Pwn2Own2017專題：VMWARE UAF漏洞分析

本文將討論各種VMware主題，包括利用，扭轉和虛擬化VMware目標，從虛擬客戶端到執行代碼。

漏洞分析

在我解釋所涉及的漏洞的細節之前，請先瀏覽一下以下的視頻：

這個漏洞的好處是它是能夠簡單的觸發。發送以下RPCI請求觸發了此漏洞：

在vmware-vmx.exe上完全啟用了pageheap，WinDbg將會破壞以下異常：

查看bang-heap的輸出給了我更多關於@RCX中的地址的信息。首先，我知道這確實是一種免費使用，其次，我確切知道發生了什麼事情：

下一步是確定該對象的大小。

上面的反彙編表明，釋放的對象大小為0xb8。通過檢查崩潰的指示，我注意到懸掛的指針被保留在一個大小為0x38的對象中，最初是在VM啟動時分配的：

利用漏洞

在崩潰時進行檢查，顯然需要某種信息泄露來利用此漏洞。為了加快這個檢查過程，我使用了一個泄漏vmware-vmx.exe地址的騰訊安全公司的Pwn2Own漏洞。這個特定的信息泄漏將在將來詳細討論，但它確實提供了所需的信息泄漏，使得這個漏洞能夠被成功利用。

通常，當我嘗試利用目標中的漏洞時，我會問自己這些問題：

1.可以發送什麼類型的請求？

2.我該怎麼控制？

3.如何控制崩潰？

4.如何獲得更好的開發原語？

在本文中，我可以發送RPCI請求，這些請求在技術上可以通過後門介面和其他後門請求一起發送。是的，VMware給這個界面的官方名稱是Backdoor。

所以，我用以下RPC調用再次觸發崩潰：

如上圖所示，@RDI指向觸發該漏洞的請求。

所產生的代碼執行將虛擬客戶端放在虛擬機管理程序層之後。

總結

當在2016年的Pwn2Own中引入VMware時，其實並不希望獲得任何條目。由於研究人員需要查找錯誤和處理所需漏洞的時間，我們很少看到新類別的條目。但是，在2017年的比賽中，就有兩個不同的團隊成功地從虛擬客戶端升級到在虛擬機管理程序中執行代碼。我將來在接下來幾篇文章中詳細說明這些漏洞和技術。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！