qemu pwn 2021 HWS FastCP

最新推荐文章于 2024-06-21 17:42:29 发布
原创 最新推荐文章于 2024-06-21 17:42:29 发布 · 804 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

启动脚本长这样。

#!/bin/sh

./qemu-system-x86_64 -initrd ./initramfs-busybox-x64.cpio.gz -nographic -kernel ./vmlinuz-5.0.5-generic -append "priority=low console=ttyS0" -monitor /dev/null --device FastCP

在这里插入图片描述
绿肯定是全绿

设备是FastCP

在这里插入图片描述
这是里面设备结构体的全貌
在这里插入图片描述里面还有一个叫CP_state的结构体
在这里插入图片描述三个参数

FastCP_realize函数中设置了一个定时器
定时器时间到了会调用fastcp_cp_timer函数
然后创建了一个mmio
在这里插入图片描述

fastcp_mmio_read
在这里插入图片描述功能0x00 返回opaque->handling
功能0x08 返回opaque->cp_state.CP_list_src
功能0x10 返回opaque->cp_state.CP_list_cnt
功能0x18 返回opaque->cp_state.cmd

fastcp_mmio_write
在这里插入图片描述功能0x08 给cp_list_src赋值
功能0x10 handing不是1的情况下给cp_list_cnt赋值
功能0x18 handing不是1的情况下给cp_list_cmd赋值然后调用timer

然后我们瞅瞅fastcp_cp_timer函数

void __fastcall fastcp_cp_timer(FastCPState *opaque)
{
   
   
  uint64_t v1; // rax
  uint64_t v2; // rdx
  __int64 v3; // rbp
  uint64_t v4; // r12
  uint64_t v5; // rax
  uint64_t v6; // rax
  bool v7; // zf
  uint64_t v8; // rbp
  __int64 v9; // rdx
  FastCP_CP_INFO cp_info; // [rsp+0h] [rbp-68h] BYREF
  char buf[8]; // [rsp+20h] [rbp-48h] BYREF
  unsigned __int64 v12; // [rsp+28h] [rbp-40h]
  unsigned __int64 v13; // [rsp+38h] [rbp-30h]

  v13 = __readfsqword(0x28u);
  v1 = opaque->cp_state.cmd;
  cp_info.CP_src = 0LL;
  cp_info.CP_cnt = 0LL;
  cp_info.CP_dst = 0LL;
  switch ( v1 )                                 // cp_state.cmd来做选择
  {
   
   
    case 2uLL:                                  // 选择2
      v7 = opaque->cp_state.CP_list_cnt == 1;   // v7是cp_list_cnt是不是1
      opaque->handling = 1;                     // handing置1
                                                // 也就是不再给计时器机会
      if ( v7 )                                 // 要求v7是1也就是cp_list_cnt不是1
      {
   
                                            // cpu_physical_memory_rw(a1, a2, a3, 1);是将a2复制到a1,而cpu_physical_memory_rw(a1, a2, a3, 0);则将a1复制到a2
                                                // 但是要注意的是,cpu_physical_memory_rw的第一个参数为硬件地址,即物理地址,所以我们需要将qemu里面的虚拟地址,转化为物理地址。
        cpu_physical_memory_rw(opaque->cp_state.CP_list_src, &cp_info, 0x18uLL, 0);// 所以就list_src里面的复制0x18个字节到cp_info结构体
        if ( cp_info.CP_cnt <= 0x1000 )         // cp_cnt必须小于0x1000
                                                // 然后就可以把cp_info.cp_src中的复制到cp_buffer
          cpu_physical_memory_rw(cp_info.CP_src, opaque->CP_buffer, cp_info.CP_cnt, 0);
        v6 = opaque->cp_state.cmd & 0xFFFFFFFFFFFFFFFCLL;
        opaque->cp_state.cmd = v6;
        goto LABEL_11;                          // 然后拜拜
      }
      break;
    case 4uLL:
      v7 = opaque->cp_state.CP_list_cnt == 1;
      opaque->handling = 1;
      if ( v7 )                                 // cp_list_cnt还得不是1
      {
   
                                            // 还是list_src写进去cp_info结构体
                                                // cp_buffer又能写cnt个到cp_dst
        cpu_physical_memory_rw(opaque->cp_state.CP_list_src, &cp_info, 0x18uLL, 0);
        cpu_physical_memory_rw(cp_info.CP_dst, opaque->CP_buffer, cp_info.CP_cnt, 1);// 这里没有对这个cnt有检查
        v6 = opaque->cp_state.cmd & 0xFFFFFFFFFFFFFFF8LL;
        opaque->cp_state.cmd = v6;              // 然后又拜拜
LABEL_11:
        if ( (v6 & 8) != 0 )                    // cmd要求是8
        {
   
   
          opaque->irq_status |= 0x100u;
          if ( msi_enabled(&opaque->pdev) )
            msi_notify(&opaque->pdev, 0);
          else
            pci_set_irq(&opaque->pdev, 1);
        }
        goto LABEL_16;                          // 但是走了这个地方之后又handing等于0了
                                                // 就又能启动timer了
      }
      break<
最低0.47元/天 解锁文章
QEMU源码全解析 —— virtio(13)
phmatthaus的专栏
12-17 869
QEMU源码全解析 —— virtio(13)
从零开始搭建Ubuntu CTF-pwn环境
热门推荐
CoLin的pwn小屋
06-12 1万+
ctf pwn环境搭建(持续更新)
qemu模拟环境的搭建 Pwn
Chuang__的博客
04-28 513
x86架构下模拟mips环境以及arm环境,并进行gdb调试
CTF-pwn-虚拟化-qemu前置知识
llovewuzhengzi的博客
06-21 849
当对设备其所在的内存访问时,会调用注册的读mmio函数d3dev_mmio_read,读的位置是基地址+0x128,是4字节。每个qemu虚拟机都是宿主机上的一个进程,在进程中用mmap分配出大小为0x40000000字节的宿主机的虚拟内存来作为虚拟机的物理内存。设备会注册自己的MMIO和PMIO读写函数,当检测到访问其所在的内存或端口时调用注册的读写函数,实现对设备内存的读写功能。其中对于形如0000:00:03.0的数据,0000是域,00是总线号,03是设备号,0是功能号。
HITB GSEC2017 pwn BABYQEMU
yongbaoii的博客
01-22 585
#! /bin/sh ./qemu-system-x86_64 \ -initrd ./rootfs.cpio \ -kernel ./vmlinuz-4.8.0-52-generic \ -append 'console=ttyS0 root=/dev/ram oops=panic panic=1' \ -enable-kvm \ -monitor /dev/null \ -m 64M --nographic -L ./dependency/usr/local/share/qemu \ -L pc-bi
Linux开发——实战(二)Fast-cp快速拷贝项目
qq_25490573的博客
10-15 720
上截图:拷贝1个G文件 用时4秒 Fast-cp项目设计 1,记录当前系统时间 2,发起AIO读 3,等待AIO读结束后调用回调函数,发起AIO写 4,等待AIO写结束后调用回调函数,计算拷贝时间 5,拷贝完成,显示拷贝时间 文件操作 1文件的状态 2.文件属性 3.文件类型 4.文件权限 核心IO模块 辅助模块 <sys/types.h> &...
转载:virtIO前后端notify机制详解
wujianyongw4的博客
02-17 803
本来这是在前端驱动后期分析的,但是这部分内容比较多,且分析了后端notify前端的机制,所以还是单独拿出一节分析比较好! 还是拿网络驱动部分做案例,网络驱动部分有两个队列,(忽略控制队列):接收队列和发送队列;每个队列都对应一个virtqueue,两个队列之间是互不影响的。 前后端利用virtqueue的方式如下图所示: 这里再详细的描述下,当两个queue都需要客户机填充buffer,...
HWS计划2021硬件安全冬令营线上选拔赛
weixin_43868725的博客
02-03 2915
REVERSE decryption 直接按照算法爆破(都是可见字符) exp buf=[0x12,0x45,0x10,0x47,0x19,0x49,0x49,0x49,0x1a,0x4f,0x1c,0x1e,0x52,0x66,0x1d,0x52,0x66,0x67,0x68,0x67,0x65,0x6f,0x5f,0x59,0x58,0x5e,0x6d,0x70,0xa1,0x6e,0x70,0xa3] temp=[0x2d,0x30,0x31,0x32,0x33,0x34,0x35,0x36,0x3
qemu开源模拟器环境
最新发布
09-30
从给定的文件信息中,我们可以知道这个压缩包文件包含了多个不同版本的QEMU源代码包,分别是qemu-7.2.14.tar.xz、qemu-8.0.5.tar.xz、qemu-8.1.5.tar.xz、qemu-8.2.7.tar.xz、qemu-9.0.3.tar.xz以及qemu-9.1.0.tar....
petalinux2021.1安装-zcu102-2021编译-qemu启动及简单使用
jack8126的博客
08-14 5599
petalinux2021.1安装-zcu102-2021编译-qemu启动及简单使用 1、安装petalinux2021.1 xilinx官网下载petalinux-v2021.1-final-installer.run和xilinx-zcu102-v2021.1-final.bsp两个文件,将两个文件放到ubuntu虚拟机中。 切换到petalinux-v2021.1-final-installer.run文件所在目录下,执行如下命令进行安装petalinux环境。 ./petalinux-v2021.
Qemu-windows.rar_qemu_qemu arm windows_qemu arm 仿真_qemu windows
09-14
"Qemu-windows.rar_qemu_qemu arm windows_qemu arm 仿真_qemu windows"这个标题表明我们讨论的是如何在Windows系统上安装和使用Qemu来模拟ARM架构和Windows系统。Qemu的跨平台特性使得它能在Windows这样的非Linux...
5.3Pci虚拟化
wanthelping的博客
07-26 3063
本节分析pci总线的虚拟化和qemu设备模型
Qemu 逃逸基础知识
sky123博客
06-12 2517
QEMU 与 KVM 的完整架构如下图所示。其中 VMX root 和 VMX non-root 都是 CPU 引入了支持硬件虚拟化的指令集 VT-x 之后出现的概念。虚拟机在 VMX root 模式和 VMX non-root 模式下都有 ring 0 到 ring 3 四个特权级别。
qemu设备仿真---edu
qq_42138566的博客
05-30 969
qemu源码中自带edu仿真设备,用于教学。
qemu中得到guest前端的通知处理后再发中断给前端
jason的笔记
04-21 1198
qemu/hw/virtio/virtio-pci.c 中定义定义了对配置空间的操作 static const MemoryRegionOps virtio_pci_config_ops = {     .read = virtio_pci_config_read,     .write = virtio_pci_config_write,     .impl = {        
qemu/kvm 桥接_QEMU / KVM网络机制
cuma2369的博客
07-28 699
qemu/kvm 桥接Introduction 介绍 As we know, network subsystems are important in computer systems since they are I/O systems and need to be optimized with many algorithms and skills. This article will intr...
XCTF 华为云专场 qemuzzz
yongbaoii的博客
01-27 684
绿 #! /bin/sh #gdb --args \ ./qemu-system-x86_64 \ -initrd ./rootfs.cpio \ -kernel ./bzImage \ -append 'console=ttyS0 root=/dev/ram oops=panic panic=1 quiet kalsr' \ -monitor /dev/null \ -m 64M --nographic \ -device zzz \ -L pc-bios 启动脚本 看起来设备叫zzz 去ida分析分.
【airbus-seclab/qemu_blog加工翻译 03】深入探讨 QEMU:内存区域
m0_51246873的博客
02-04 1057
在这篇文章中,我们将了解 QEMU 中的高级内存组织:内存区域 (MR)。我们不会讨论地址空间,因为我们通常直接管理内存区域。但是,请查看和代码()以获取更多详细信息。提供了内存组织的高级外部演示。您还可以在找到非常有趣的内部文档。这是用于访问内存的可用 QEMU API 的枚举。在专门讨论 TCG 的博客文章中,我们将准确了解翻译后的指令如何访问 VM 内存以及我们如何在此级别进行拦截。
memory_region_init_io注册回调函数的调用顺序
siying666的博客
10-20 239
aio_pollio_readio_writepc_init1.impl = {},
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值