轻视编号: qemu kvm CVE‐2015‐3456 (VENOM)柠檬皮 丝袜

宿主机版块: CentOS Linux release 7.9.2009 (Core)

QEMU 版块: QEMU emulator version 1.5.3

QEMU 编造机版块: debian_squeeze_amd64_standard.qcow2

参考尊府 VENOM轻视分析与摆布 VENOM "毒液"轻视分析 0x00 诠释

VENOM(毒液)是挺经典的堆溢露马脚，因为是kvm的洞，曩昔影响也挺广的。旨趣在 参考尊府1 中讲的很详备，这里就简便说一下，本文相对 参考尊府1 ，主要的转变是细化了 Exp 的编写。

CVE-2015-3456 编造机兔脱的主要办法是摆布 qemu_set_irq 推行一个 handler 函数（本文推行的是 <system> ），从而在宿主机中初始我方思要的代码。opaque 也便是 qemu_set_irq 的参数可操作性很大，因为堆空间着实太大了，况且也不存在什么坏字符（听说有，但我没遭受）。

0x01 环境确立

编造机启动剧本 vm.sh

启动后不错在宿主机通过 ssh 贯穿编造机

不错通过 scp 传输文献

关闭当场基地址

0x02 轻视复现01. 测试现存 POC

从 参考尊府1 中复制现存 POC 并编译上传

现存 POC

贯穿到 QEMU 编造机，并初始 POC

寄存器：

调用堆栈：

02. 寻找 RIP 地址

使用 msf 生成字符串

编译上传

POC 源码：

初始得回如下信息：

调用堆栈：

ide_ioport_read 中 opaque 被掩饰，通过 opaque 地址信息 援手定位，稽查一下 opaque 中的实质：

使用 msf 定位 RIP 和 ide_ioport_read

缠绵 RIP 地方偏移

03. 修改 POC

POC02 源码：

稽查定位信息

成果如下图所示，定位莫得问题

0x03 编写 EXP

字据 参考尊府一 寻找不错摆布的点

需要用到如下信息：

01. 起头测试一下 qemu_set_irq

EXP01源码：

02. 修改 POC 为 EXP

EXP 源码：

编译上传

性爱真实视频

贯穿就业器，初始exp

最终成果是在宿主机上开启了一个 shell

完成。

0x04 记忆 文档是昨年写的，翻札记找出来，这几天没事又走了一遍，没思出来怎样转变，一年了已经没什么最初。（昨年岁录的独逐一篇我我方还能看懂的札记？） 轻视太老了，很难遭受这样经典的老编造机了。 况且不同环境下地址齐不不异，本 Exp 不具有通用性，是以就看个侵犯吧，没什么事不错复现一下玩玩。

[培训]《安卓高等研修班(网课)》月薪三万策划柠檬皮 丝袜，掌持调试、分析规复ollvm、vmp的格式，定制art编造机自动化脱壳的格式