[漏洞預警] Qemu 虛擬機逃逸漏洞（CVE-2020-14364）

阿里云已于2019年12月完成該漏洞的修復，云上主機已不受該漏洞影響。2020年08月13日，ISC2020第八屆互聯網安全大會上，該漏洞被公開。該漏洞可越界讀寫某一個堆之后0xffffffff的內容，可實現完整的虛擬機逃逸，最終在宿主機中執行任意代碼，造成較為嚴重的信息泄露。經阿里云工程師分析后判定，該漏洞是 Qemu 歷史上最嚴重的虛擬機逃逸漏洞，影響到絕大部分使用 OpenStack 的云廠商。如果您有相關需求或反饋，請提交工單聯系阿里云。

第一次嘗試惡意代碼分析就遇到了虛擬機檢測，于是就想著先學習一下檢測的技術然后再嘗試繞過。學習后最終發現，似乎最好的方法不應該是去patch所有檢測方法，而是直接調試并定位檢測函數再繞過。但既然已經研究了兩天，索性將收集到的資料整理一下，方便后人查找。惡意軟件可以搜索這些文件、目錄或進程的存在。VMware 虛擬機中可能會有如下的文件列表：C:\Program Files\VMware\

但是最終因為我們的主機名與固件中的主機名不同所以無法獲取到IP地址。這里我們可以通過hostname命令查看本機名，然后以我的本機名為例修改squashfs-root/etc/hosts中的內容echo?驗證成功，可以看到程序崩潰信息。但是要構造ROP還需要一些gadget，使用ropper搜索

建議先通一遍文章再動手復現，復現之前一定要保存虛擬機快照，防止出現各種問題。

關于MIPS架構的寄存器及指令集請自行查閱資料，這里就不多作介紹了。，則也會在prologue處保存下來，并在epilogue處取出。流水線指令集相關特性MIPS架構存在“流水線效應”，簡單來說，就是本應該順序執行的幾條命令卻同時執行了，其還存在緩存不一致性（cache

隨著云計算的不斷普及，云平臺安全問題日益凸顯。云平臺資源共享、邊界消失、動態變化等特點，使得傳統基于邊界的旁路式、外掛式防御手段無法有效應對云內安全威脅。因此，通過將安全機制與云平臺融合設計，實現了對云平臺內部威脅和攻擊的可視、可控、可防，確保安全機制的不可繞過和性能開銷最小。

0x00 摘要 大型黑客組織在bootkits的使用上有著長期的成功經驗。bootkits是BIOS/UEFI中隱藏的特殊惡意代碼，能夠實現長期隱藏而不被發現，甚至在重新安裝操作系統和更換硬盤驅動器后仍然存在。由于bootkits具有天然...

CVE-2019-10999 是 Dlink IP 攝像頭的后端服務器程序 alphapd 中的一個緩沖區溢出漏洞，漏洞允許經過身份認證的用戶在請求 wireless.htm 時，傳入 WEPEncryption 參數一個長字符串來執行任意代碼。

根據廠商的要求，在修補后的固件未發布前，我對該漏洞細節進行了保密。若讀者將本文內容用作其他用途，由讀者承擔全部法律及連帶責任，文章作者不承擔任何法律及連帶責任。此時，我們驚喜地發現xxx系列產品的xxx型號固件并沒有被加密，可以成功解開。漏洞分析此部分以xxx固件為例進行分析，該固件是aarch64架構的。其他固件也許架構或部分字段的偏移不同，但均存在該漏洞。找到無鑒權的API接口顯然，此類固件的cgi部分是用Lua所寫的。

編譯make x86_64_defconfig # 加載默認configmake menuconfig # 自定義config. 編譯選項添加調試信息， 需要以下幾行[*] Compile the kernel with debug info [*] Generate dwarf4 debuginfo [*] Provide GDB scripts for kernel debugging. 由于本虛擬機是只有很基本的環境，在調試漏洞之前還需要做一些操作, 創建/etc/passwd,?漏洞原理在調試之前首先根據補丁來簡單了解一下漏洞造成的原因。Exp分析根據exp分析漏洞利用的細節，刪除了部分檢測利用條件、備份密碼等漏洞利用不相關代碼。const unsigned pipe_size = fcntl; static char buffer[4096];for { unsigned n = r > sizeof ?int main() { const char *const path = "/etc/passwd";const int fd = open; if { perror; return EXIT_FAILU