VMware漏洞实例分析之一.docVIP

VMware漏洞实例分析之一 – 共享文件夹目录遍历漏洞 创建时间：2008-10-31文章属性：原创文章提交： HYPERLINK /bbs/index.php?lang=cnact=Profiledo=03MID=144041 vxasm (xasm2008_at_)VMware漏洞实例分析之一 – 共享文件夹目录遍历漏洞标题：VMware漏洞实例分析之一 – 共享文件夹目录遍历漏洞作者：vxasm (mail: xasm2008@)时间：2008-10-5一 名词定义Host机：运行VMware软件的真实主机；Guest机：装在VMware软件中的虚拟系统；后门：VMware有一套自己专有的“Backdoor I/O Port”指令，Host和Guest之间的所有数据都是通过一个固定的IO端口，使用in和out指令来进行传递，Guest就是通过这个端口发命令让Host帮助它完成某些自身不能完成的工作。二 漏洞背景理论上来说，可以认为Host机和Guest机是两台不同的电脑，只不过它们是共享同一套真实的物理硬件，这样就带来一个问题，即如何在Host和Guest之间传输数据， VMware的共享文件夹就是解决该问题的一个很实用功能，不需要设置任何网络，就可以在Host和Guest机器间互相传输文件。至于怎么设置共享文件夹，不是本文的重点，就不多说了，不熟悉的建议Google一下先。在安装完VMware Tools后，会在Guest机上看到一个名为Hgfs.sys的文件，这个驱动文件实现了一个虚拟的文件系统，这个虚拟文件系统的根目录就是\\.host，当你在Guest机上进入任何共享文件夹的目录时，可以看到路径都是以\\.host开始的，在这个目录下的所有操作都将通过后门传递给运行在Host上的VMware主程序。举例来说：在Host机上有个目录是：E:\Debug\Share，把这个目录设置为Guest系统的共享目录后，VMware会记录下这个目录所对应的Host路径是E:\Debug\Share，当在Guest机的“运行”对话框中输入：\\.host\Shared Folders\Share，就会在Guest上打开E:\Debug\Share这个目录。这个过程是通过后门完成的，Guest把“遍历目录“命令传递给Host，Host上的VMware主程序找到该目录对应关系，通过API函数遍历E:\Debug\Share目录，把得到的数据通过后门返回给Guest，最后Guest上就列出了Share目录下的所有文件。三 漏洞描述现在就到了本???所要说的重点了。我们知道，当Guest位于\\.host\Shared Folders\Share目录下时，Guest执行命令“dir”，就相当于要求Host机执行“dir E:\Debug\Share”，没有问题。那再让Guest执行命令“dir ..”，会发生什么情况呢？如果是Host本身在执行这条命令，没有问题，自然会列出E:\Debug下的所有文件；但现在要求执行命令的是Guest，Host只设置了E:\Debug\Share这个目录给Guest，自然是希望Guest只能看到这个目录，而没有权限看到它的父目录，因此VMware会对含有“..”的路径名作特别处理，处理的结果就是Guest上执行这条命令无效。那么它的处理方法是什么呢？简单说来是这样的，VMware会对共享文件夹的路径名进行验证，确认它不含有0x2e0x2e（翻译为ASCII子字符就是“..”）字符串后，就会将其从多字节字符串转换为宽字符字符串，然后将所生成的宽字符字符串传送给Host上的系统文件API。这个转换使用Windows API中的MultiByteToWideChar函数完成。该函数的原型如下：int MultiByteToWideChar (UINT CodePage,DWORD dwFlags,LPCSTR lpMultiByteStr,int cbMultiByte,LPWSTR lpWideCharStr,int cchWideChar);这里只对dwFlags做简单解释。dwFlags：指定是否转换成预制字符或合成的宽字符，对控制字符是否使用像形文字，以及怎样处理无效字符。其中：MB_ERR_INVALID_CHARS：设置此选项，则函数遇到非法字符就失败并返回错误码ERROR_NO_UNICODE_TRANSLATION，否则丢弃非法字符。正是由于对MultiByteToWideChar函数中dwFlags参数的错误使用，导致VMware共享文件夹先后出现了两个漏洞，按时间顺序是CVE-2007-1744和CVE-200