间隙编号: qemu kvm CVE‐2015‐3456 (VENOM)国产自拍

宿主机版块: CentOS Linux release 7.9.2009 (Core)

QEMU 版块: QEMU emulator version 1.5.3

QEMU 编造机版块: debian_squeeze_amd64_standard.qcow2

参考贵寓 VENOM间隙分析与诈骗 VENOM "毒液"间隙分析 0x00 讲解

VENOM(毒液)是挺经典的堆溢露马脚，因为是kvm的洞，昔时影响也挺广的。旨趣在 参考贵寓1 中讲的很详备，这里就浅薄说一下，本文相对 参考贵寓1 ，主要的修订是细化了 Exp 的编写。

CVE-2015-3456 编造机逃遁的主要方案是诈骗 qemu_set_irq 实践一个 handler 函数（本文实践的是 <system> ），从而在宿主机中驱动我方念念要的代码。opaque 也即是 qemu_set_irq 的参数可操作性很大，因为堆空间着实太大了，况且也不存在什么坏字符（传奇有，但我没遭遇）。

0x01 环境建树

编造机启动剧本 vm.sh

启动后不错在宿主机通过 ssh 纠合编造机

不错通过 scp 传输文献

关闭马上基地址

0x02 间隙复现 01. 测试现存 POC

从 参考贵寓1 中复制现存 POC 并编译上传

现存 POC

纠合到 QEMU 编造机，并驱动 POC

寄存器：

调用堆栈：

02. 寻找 RIP 地址

使用 msf 生成字符串

编译上传

POC 源码：

驱动取得如下信息：

调用堆栈：

ide_ioport_read 中 opaque 被遮掩，通过 opaque 地址信息 缓助定位，稽查一下 opaque 中的试验：

使用 msf 定位 RIP 和 ide_ioport_read

计较 RIP 场地偏移

03. 修改 POC

POC02 源码：

稽查定位信息

成果如下图所示，定位莫得问题

真人示范性交姿势 0x03 编写 EXP

字据 参考贵寓一 寻找不错诈骗的点

需要用到如下信息：

01. 最初测试一下 qemu_set_irq

EXP01源码：

02. 修改 POC 为 EXP

EXP 源码：

编译上传

纠合处事器，驱动exp

最终成果是在宿主机上开启了一个 shell

完成。

0x04 归来 文档是前年写的，翻札记找出来，这几天没事又走了一遍，没念念出来何如修订，一年了仍是没什么跳跃。（前年龄录的独逐一篇我我方还能看懂的札记？） 间隙太老了，很难遭遇这样经典的老编造机了。 况且不同环境下地址王人不相似，本 Exp 不具有通用性，是以就看个吵杂吧，没什么事不错复现一下玩玩。

[课程]Android-CTF解题轮番汇总！国产自拍