[漏洞预警] Qemu 虚拟机逃逸漏洞（CVE-2020-14364）

阿里云已于2019年12月完成该漏洞的修复，云上主机已不受该漏洞影响。2020年08月13日，ISC2020第八届互联网安全大会上，该漏洞被公开。该漏洞可越界读写某一个堆之后0xffffffff的内容，可实现完整的虚拟机逃逸，最终在宿主机中执行任意代码，造成较为严重的信息泄露。经阿里云工程师分析后判定，该漏洞是 Qemu 历史上最严重的虚拟机逃逸漏洞，影响到绝大部分使用 OpenStack 的云厂商。如果您有相关需求或反馈，请提交工单联系阿里云。

第一次尝试恶意代码分析就遇到了虚拟机检测，于是就想着先学习一下检测的技术然后再尝试绕过。学习后最终发现，似乎最好的方法不应该是去patch所有检测方法，而是直接调试并定位检测函数再绕过。但既然已经研究了两天，索性将收集到的资料整理一下，方便后人查找。恶意软件可以搜索这些文件、目录或进程的存在。VMware 虚拟机中可能会有如下的文件列表：C:\Program Files\VMware\

但是最终因为我们的主机名与固件中的主机名不同所以无法获取到IP地址。这里我们可以通过hostname命令查看本机名，然后以我的本机名为例修改squashfs-root/etc/hosts中的内容echo?验证成功，可以看到程序崩溃信息。但是要构造ROP还需要一些gadget，使用ropper搜索

建议先通一遍文章再动手复现，复现之前一定要保存虚拟机快照，防止出现各种问题。

关于MIPS架构的寄存器及指令集请自行查阅资料，这里就不多作介绍了。，则也会在prologue处保存下来，并在epilogue处取出。流水线指令集相关特性MIPS架构存在“流水线效应”，简单来说，就是本应该顺序执行的几条命令却同时执行了，其还存在缓存不一致性（cache

随着云计算的不断普及，云平台安全问题日益凸显。云平台资源共享、边界消失、动态变化等特点，使得传统基于边界的旁路式、外挂式防御手段无法有效应对云内安全威胁。因此，通过将安全机制与云平台融合设计，实现了对云平台内部威胁和攻击的可视、可控、可防，确保安全机制的不可绕过和性能开销最小。

0x00 摘要 大型黑客组织在bootkits的使用上有着长期的成功经验。bootkits是BIOS/UEFI中隐藏的特殊恶意代码，能够实现长期隐藏而不被发现，甚至在重新安装操作系统和更换硬盘驱动器后仍然存在。由于bootkits具有天然...

CVE-2019-10999 是 Dlink IP 摄像头的后端服务器程序 alphapd 中的一个缓冲区溢出漏洞，漏洞允许经过身份认证的用户在请求 wireless.htm 时，传入 WEPEncryption 参数一个长字符串来执行任意代码。

根据厂商的要求，在修补后的固件未发布前，我对该漏洞细节进行了保密。若读者将本文内容用作其他用途，由读者承担全部法律及连带责任，文章作者不承担任何法律及连带责任。此时，我们惊喜地发现xxx系列产品的xxx型号固件并没有被加密，可以成功解开。漏洞分析此部分以xxx固件为例进行分析，该固件是aarch64架构的。其他固件也许架构或部分字段的偏移不同，但均存在该漏洞。找到无鉴权的API接口显然，此类固件的cgi部分是用Lua所写的。

编译make x86_64_defconfig # 加载默认configmake menuconfig # 自定义config. 编译选项添加调试信息， 需要以下几行[*] Compile the kernel with debug info [*] Generate dwarf4 debuginfo [*] Provide GDB scripts for kernel debugging. 由于本虚拟机是只有很基本的环境，在调试漏洞之前还需要做一些操作, 创建/etc/passwd,?漏洞原理在调试之前首先根据补丁来简单了解一下漏洞造成的原因。Exp分析根据exp分析漏洞利用的细节，删除了部分检测利用条件、备份密码等漏洞利用不相关代码。const unsigned pipe_size = fcntl; static char buffer[4096];for { unsigned n = r > sizeof ?int main() { const char *const path = "/etc/passwd";const int fd = open; if { perror; return EXIT_FAILU