虚拟化逃逸与 Windows 内核提权深度教学文档<\/h1>

1. 引言与背景<\/h2>

虚拟化平台尤其是 VMware Workstation\/Fusion 长期以来被广泛使用，其安全性备受关注。客机(Guest)到宿主(Host)攻击一旦成功，攻击者就可突破 VM 沙箱，直接影响宿主机甚至整个物理环境。<\/p>

2024年，多位研究者在 Pwn2Own 等竞赛中演示了 VMware Workstation\/Fusion 中的多重漏洞链，其中包含客机获取宿主执行权限的关键缺陷：<\/p>

CVE-2024-22267：VMware 的 vBluetooth 设备中的 Use-After-Free 漏洞<\/li>
CVE-2024-22270：Host-Guest 文件共享(HGFS)功能中的信息泄露漏洞<\/li>

CVE-2024-30085：Windows Cloud Files Mini Filter 驱动堆缓冲区溢出漏洞<\/li> <\/ul>

这些漏洞需要客机内具有管理员权限才能利用，一旦成功链式利用，攻击者可在宿主系统上获得任意代码执行和提权能力。<\/p>

2. 攻击链总体概述<\/h2>

完整攻击链利用了三大漏洞：<\/p>

信息泄露 (CVE-2024-22270)<\/strong> - 泄露宿主机堆中未初始化数据<\/li>
VM Escape (CVE-2024-22267)<\/strong> - 利用虚拟蓝牙 UAF 在 vmware-vmx 进程中执行 ROP<\/li>

内核提权 (CVE-2024-30085)<\/strong> - Cloud Files 驱动堆溢出取得任意写，劫持 Token<\/li> <\/ol>
攻击链逻辑顺序：<\/p>

利用 HGFS 泄漏漏洞获取宿主内存信息<\/li>
借助 VBluetooth UAF 漏洞在宿主上执行代码<\/li>
触发 CLDFLT 堆溢出进行提权，完全控制宿主系统<\/li> <\/ol>
3. 漏洞一：CVE-2024-22270 - HGFS 未初始化堆数据泄露<\/h2>
3.1 漏洞成因<\/h3>

malloc 未清零，新分配堆空间包含旧数据残留<\/li>
HGFS v1 响应只写入有效数据，未初始化部分返回给 Guest<\/li> <\/ul>
3.2 利用前准备<\/h3>
在 Guest 安装 open-vm-tools，启用 HGFS 和 VMCI：<\/p>
虚拟机 .vmx 配置：<\/p>
sharedFolder0.present = "TRUE" guestOS = "windows9-64" <\/code><\/pre> 3.3 泄露数据分析<\/h3> 搜索 0xfffff8... 等指针模式<\/li> 识别 PE header(MZ)或 ASCII 文件路径<\/li> 利用泄露地址计算 vmware-vmx 基址<\/li> <\/ul> 4. 漏洞二：CVE-2024-22267 - VBluetooth URB Use-After-Free<\/h2> 4.1 漏洞原理<\/h3> SubmitURB 中复制 URB 指针未增引用计数<\/li> HandleURBs 释放节点后异步回调，使用已释放的 URB<\/li> <\/ul> 4.2 利用步骤<\/h3> Guest 发送 URB(data) - 入队并注册回调<\/li> 发送 URB(reset) - 调用 PutURB 释放所有 URB<\/li> Poll 回调触发 UAF<\/li> 通过控制 URB 结构中的虚表指针实现间接调用<\/li> <\/ol> 4.3 绕过 CFG 技巧<\/h3> 寻找符合 CFG 要求的 ROP gadget<\/li> 将客机物理内存页映射到 VMX 数据段中，控制回调地址<\/li> <\/ul> 5. 漏洞三：CVE-2024-30085 - CLDFLT 堆缓冲区溢出<\/h2> 5.1 驱动源码与漏洞定位<\/h3> 当 elem4_length == 0x1001，分配 0x1000，复制 0x1001 → 堆溢出<\/p> 5.2 构造 ReparsePoint 数据<\/h3> 通过 FSCTL_GET_REPARSE_POINT 控制码发送大 buffer<\/p> 伪造两次溢出：<\/p> 第一次破坏 _WNF_STATE_DATA 泄露地址<\/li> 第二次控制管道对象实现任意写<\/li> <\/ol> 5.3 任意写原语<\/h3> 修改 _WNF_STATE_DATA::Data 和 Length 字段<\/li> 得到读写原语<\/li> <\/ul> 5.4 Token 劫持与 SYSTEM 权限<\/h3> 将 winlogon 的 Token 覆盖当前进程，获取 SYSTEM<\/p> 6. 核心技术点与提权机制详解<\/h2> 6.1 EPROCESS 结构<\/h3> EPROCESS.Token 偏移<\/li> KTHREAD 与 ETHREAD 权限检查<\/li> <\/ul> 6.2 PagedPool 分配<\/h3> 大小为 0x1000 的分页池块<\/li> Free List 与 PoolSpray<\/li> <\/ul> 6.3 WNF & Mailslot 对象<\/h3> WNF subscription table 布局<\/li> Mailslot 用于喷洒稳定对象<\/li> <\/ul> 7. 串联利用与逃逸示例<\/h2> HGFS 泄漏阶段：获取宿主内核地址布局<\/li> VB 漏洞阶段：在宿主 VMX 进程中执行 ROP<\/li> 内核提权阶段：触发 CLDFLT 溢出，劫持 EPROCESS->Token 提权<\/li> <\/ol> 8. 环境搭建与复现指南<\/h2> 8.1 虚拟机配置 (.vmx)<\/h3> sharedFolder0.present = "TRUE" guestOS = "windows9-64" <\/code><\/pre> 8.2 PoC 编译命令<\/h3> HGFS 漏洞利用：<\/p> cl hgfs_leak_poc.cpp \/O2 \/EHsc <\/span><\/span><\/code><\/pre>VB 漏洞利用：<\/p> cl vbluetooth_exploit.cpp \/O2 \/EHsc <\/span><\/span><\/code><\/pre>CLDFLT 漏洞利用：<\/p> cl cldflt_exploit.cpp \/O2 \/EHsc \/link advapi32.lib <\/span><\/span><\/code><\/pre>8.3 调试与检测<\/h3> WinDbg 命令：<\/p> !process 0 0 !process <地址> 1f !uniqstack !pool !object !token <\/code><\/pre> 9. 防护与检测策略<\/h2> 9.1 禁用或更新<\/h3> 禁用 HGFS 共享文件夹<\/li> 关闭虚拟蓝牙设备<\/li> 更新到 VMware Workstation 17.5.2+\/Fusion 13.5.2+<\/li> <\/ul> 9.2 启用安全特性<\/h3> 启用内核 CFG\/HVCI<\/li> 启用 Hypervisor 强制代码完整性<\/li> <\/ul> 9.3 监控检测<\/h3> 监控 Vsock\/HGFS 的非标准读写<\/li> 监测 vmware-hostd 服务的异常活动<\/li> 监控 cldflt.sys 相关的可疑操作<\/li> <\/ul> 10. 附录：PoC 代码与脚本<\/h2> 10.1 HGFS 泄漏 PoC (客机)<\/h3> \/\/ 使用 VMware Host-Guest API 读取共享文件 <\/span><\/span><\/span><\/span>VMHGFS_OpenHandle(...); <\/span><\/span>VMHGFS_Read(...); <\/span><\/span>\/\/ 打印返回的未初始化数据 <\/span><\/span><\/span><\/code><\/pre>10.2 VB 漏洞 PoC (客机)<\/h3> \/\/ 模拟 USB\/蓝牙设备发送特制 URB <\/span><\/span><\/span>\/\/ 使用 WinUSB 或原始 IOCTL 接口 <\/span><\/span><\/span><\/code><\/pre>10.3 CLDFLT 漏洞 PoC (宿主)<\/h3> \/\/ 创建文件并 DeviceIoControl 调用 FSCTL_SET_REPARSE_POINT <\/span><\/span><\/span><\/span>CreateFile(...); <\/span><\/span>DeviceIoControl(..., FSCTL_SET_REPARSE_POINT, ...); <\/span><\/span>\/\/ 使用大量 NtCreateWnfStateName\/Update 进行 WNF 喷射 <\/span><\/span><\/span><\/code><\/pre>10.4 检测脚本<\/h3> PowerShell 脚本监测内核对象异常：<\/p> ZwOpenKey + ZwQueryKey 访问<\/span> WNF 状态名称注册表项<\/span> <\/span><\/span>NtQuerySystemInformation 检测分页池异常分配<\/span> <\/span><\/span><\/code><\/pre>