口述/唐青昊 應(yīng)鑫磊 肖偉 

文/史中 雷鋒網(wǎng)

沒有人喜歡孤獨(dú)，黑客也一樣。

我毫不諱言，曾經(jīng)懷疑自己選擇“虛擬化漏洞挖掘”這個(gè)方向究竟是不是正確。因?yàn)檫@幾個(gè)字，如你所見，乍一看上去似乎不知所云。而直到今天，精專這個(gè)方向的安全團(tuán)隊(duì)，在全世界都不超過五個(gè)。

在2015年我組建 Marvel Team，也就是漫威團(tuán)隊(duì)的時(shí)候，安全世界的江湖似乎還被瀏覽器漏洞和系統(tǒng)漏洞統(tǒng)治。但我學(xué)到的知識總是提醒我：隨著云計(jì)算的爆炸，這些坐落在云上的虛擬主機(jī)中，隱藏著巨大的風(fēng)險(xiǎn)。

而2016年，我們在全世界面前， 揭開了這些風(fēng)險(xiǎn)的面孔。

一

Pwn2Own，是世界上頂尖的黑客破解大賽。

之所以說頂尖，是因?yàn)槿澜缒苡匈Y格報(bào)名參賽的黑客寥寥無幾。比賽的規(guī)則很簡單，你需要用一條鏈接，從網(wǎng)絡(luò)的另一端“百步穿楊”擊潰目標(biāo)系統(tǒng)，拿下控制權(quán)。這些目標(biāo)是：Edge+Win10、Safari+MacOS、Chrome+Android、Adobe Flash  等等。

這些瀏覽器或者系統(tǒng)，幾乎每一個(gè)都在全球擁有數(shù)十億用戶。任何一個(gè)可以拿下他們的致命漏洞，都價(jià)值十幾萬美元（黑市上的價(jià)格更高），這個(gè)數(shù)字，也恰好是 Pwn2Own 對于漏洞的獎(jiǎng)金數(shù)。沒有十足的把握，不會有黑客報(bào)名 Pwn2Own。因?yàn)樵诒荣惖默F(xiàn)場，每人只有三次攻擊嘗試機(jī)會。從臺上走下來的時(shí)候，你要么帶著無上的榮耀，要么帶著無比的屈辱。

有點(diǎn)遺憾，這么多年來 Pwn2Own 和我都沒什么關(guān)系。直到今年的 Pwn2Own，主辦方做出了一些有趣的改動(dòng)，悄悄增加了一個(gè)目標(biāo)：VMware Workstation 虛擬機(jī)軟件。

我在電腦屏幕前看到這個(gè)消息的時(shí)候，正是春節(jié)前兩天。那時(shí)距離比賽還有三周，而報(bào)名截止是比賽前兩周。雖然只有一周時(shí)間，但機(jī)會從天而降，我們沒有任何理由不去試試。

之前，我們把主要的精力放在了對開源虛擬化軟件（QEMU、Docker 等等）的安全研究上。而對于封閉的商業(yè)虛擬化軟件，包括我們在內(nèi)的國際所有安全團(tuán)隊(duì)經(jīng)驗(yàn)都不多。

漫威團(tuán)隊(duì)的十多個(gè)小伙伴，瞬間把研究方向都轉(zhuǎn)向了 Workstation。在我的逼迫下，新年假期都抱著電腦工作，連放炮的動(dòng)作都像是敲鍵盤打代碼。

二

雖然之前對 VMware 有所涉獵，但是那些零星的研究根本不足以挖掘出漏洞。我們試圖用其他虛擬化軟件的脆弱點(diǎn)來套用到 VMware 上，但是都沒有成功。

一周的時(shí)間，要想從零開始攻破如此復(fù)雜的系統(tǒng)，確實(shí)不太公平。安全研究這件事，屬于科學(xué)研究的范疇。如果沒有過硬的代碼，即使你的意志再堅(jiān)決，也無論如何都無法發(fā)起攻擊。這是簡單而殘酷的道理。

直到報(bào)名截止，我們的研究進(jìn)度還可以用慘烈來形容。團(tuán)隊(duì)小伙伴們獨(dú)立找到三四個(gè) Bug，但是一個(gè) Bug 需要有成熟的利用方法，才能成為漏洞。顯然，我們距離目標(biāo)還十分遙遠(yuǎn)。無奈，我和我的兄弟們說，這次不打了。

事實(shí)上，在三月份的比賽上，全世界范圍內(nèi)，甚至沒有一個(gè)團(tuán)隊(duì)報(bào)名攻擊 Workstations。

據(jù)此，也驗(yàn)證了我的想法：攻擊 Workstation 難度不小，全球黑客的進(jìn)度都不是太快。但從另一個(gè)方面來看，我隱約覺得，世界第一的位置仍然在等著我們。

【VMware Workstation】

三

和 VMware 的“梁子”就是這么結(jié)下的。

從四月到七月，團(tuán)隊(duì)的主要任務(wù)就是，全面摸清 VMware Workstation 的代碼結(jié)構(gòu)。我們用了四個(gè)月的時(shí)間，證明了之前“一周拿下 VMware”的想法有多么天真。

商業(yè)軟件的代碼質(zhì)量之高，深深震撼了我。雖然虛擬化軟件的代碼邏輯是相似的。但是對比開源軟件的“粗制濫造”，VMware的代碼簡直就是藝術(shù)品。

有多變態(tài)呢？讓我來告訴你。我們之前在社區(qū)虛擬化軟件中找到的漏洞模式，在 VMware 中統(tǒng)統(tǒng)不存在。

面對一個(gè)封閉軟件，就像走進(jìn)一幢漆黑的房子。我們必須一點(diǎn)點(diǎn)摸清結(jié)構(gòu)，并且試圖分析出哪些是承重墻，哪個(gè)墻上有可能存在裂縫。由于代碼封閉，我們必須用逆向的方式來進(jìn)行代碼審計(jì)。面對幾百萬行代碼，工程量可想而知。更可怕的在于，連續(xù)幾個(gè)月沒有突破，團(tuán)隊(duì)中彌漫出一些絕望的氣息。

我沒辦法責(zé)怪那些在最艱難的時(shí)候離開團(tuán)隊(duì)的人。畢竟誰都沒有辦法預(yù)測未來。

說到這，有必要介紹兩位童鞋：肖偉和應(yīng)鑫磊，他們是漫威團(tuán)隊(duì)的重要成員。實(shí)際上，他們非常年輕，去年在團(tuán)隊(duì)實(shí)習(xí)，今年才正式從學(xué)校畢業(yè)。從學(xué)校忙完畢業(yè)正式入職，已經(jīng)到了七月。

先來說說肖偉。

在今年四月，肖偉作為主力發(fā)現(xiàn)了開源架構(gòu) QEMU 中的致命漏洞：傳送門。僅僅通過這一個(gè)漏洞就可以實(shí)現(xiàn)從虛擬機(jī)到宿主機(jī)的逃逸。這個(gè)漏洞也鞏固了漫威團(tuán)隊(duì)在虛擬化漏洞挖掘領(lǐng)域的“江湖地位”。從七月開始，他加入了 VMware 研究大軍。

虛擬機(jī)逃逸，是一種“隔山打?！钡臍夤ΑＲ?yàn)槲覀兩硖幪摂M機(jī)中，卻要對宿主機(jī)的內(nèi)存數(shù)據(jù)施加影響。所以有很多參數(shù)的變化，經(jīng)常超出我們的控制范圍。為了最大程度上影響宿主機(jī)的內(nèi)存數(shù)據(jù)，最好的入手點(diǎn)就是這些被虛擬化出來的硬件。傳送門漏洞，就是坐落在虛擬顯卡上的漏洞。

肖偉挽起袖子，準(zhǔn)備大干一場。他從虛擬網(wǎng)卡下手，沒過多久就發(fā)現(xiàn)了一些漏洞。但是，這些漏洞雖然跳出了以往的思路，卻都是拒絕服務(wù)的漏洞，不能對 Workstation 施行“越界讀寫”，也就是不能造成致命的打擊。功夫不負(fù)有心人，終于，一個(gè)越界讀的漏洞被他揪出來了。但是，如何利用這個(gè)漏洞，又讓大家犯愁。就在大家冥思苦想漏洞利用的那幾天， VMware 放出了 Workstation 的最新版更新。在最新版中，他們居然喪心病狂地修復(fù)了漏洞！也就是說，遠(yuǎn)在千里之外，他們同樣發(fā)現(xiàn)了同樣的問題。

我再一次意識到：在臨近的賽道上，不僅有其他黑客團(tuán)隊(duì)，還有一支強(qiáng)大的對手——VMware 自己的工程師團(tuán)隊(duì)。

四

事情似乎回到了原點(diǎn)。

這時(shí)，輪到應(yīng)鑫磊登場了。他從哈爾濱工程大學(xué)畢業(yè)加入團(tuán)隊(duì)時(shí)，正是今年七月。他面對的，是一些同事們發(fā)現(xiàn)的零星漏洞。之前的童鞋們絞盡腦汁，都沒有找到對這些漏洞的利用方法。

不能被利用的漏洞，放在我們手中的意義不大，還不如盡早交給 VMware 官方，讓他們盡早修復(fù)。正當(dāng)我準(zhǔn)備安排報(bào)告這個(gè)漏洞的時(shí)候。事情出現(xiàn)了變化。

應(yīng)鑫磊在大學(xué)期間是一個(gè) CTF“賽棍”，而 CTF 比賽非常接近真實(shí)的攻擊流程。入職不久，他突然發(fā)現(xiàn)了這個(gè)漏洞從另一個(gè)角度的利用方法，可以用來“控制程序流程”。

在攻擊中，控制程序流程可以作為漏洞利用的第一步棋。如此說來，這個(gè)本來快被我們放棄的漏洞，居然成為了攻擊的基石。就像一個(gè)掃地僧，突然成為了大和尚。

這個(gè)成果第一次給了我們幾個(gè)月來久違的興奮感，所有的成員都被打了一針雞血，尤其是應(yīng)鑫磊本人。

轉(zhuǎn)眼到了九月，應(yīng)鑫磊正在接受每個(gè) 360 新同事都要參加的“飛揚(yáng)訓(xùn)練營”培訓(xùn)。這個(gè)培訓(xùn)接近一個(gè)月。應(yīng)鑫磊白天參加培訓(xùn)，晚上還在不斷地嘗試調(diào)優(yōu)漏洞代碼。

他說，直覺告訴他第二個(gè)漏洞就隱藏在這一段代碼中，但是無論如何總是摸不到。那段日子，他經(jīng)常調(diào)代碼到早晨七點(diǎn)，而九點(diǎn)鐘訓(xùn)練營又開始了。訓(xùn)練營最后一天結(jié)束后，他終于頂不住了，向我申請休息一下。

而就在休假回來的第一天，一扇華麗的大門被應(yīng)鑫磊“重炮轟開”！

利用這個(gè)漏洞，我們可以做到“越界讀”宿主機(jī)的內(nèi)存片段。這樣，VMware Workstation 這個(gè)黑屋子的“墻縫”第一次清晰地展示在我們面前。

我們需要做的全部，就是構(gòu)建一個(gè)足夠特殊的內(nèi)存布局，讓核心的信息泄露出來。然后利用這些核心信息，完成致命一擊。

這個(gè)時(shí)候，我們得知，在十一月初舉辦的 PwnFest 破解大賽上，Workstation 同樣是目標(biāo)項(xiàng)目之一。我似乎已經(jīng)可以看到 VMware Workstation 被全球首次攻破的場景。站在機(jī)器后面的人，是我們。

這場比賽，我們決不能再次錯(cuò)過。

【唐青昊（左）和肖偉（右）】

五

一直到十月底，應(yīng)鑫磊的全部任務(wù)都集中在攻擊方法的嘗試上。

正如我之前所說，虛擬機(jī)攻擊是“氣功”，需要隔著虛擬機(jī)軟件精準(zhǔn)地打擊到背后的 Windows。由于我們的攻擊方法和內(nèi)存堆利用相關(guān)，而 Windows 的堆算法非常復(fù)雜，往往環(huán)境發(fā)生了微小的變化，結(jié)果就完全不同。這種情況下，泄露出來的信息就不是我們需要的核心信息。這就像面對一列快速駛過的列車，要在最精準(zhǔn)的時(shí)間窗口跳上車門，哪怕差一點(diǎn)都會粉身碎骨。

十一假期剛過，應(yīng)鑫磊一邊開著調(diào)試器，一邊調(diào)試代碼。他突然發(fā)出驚呼，成了！

沒錯(cuò)，我們擊穿了 VMware 的所有防護(hù)，拿到了宿主機(jī)的權(quán)限。這是我們第一次攻擊成功。這意味著，黑客可以從 VMware 營造的虛擬世界中覺醒，像上帝一樣控制這臺虛擬機(jī)中的一切。

但是，這種攻擊方法的成功率只有 10%-20%，也就是說，十次跳上火車的嘗試，有九次都會粉身碎骨。而真正的比賽中，我們只有三次嘗試的機(jī)會。

事實(shí)上，這個(gè)時(shí)候肖偉也有新的進(jìn)展，他發(fā)現(xiàn)了一個(gè)新的漏洞。以我們的直覺來看，這個(gè)漏洞質(zhì)量極高，但是更容易被發(fā)現(xiàn)。而我知道在 PwnFest 上，除了我們還有一位黑客報(bào)名，那就是著名的韓國黑客神童 Lokihardt。如果我們使用了同樣的漏洞，那么只有先登場的人才會被判定為成功。我們決定暫時(shí)不用這個(gè)漏洞，專心打磨應(yīng)鑫磊的漏洞。

應(yīng)鑫磊發(fā)瘋一般地調(diào)優(yōu)這套攻擊方法，在回家的路上也拽著肖偉討論如何提高攻擊的成功率。

直到比賽前幾天。我們的攻擊程序在 Surface（比賽指定設(shè)備）上的試驗(yàn)成功率達(dá)到了40%，在 PC 上的成功率達(dá)到了30%。這個(gè)成績我并不滿意，但是當(dāng)應(yīng)鑫磊建議是否要加個(gè)新功能進(jìn)去的時(shí)候，我還是拒絕了。

比賽時(shí)我們有三次機(jī)會，從數(shù)學(xué)的角度上來說，我們攻擊的成功率接近 100%。我不準(zhǔn)備再冒險(xiǎn)了。

【唐青昊（左一）和應(yīng)鑫磊（后排）】

六

11月10號，韓國首爾，PwnFest 大賽現(xiàn)場，我和應(yīng)鑫磊站在了比賽臺上。

這個(gè)項(xiàng)目，有兩組黑客報(bào)名。我們和韓國黑客神童 Lokihardt。Loki 在韓國擁有眾多粉絲，每次他站在臺上的時(shí)候，臺下都會有眾多迷妹拍照歡呼。經(jīng)過抽簽，我們先來進(jìn)行攻擊。此刻我們站在臺上，觀眾寥寥無幾。

但我沒工夫顧及這些。我內(nèi)心十分清楚，每次攻擊成功的概率只有不到一半。而比賽用的電腦環(huán)境一定和我們實(shí)驗(yàn)的環(huán)境有微小差別。這個(gè)微小的差別會對成功率造成多大的影響，我根本不知道。

就像一個(gè)并不是信心十足的走鋼絲雜技演員，突然換了一個(gè)全新的舞臺和鋼索。你無法想象會發(fā)生什么。說到底，我們能做的已經(jīng)都做了，現(xiàn)在看來成功與否是一個(gè)概率問題。不知為何，我反倒有種失敗的坦然。

比賽全過程，我們不能碰這臺電腦。我們的攻擊程序需要自動(dòng)完成一切。

裁判啟動(dòng)了我們的攻擊程序，一行行命令閃現(xiàn)。十秒過后，信息返回。出現(xiàn)在我們眼前的，是我們構(gòu)建的輸入信息“313131...”，而不是我們期待的核心內(nèi)存信息。

我對裁判說，失敗了。讓我們嘗試第二次吧。

那時(shí)的心情，就是沒有心情。我沒辦法設(shè)想后果，“盡人事聽天命”是我們唯一的選擇。

第二次攻擊啟動(dòng)。時(shí)間一秒一秒過去。直到 Windows 系統(tǒng)彈出計(jì)算器的一瞬間。我知道：成了！我們通過一條指令拿下了系統(tǒng)的控制權(quán)。

團(tuán)隊(duì)整整一年的努力，在這十秒內(nèi)凝聚成“洪荒之力”。這種感覺，大概就是幸福。

根據(jù)比賽規(guī)則，我們要到“小黑屋”里，把攻擊代碼和漏洞位置提交給 VMware 的工作人員。雖然在小黑屋里，復(fù)現(xiàn)這次攻擊并不重要。但事實(shí)上我們試了十多次，甚至重啟了一次電腦才成功復(fù)現(xiàn)這次攻擊。我才意識到剛才的比賽中上帝確實(shí)非常眷顧我們。

【應(yīng)鑫磊（左）和唐青昊（右）】

七

有關(guān)這次比賽，還有一個(gè)不大不小的故事。

后于我們登場的 Lokihardt，在第一次嘗試中就順利完成了攻擊。而直到四天之后，我們已經(jīng)回到了北京，幾乎 WMware 全系列產(chǎn)品收到了來自官方的升級補(bǔ)丁。在這個(gè)補(bǔ)丁的描述中，我們才得知，Loki 居然和我們用了同樣的漏洞。根據(jù)我的了解，他的攻擊程序做得更穩(wěn)定，攻擊成功率超過 90%。

也就是說，很可能 Loki 也找到了那個(gè)更容易找到的漏洞，而為了防止“撞洞”，他也選擇了使用難的這個(gè)。而所有的“越界讀寫”，Loki 全用一個(gè)漏洞完成，不得不說他做得更漂亮。

現(xiàn)在，也許我們彼此都知道對方的手上還有一些“存貨”。2017年各路黑客在 VMware 上免不了有一場混戰(zhàn)。

成為全球第一個(gè)攻破 VMware 的黑客，確實(shí)很讓人驕傲。 但明年我們的最大目標(biāo)不再是 VMware，而是微軟的虛擬化神器“HyperV”。因?yàn)閺拿髂觊_始，所有的Edge瀏覽器都將跑在 HyperV 虛擬機(jī)模塊里。這為攻擊 Edge 增加了巨大的難度。

當(dāng)然從另一個(gè)角度來看，這意味著，“虛擬化漏洞”這個(gè)并不性感的名字，已經(jīng)開始影響每一個(gè)普通人的生活。

2016年很快就過去了。整整一年，我們似乎都在和那幾個(gè)漏洞死磕。我很慶幸我們的團(tuán)隊(duì)并不是一無所獲。相反，我們得到的東西超過我的預(yù)期。我們用自己的好奇心接近了真相，說不準(zhǔn)，這些真相有朝一日可以拯救世界。

【Marvel Team 全家?！?/strong>

更多黑客故事，歡迎關(guān)注雷鋒網(wǎng)宅客頻道（微信搜索：宅客頻道）。你想了解哪位黑客大神，歡迎在雷鋒網(wǎng)宅客頻道中留言。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。