[bglug] VM escaping - XEN

[Michele Mazzotta]

> On 23/gen/2015, at 22:31, Alessandro Tanasi <alessandro@lonerunners.net> wrote:
> 
>> On 23 Jan 2015, at 21:54, Michele Mazzotta <michele@reveng.it> wrote:
>> 
>> Ciao Alessandro,
>> 
>> grazie per aver risposto. Mi interessa da un punto di vista di pentest anche se non sono un pentester e la struttura l’ho messa appositamente in piedi per questo test. Sono riuscito a fare privilege escalation usando la vulnerabilità di SYSRET (CVE-2012-0217) su FreeBSD 9.0 in HVM ma essendo l’obiettivo “escaping” e non avendo trovato ancora il modo (ammesso esista) di avere FreeBSD PV, sto cercando di replicare con Linux come domU di Xenserver. Inutile dire che non ci sono ancora riuscito, ho ottenuto soltanto un DoS dell’hypervisor, che comunque non rientra nel target.
>> 
>> So che ci sono stati numerosi aggiornamenti, ci sarebbe da preoccuparsi del contrario ;) ma ho installato diverse versioni di XENserver e altre Linux con XEN, all’uopo. Se hai esperienza in merito sarei felicissimo di offrirti una birra e parlarne a quattrocchi, onde evitare di finire [OT] su questa lista.
>> 
>> Grazie e buona serata,
> 
> Uhm non capisco, quindi non ti serve per “lavoro” ma per, diciamo, didattica? Il che vuol dire che hai libera scelta sul target da usare.
> 
> Usare la vulnerabilia` di sysret e` corretto, visto che e` il buco più grosso che e` stato documentato insieme al problema DMA, che pero` e` più` vecchio, mi sembra del 2008/2009. Tieni conto che eventuali comportamenti anomali, come il dos, possono esser dovuti a circostanze a contorno (configurazioni, misure di hardening implicite nell’os, etc) che ti rendono le cose più difficoltose.
> 
> Ti lascio un link interessante, anche se immagino tu lo abbia gia` usato come riferimento: http://www.vupen.com/blog/20120904.Advanced_Exploitation_of_Xen_Sysret_VM_Escape_CVE-2012-0217.php
> 
> Tieni conto che di solito, il breakout avviene per mis-configurazioni di servizi dell'host, virtual networking ecc, invece che per pura vulnerabilità dell’hypervisor. Di solito chi richiede un breakout test del genere e` abbastanza “sensibile” per cui non troverai un hypervisor vecchio di anni ;)
> 
> Ciao,
> Alessandro Tanasi (@jekil)

Ci sei andato vicino, è per un progetto di tesi, o meglio per una parte del progetto. Ho una libertà parziale di scelta, in quanto l’hypervisor “consigliato” (ehm, è un eufemismo naturalmente) dal relatore è XEN. L’articolo che hai consigliato è uno dei migliori che abbia letto (e riletto non poche volte) a riguardo, insieme a quello del bollettino ufficiale della vulnerabilità di XEN. Tu sei riuscito in passato a sfruttare questa vulnerabilità? Con quale combinazione di software? Per caso avresti da qualche parte anche i sorgenti degli exploit utilizzati, così che possa confrontarli con i miei?

Grazie.
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        smime.p7s
Tipo:        application/pkcs7-signature
Dimensione:  4816 bytes
Descrizione: non disponibile
URL:         <http://lists.linux.it/pipermail/bglug/attachments/20150123/9699f768/attachment.bin>