最近長亭把Pwn2Own中遺憾的在比賽前一天被補(bǔ)上的漏洞利用發(fā)了出來，Amat大佬的博客有這篇文章，同時在長亭知乎專欄有楊博士發(fā)的中文版。 但是并沒有公開的exp，如何真正實現(xiàn)呢？自己花了十幾天才寫出exp，其中踩坑無數(shù)，本著分享精神，于是就有了本文。
0x01 Backdoor
backdoor是vmware實現(xiàn)的一套Guest和Host通信的機(jī)制，我們不需要去深入研究這種機(jī)制如何實現(xiàn)的，只需要大概了解一下這個機(jī)制的實現(xiàn)。 先看通信的代碼，這部分代碼在open-vm-tools的github上也有，鏈接在此。由于需要在VS中編譯，所以需要先轉(zhuǎn)換成為intel的asm格式。

在正常操作系統(tǒng)中直接執(zhí)行in指令會導(dǎo)致出錯，因為這是特權(quán)指令。但是在Guest中這個錯誤會被vmware捕獲，然后傳給vmware-vmx.exe進(jìn)程內(nèi)部進(jìn)行通信。 
而后面我們需要操作的message，全部通過backdoor通信方式來通信。 關(guān)于message的操作，open-vm-tools里面也有相關(guān)實現(xiàn)，鏈接在此。直接拿過來用就行了。 有了Message_Send和Message_Recv這些函數(shù)，我們就可以直接在Guest里面與Host進(jìn)程進(jìn)行通信。 需要注意的是Backdoor通信在Guest內(nèi)部不需要管理員權(quán)限，所以此bug可在普通用戶觸發(fā)。
0x02 Drag and Drop RPCI
RPCI是基于backdoor實現(xiàn)的通信方式。open-vm-tools相關(guān)實現(xiàn)在此。可以直接使用這個發(fā)送RPC的函數(shù)。 這個漏洞存在在DnD操作的v3版本代碼中，對應(yīng)bug代碼在此。
ida中更加明顯： 

由于沒有realloc或者totalsize的判斷，導(dǎo)致第二個包的totalsize可以改成一個大值，payloadsize因此也可以變大導(dǎo)致一個堆溢出。
 順帶一提，發(fā)送DnD操作的命令在dndCPTransportGuestRpc.hpp中。 通過閱讀open-vm-tools的代碼，可以得出RPC的發(fā)送對應(yīng)路徑： 
rpcv3util::SendMsg->DnDCPTransportGuestRpc::SendPacket->RpcChannel_Send->Message_Send->backdoor
0x03逆向分析
看完相關(guān)的open-vm-tools的代碼之后，開始逆向vmware-vmx.exe，我的版本是12.5.2.13578，workstation是12.5.2-build4638234版本。 
首先很容易通過字符串“tools.capability.dnd_version”的xref找到對應(yīng)的處理函數(shù)。 

bindfun只是把對應(yīng)的參數(shù)值寫入了全局變量，其實是一個表。bindfun參數(shù)4就是對應(yīng)rpc命令的處理函數(shù)，而rpc命令函數(shù)的參數(shù)3和參數(shù)4分別是我們發(fā)送的RPC原始request和RPCrequest的長度。參數(shù)5和參數(shù)6是我們得到的 reply的地址和reply的長度。 

可以看出這個命令有一個參數(shù)，也就是版本號。
其他的RPC命令類似，在發(fā)送“vmx.capability.dnd_version”命令的時候，對應(yīng)的處理函數(shù)中如果發(fā)現(xiàn)當(dāng)前版本和設(shè)置的版本不一致，就會調(diào)用函數(shù)創(chuàng)建新的 object，把原來的版本的object銷毀。
 

 

DnD和CP的Object的size都是一樣的，都是0xa8大小。
 

0x04 漏洞利用
Amat大佬的文章中推薦用info-set和info-get來操作堆，其中info-set對應(yīng)的handle函數(shù)內(nèi)部很復(fù)雜，通過windbg動態(tài)調(diào)試，可以發(fā)現(xiàn)我們發(fā)送“info-set guestinfo.test1 “+’a'*0xa7可以創(chuàng)建一個0xa8大小的buffer。實際測試我在malloc和free下斷點，整個info-set過程大概有10-13次malloc（size=0xa8），也有 接近10次的free操作，最終剩下一個buffer。也就是說整個info-set過程干擾很大。
 info-get可以讀取剛剛set的值，這就沒什么好說。 關(guān)于windows的LFH的風(fēng)水，由于info-set中有多次malloc 0xa8操作，所以比較困難。我沒有什么好的辦法，目前我exp成功率還是比較低。 
思路大概就是把內(nèi)存變成這個樣子：

如果一旦沒有布局成功。。vmware-vmx就會崩潰。。。 
如果你正好掛了windbg調(diào)試器。。那么整個host就會其卡無比。。未知bug。只能緩慢的對windbg調(diào)試器按q退出調(diào)試。 
推薦安裝windbg的pykd插件，大愛python。 我寫了個小腳本用來輔助調(diào)試：（其實就是打印rax）
from pykd import *
import sys
s=''
if len(sys.argv)>1:
s=sys.argv[1]+' '
print s+'Object at '+hex(reg('rax'))
所以就可以在attach上vmx進(jìn)程的時候這么輸入：bp 7FF7E394C4D8 "!py dumprax DnD;gc;";bp 7FF7E394BF68 "!py dumprax 
CP;gc;";bp 7FF7E3DA05AB "!py dumprax vuln;gc;";bp 7FF7E3DA05DB;bp 
7ff7e38c1b2d;bp 7ff7`e38f1dc2;g
第一個地址是DnD Object malloc完畢后的下一條指令，第二個地址是CP Object的，第三個是vuln的，第四個地址是memcpy觸發(fā)的地方，后面兩個是gadget地址。
因為windows中進(jìn)程重啟后基地址還是不會變，所以只要你不重啟電腦，可以一直用。
通過一些布局（運(yùn)氣）變成了如上的內(nèi)存之后，就可以開始leak了。
主要是通過覆蓋info-set的value buffer，修改value buffer內(nèi)部的值，如果此時info-get讀取的valuebuffer值不同，那就說明被覆蓋了。
而如果溢出到了Object頭部，從info-get讀取的信息就會包含vtable的地址，從而泄露出程序基地址。
當(dāng)然這個過程中有可能觸發(fā)RtlHeapFree等堆函數(shù)然。。因為堆chunk頭被覆蓋，理所當(dāng)然崩潰。。。
0x05 DnD Object 覆蓋
如果覆蓋的是DnD Object，那么在DnD_TransportBufAppendPacket函數(shù)結(jié)束之后的上層函數(shù)會立刻發(fā)生調(diào)用。

所以在這之前，需要先在一塊內(nèi)存布局好vtable，原文推薦使用“unity.window.contents.chunk” 命令，這個RPC命令會把我們的參數(shù)復(fù)制進(jìn)去data段上一個堆指針內(nèi)部。
這個全局變量指針由命令“unity.window.contents.start” 創(chuàng)建。
這兩個unity的命令。。有反序列化操作而且沒有官方文檔可以看，只能自己慢慢debug，摸索出對應(yīng)的結(jié)構(gòu)。。具體的結(jié)構(gòu)請看文章末尾的Github代碼。
call之后，首先需要一個stack pivot到堆上，然后就是愉快的ROP。
需要說明的是，vmware中的data段居然是rwx的。。直接復(fù)制shellcode上去就能執(zhí)行了。 

具體的ROP見文章末尾的Github代碼。
0x06 CopyPaste Object 覆蓋
如果覆蓋的是CP Object，那么覆蓋掉vtable之后，vmx進(jìn)程不會崩潰，原文推薦使用cp命令觸發(fā)vtable調(diào)用，而我用了這個Object的destructor。也就是再把版本設(shè) 置回4的話，程序會調(diào)用vtable中對應(yīng)的destructor. 
通過上面提到的”unity.window.contents.start“命令可以設(shè)置一個qword大小的gadget在程序的數(shù)據(jù)段上，而之前已經(jīng)通過leak得到了程序的基地址，所 以可以得到這個gadget的指針的地址。
這個點不是特別好用，寄存器的值不是很方便，但最終依然找到了合適的gadget來利用。詳細(xì)ROP見文章末尾Github 代碼。
0x07 最后說兩句
這個漏洞能不能穩(wěn)定利用，關(guān)鍵在于堆布局做的怎么樣，這個方面我研究不多。。以后還得繼續(xù)看。長亭在這種情況能達(dá)到60-80%的成功率，太厲害了。 
該漏洞在VMware Workstation 12.5.5之后被修補(bǔ)。
如果文章中有任何錯誤請在評論指出，謝謝各位表哥。