真器和虚拟器.

KVM(kernel virtual machine)是一个Linux内核模块,为用户层提供硬件虚拟化的特性,QEMU通过kvm模拟一个目标架构的时候,可以实现与主机相同的架构,从而极大提高模拟效率.

安装配置qemu参见 

漏洞挖掘

要想实现从虚拟机里(以后统称guest主机)影响qemu,继而影响用户的主机(以后统称Host主机),就需要找到Guest主机与qemu通信的方法,再通过分析qemu对虚拟机传递数据的处理流程来发掘可利用点,比如虚拟机内传递一个异常值,导致qemu堆溢出,然后利用虚拟机传递布置的内容构造exploit,就可以实现控制qemu完成任意代码执行了.

这里,我介绍的是IO通信的挖掘与利用.

IO通信

硬件接入系统的时候,系统会为硬件的寄存器分配连续的IO端口或者IO内存.通过写入IO端口或内存,就能将数据传递给硬件.而qemu虚拟了很多硬件设备,当我们操作这些IO端口的时候,就相当于传递了数据进入qemu进程内.

对于 IO端口 ,我们可以通过下列方式传递数据:

#include 
      
        iopl(3)//赋予当前程序读写IO端口的权限,也可以使用IOperm()来临时启用 //读取 inb(port);//byte inw(port);//word=2 bytes inl(port);//dwords=4 bytes //写入 outb(val,port); outw(val,port); outl(val,port);
      

对于 IO内存 ,可以使用下列方式传递数据:

#include 
      
        #include 
       
         long addr=ioremap(ioaddr,iomemsize); readb(addr); readw(addr); readl(addr); readq(addr);//qwords=8 btyes writeb(val,addr); writew(val,addr); writel(val,addr); writeq(val,addr); iounmap(addr);
       
      

需要注意的是,IO端口操作可以直接使用gcc编译,再通过root权限执行就可以,而IO内存操作需要编写内核驱动.

挖掘第一步:确定目标设备

开始挖掘前,我们需要先定一个目标设备,而设备列表我们可以通过下列命令获得:

$ qemu-system-x86_64 -device ?

若想了解设备的使用信息可以这样:

$ qemu-system-x86_64 -device mptsas1068,help

例如:如果我们想加载mptsas设备,可以使用如下命令:

$ qemu-system-x86_64 -m 2048 --enable-kvm -device mptsas1068 -hda /folder/with/img/centos.img

当然可能还需要其它参数设置,这个就看你个人需求了.

另外,每个设备其实对应的都是一个或多个c文件,我们也可以在qemu源码的 hw 目录里找,然后根据文件里的关键词,对比前面获取的设备列表,判断是属于哪个设备.

同时,很多默认设备我们不需要主动加载.对于默认设备,我们只需要找到对应的c文件就可以开始测试了.

挖掘第二步:确定设备对应的IO端口\IO内存

在guest主机里,我们执行如下命令获取设备信息:

$ lspci

如果认不出来,我们可以这样:

$ lsmod |grep mptsas(假设驱动就叫mptsas) 有可能驱动并不是叫mptsas,这个时候你就例举所有的驱动,然后对比不加载设备时结果的区别来判断. $ modinfo mptsas

如果还认不出来,我们就这样:

$ lspci -nnv

这下你总知道了吧.而且我们还知道了这个设备对应的IO端口是 0xc000 ,大小为256(意味着最大可以inl(0xc000+255)).IO内存是 0xfebc0000-febc3fff,febb0000-febbffff ,可以看到它有两块IO内存

针对mptsas设备,从 lspci 命令,我们知道其对应的bus信息是 00:04.0 ,我们也可以通过下列方式获取对应的IO内存和端口的信息.

$ cat /proc/iomem| grep 00:04.0 $ cat /proc/ioports|grep 00:04.0

除此以外,还有一种方法可以快速获取所有信息:

$ lshw

有的设备是特殊设备(比如usb设备,virtio设备),你不一定找得到对应名字,就需要你结合对应c文件的各种关键词以及加载时列表的关键词来找.

如果加载了一个设备,找不到io信息,你谷歌一下.比如之前测试vmware-vga的时候,我是这样搜索的”How can I find what video driver is in use on my system”

挖掘第三步:找到对应源文件

如果你是直接通过文件确定的设备可以跳过这一步.

如果你是通过设备列表选定目标,就需要找寻该设备的c源文件了.不然你都不知道谁在处理你传的数据,不是很尴尬.

找文件的技巧也就是先去hw目录,然后找到对应设备的子目录,比如我举例的mptsas,我们通过lspci命令知道,其属于scsi设备,因此就在scsi目录查找,轻松找到两个相关文件 mptconfig.c 和 mptsas.c ,至于mptendian.c,看一眼就知道不重要啦.当然了,有时候我们不一定能找到关键词怎么办?? 通过source Insight 的关键词搜索,搜索所有文件来匹配关键词.

挖掘第四步: 编写交互代码

终于要开始为所欲为了,先来看看怎么写测试代码:

#include 
      
        void main(){
       iopl(3);   inb(0xc050); } //针对IO内存 #include 
       
         #include 
        
          #include 
         
           #include 
          
            long pmem;//注意这里不要使用指针类型,不然后面地址加偏移的时候很容易出错 void m_init(){
                printk("m_init\n"); int i,cmd,cmd_size; int va,offset; pmem=ioremap(0xfebf0000,0x8000);//映射io内存 offset=0x10;//根据设备情况而定 if (pmem){ writel(value,pmem+offset);//通常情况下都是写4字节,你也可以根据源码的处理方式选择 }else printk("ioremap fail\n"); iounmap(pmem); return; } void m_exit(){ printk("m_exit\n"); return; } module_init(m_init); module_exit(m_exit);
          
         
        
       
      

[更多IO操作详细信息]  )

挖掘第五步: 审计源码

我们已经找到处理输入的文件了,怎么找到哪一个函数是第一个处理我们输入的函数呢??

通用的方法:找包含 read,write 关键字的函数名.

针对mptsas,找的结果如下:

通过不断找函数的caller,我们最终会找到第一个处理的函数,而有的设备有多个映射IO内存和端口,就意味着有多个处理函数分别对应不同的内存和端口.

自此能说的也不多了,你都已经知道怎么控制数据了,剩下就是去查看qemu怎么处理数据了.

qemu在获取数据的时候也会通过调用Guest系统的内存来读取数据,处理guest地址转换的函数叫 dma_memory_read,dma_memory_write ,所以记得注意地址不要出错.

有的模块有一个内存是拿来放数据的,比如之前测试vmware-vga的时候,一段IO内存就是从结构s-fifo[0x1000] 来读取的.而不是使用函数来处理.

改天再附上测试mptsas的fuzz代码.