首页
社区
课程
招聘
使用
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2024-11-9 20:32
0
PWN入门-14-整数溢出收徒
整数溢出收徒
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2024-9-5 21:06
0
v8 torque函数PromiseAllResolveElementClosure 相关的issue和POC的探索
XiaozaYa 请问师傅堆喷JSPromise碰撞hash有成功过吗[em_4]
没试过
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2024-7-17 21:26
0
v8 torque函数PromiseAllResolveElementClosure 相关的issue和POC的探索
远岚沐秋 我看了slide中,想请教以下,为什么closure主动调用后context就变为NativeContext了,我看了Context源码里又FunctionContext这些类型,但唯独NativeC ...
NativeContex是v8内置函数的运行环境,和我们在JS中定义的Contex结构不一样
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2024-7-1 13:20
0
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2024-6-30 13:04
0
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2024-4-29 21:19
0
[原创]2021年4月15日Chrome v8 issue 1195777(CVE-2021-21224)分析(史上最详细的该漏洞分析!!!!!!)

自己看吧,先把那些线的意思搞明白,然后节点就靠记和查看谷歌的说明,先看看别人的文章,哪些阶段跟漏洞关系比较大,明白为什么去学这个指令更重要…,漏洞学习和开发不同,明白为什么了解这个技术本身可能比掌握这个技能更重要…

最后于 2024-4-29 21:26 被苏啊树编辑 ,原因:
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2024-4-22 14:48
0
[原创] CVE-2024-0517 漏洞分析
XiaozaYa 从 0 开始写也是错误的应该,因为 gc 后根本没有为第二个对象分配空间。。。就不应该优化
可以打好补丁再看看指令变化验证一下
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2024-4-22 13:31
0
[原创] CVE-2024-0517 漏洞分析
XiaozaYa 但我还是感觉是一个 UAF,,,,[em_5]

栈上的指针指向前后因为垃圾回收前后指向的值应该发生了变化,这个情况在MaglevIR层面上好像看不到,垃圾回收后在这个IR指令层面从栈拿出来后那个地址已经指向了垃圾回收后的地址,但是问题是在垃圾回收之后,他前面的对象已经被回收了,这时正确的处理应该是使用offset为0的地址索引,但是有漏洞的版本使用offset+12,越界写到了其他对象,造成了崩溃。

就是你截图的 31/32FoldAllocation[+12]这个指令,是有问题的。

所以利用时候应该是越界写相邻的数组大小这种思路,而不是UAF的利用方法,不是依靠占位,我估计这就是你一直没有成功利用的原因。。。

最后于 2024-4-22 13:37 被苏啊树编辑 ,原因:
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2024-4-22 10:36
0
[原创] CVE-2024-0517 漏洞分析

Google Chrome V8 CVE-2024-0517 Out-of-Bounds Write Code Execution这标题意思是越界写,不是UAF,这个如果没弄清的话估计用不出来。                                                                                                     
我看了这篇文章,还没有自己调试,我的理解是,因为优化过程中没考虑到垃圾回收的情况,所以那个指针Offset+12没有清零。

但是发生垃圾回收到了新堆块以后,Offset+12之前的对象+4,+8偏移的对象被垃圾回收清除,并不会转移到新的堆块,这时再用新堆块+Offset12索引的话,就会越界写破坏到了别的对象。

如果我的理解是正确的,这个漏洞利用不需要占据释放后的内存,只需要知道垃圾回收后的内存布局,然后越界修改就行了。


最后于 2024-4-22 10:42 被苏啊树编辑 ,原因:
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2023-9-1 18:57
1
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2023-6-12 20:15
0
[原创]Chrome v8 Issue 1203122: Security: Type confusion bug in LoadSuperIC
可以去我给的链接看一下,伪造的是Funtion.prototype,和ArrayBuffer不太一样
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2022-9-2 19:39
0
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2022-6-28 09:50
0
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2022-4-28 18:09
0
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2022-4-15 10:26
0
雪    币: 5317
活跃值: (3388)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
苏啊树 5 2022-3-30 14:49
0
[原创]Chrome v8 issue 1234770( CVE-2021-30599)漏洞分析
999 请问在迭代器next访问arr数组超出三个元素后的数据都无法访问,得到的值是undefined是什么原因,代码是漏洞作者提供的exp
请问你是是怎么访问的呀,这里他exp已经越界获取了第六个元素的值了。。。
精华数
RANk
5317
雪币
3388
活跃值
关注数
粉丝数
0
课程经验
0
学习收益
0
学习时长
基本信息
  能力排名: No.543
  等    级: LV9
活跃值  活跃值:活跃值
  在线值:
  浏览人数:149
  最近活跃:2025-1-24 16:25
  注册时间:2018-05-16
勋章
能力值

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册