笔者以巩固基础为目的，完成了 pwncollege 的 V8 Exploitation 课程。整体而言，题目质量不错，但偏向于入门，因此特地整理了一篇通关笔记。若文中有疏漏或错误之处，欢迎各位师傅批评指正！

提前开一波香槟，完结

漏洞分析里有完整的patch内容

修改编译参数

接着编译

为array类型创建了一个run方法

首先，该函数会检查传入的对象是否为JSArray，并且要求数组的元素类型必须是简单类型（即没有 holes、不是对象等）。接下来，会判断数组的elements kind 是否为PACKED_DOUBLE_ELEMENTS，也就是要求数组中的所有元素都是double类型（即 JavaScript 的 Number类型，且不是int32、BigInt 或对象等）。随后，函数会检查数组的长度，确保其不会超过4096 字节（也就是最多512 个double元素），以防止溢出。

通过这些检查后，函数会调用mmap申请一段4096 字节、具有读写执行（RWX）权限的内存区域。实际上，在这一步就可以将 shellcode写入到该内存区域。随后，函数会将JSArray中的所有 double元素逐个拷贝到新申请的RWX 段中。最后，函数将这段内存作为函数指针直接执行，也就是运行了你拷贝进去的shellcode。

鉴定为v8里的ret2shellcode????????????

完整的patch文件内容

申请了一段rwx段，然后将用户创建的JSArray内容直接执行，那么提前在JSArray里提前布置shellcode就行

第一种方法，生成shellcode的脚本，这里是生产的是BigInt类型，所以还需要调用ToDoubleArray转化为浮点数

然后将输出的结果放到js脚本里，如下布置的shellcode

这里将类型转化，shellcode array转化为double array

第二种方法就是写浮点数的shellcode，这里是py脚本

输出如下，赋值到脚本里即可

这里直接写一个浮点数的shellcode就可以了

漏洞分析里有完整的patch内容

修改编译参数

编译

这里patch了三个函数，从名字看其实就是三个v8利用里常见的原语，获取对象的地址、沙箱内地址任意读写

可以看下怎么实现的，获取当前的isolate之后，先判断参数个数，接着判断参数的类型是不是对象（tag），然后直接获取address

获取isolate，参数长度为1，也就是读这个参数地址的内容，判断参数类型是否为Number，下面获取cage_base，其实也就是gc申请内存的基地址，然后类型转化一下。接着获取full_addr（r14+addr），然后通过指针解引，返回一个uint32_t的结果。

这里之所以需要先获取 cage base 并进行地址转换，是因为 V8 启用了指针压缩（Pointer Compression）机制。该机制下，堆对象的地址并不是完整的 64 位地址，而是相对于 cage base 的 32 位偏移量。不了解的读者可以自行搜索相关资料，原理并不复杂。

获取isolate，限定参数长度为2，分别获取两个参数，同时判断类型是否为Number。下面的流程和ArbRead32类似，就是最后这里不是指针解引，而是*(uint32_t *)full_addr = value; ，这里学过c的都能看得懂吧

完整的patch文件内容

其实这里patch了三个可以直接利用的漏洞原语，思路就很明确了。对于12.8版本，这里可以采用JIT Spray的方法，写立即数的shellcode，然后修改function的code_addr，实现错位字节的shellcode，也就是利用Maglev存在的漏洞实现控制流劫持（这里的环境不存在沙箱，所以并没有实现沙箱逃逸）如果开启了沙箱，其实这个方法还是可以实现沙箱逃逸的，但是会多一点绕过条件

mark一下一开始的思路，想通过覆写

d8 12.8版本，劫持jump table 失败

首先看下这一段代码的输出，这里需要关注code字段

job code，看一下输出，这个对象记录了instruction_start的起始地址，下面的一串instruction就是这一个函数经过Maglev优化后的代码

下面这一段其实就是我们写的shellcode的位置，浮点数是八字节的表示形式，去掉前面两个字节的操作，剩下的六个字节就是我们可控的内容，然后为了能写成rop的形式，所以6个字节里要已jmp结尾，用来跳到下一个gadget片段，所以我们每一个gadget可以写四字节的内容+一个jmp

这里可以看一下写成的效果

那么接着就是可以通过修改instruction_start 为我们控制的gadget片段的起始地址，修改为起始地址+0x6b（这里的偏移是根据不同环境来确定的）

看一下一开始的code: 0x1244002402a9 <Code MAGLEV>

修改之后

然后在最后的syscall下一个断点，gdb里c过去，可以看到最后执行的效果，就是执行了execve("catflag",0,0); ，这样就可以拿到flag了

这里我首先使用了py脚本生产一段shelcode

这里对于catflag这个字符串的处理，我将这个转化为hex的形式，然后分成高位和低位4字节，分别赋值给eax和ebx，然后eax << 32位存储到rax里，接着再讲低4字节赋值给rax，这样字符串就处理好了，然后push到栈上，接着讲rsp赋值给rdi，那么execve的第一个参数就处理好了，后面的rsi和rdx已经系统调用，对于看到这篇文章的读者，应该不会成为一个问题

看下这里执行完毕的效果

将输出赋值到convert.js脚本里，convert.js脚本的内容，需要转化为BigInt类型，然后前面加上0x

输出如下，最后拷贝到exp.js里，这个就是我们需要的shellcode

过程中遇到了很奇怪的问题（玄学），这是我一开始的脚本，必须删除一些debug输出，才能在远程环境中输出flag

最终拿到flag的脚本

以下为最终的脚本，修改了shellcode执行的次数之后，可以稳定的输出flag，但是笔者debug了一下两个脚本的区别，最后的优化代码都是Maglev生成的，且size相同，没有查到根本原因，如果有知道的师傅，可以d一下笔者

漏洞分析里有完整的patch内容

修改编译参数

编译

patch了两个很经典的原语，分别用于获取obj的地址和伪造obj

GetAddressOf的实现。获取isolate，限制参数长度不能为0，限制参数的类型必须为gc管理的对象，类型转化下，然后获取obj的地址

GetFakeObject的实现。获取isolate和对应的上下文环境，限制参数的长度必须为1且为number类型，获取addr，将被压缩的指针恢复为原来的地址，cast为obj类型，接着调用obj_handle转化为obj。

这里obj_handle的类型其实还是会做一些检查的，伪造的时候还是需要去伪造map、prototype等，以确保是一个看起来正确的obj

下面是完整的diff内容

有GetAddressOf和GetFakeObject，可以通过这两个原语来构造出一个fake_array，从而实现AAR和AAW

可以看下图

通过在某一地址处伪造出map和prototype，然后可以通过GetAddressOf获取其地址，接着写入prototype的值，写成0就可以。接着人为构造一个array，通过GetAddressOf获取到elements的地址，然后可以写死到fake_array里，length就可以自定。

那么就会得到这样一个fake_array

通过GetAddressOf获取到fake_array的地址之后，接着使用GetFakeObject就可以获取到一个fake_obj，然后通过这个fake_obj实现AAR和AAW

cage_read/write的命名有点问题，这里没开沙箱，后来笔者写这篇博客的时候发现了，懒得改了

接着利用JIT Spray

漏洞分析里有完整的patch内容

修改编译参数

编译

patch了一个setLength方法

这里将length转化为smi，注意下就行。然后检测下receiver的类型，就直接赋值了，修改了array的长度

完整的patch内容

我们可以修改array的length，那么其实意味着我们可以有一个越界写，但是经过笔者的测试发现，他其实只是修改了这个JSArray的length，但是element的length并没有修改，然后笔者推测越界写应该是有一个check，然后导致了越界写的失败，所以我们这里只能有一个越界读

似乎还有一个解释，这里的JSArray采用了懒加载，就是虽然设置了0x1000，但如果其实没有用到那么大的空间的时候，就不会初始化后面的空间，所以有的时候越界读会堵到NAN，这个有点像延迟绑定????

那么我们可以利用如下代码构造如下的结构，构造两个相邻的double_array

利用oob读取下一个double_array的map和prototype

有了double_array的map和prototype，想要构造addressOf的原语，这里还需要一个obj_map和prototype，因为有了一个越界读，所以可以通过修改一个正常obj的elements来实现AAR和AAW，因此这里不需要构造fakeObject也同样可以实现AAR和AAW

所以接着可以构造double_array和obj相邻的结构，代码如下

此时已经具备了所有构造的条件，先看下addressOf的实现

其实就是如下的结构，通过rw_array的越界写，修改obj的map，这样改变了其索引element的方式，可以获取任意对象的地址

接着构造AAR，

利用rw_array的越界写，修改obj的第一个element，然后obj[0]就可以访问到指定地址内容了

细心的读者可能会注意到，这里的addr-8，原因是elemnet索引的时候，开头的八个字节是map和prototype，所以访问第一个元素是addr+8，相对应的，我们想要实现任意地址读写的效果，这里就需要addr-8

下面的AAW其实是一样的，只不过AAR是通过obj[0]访问元素，这里是通过obj[0] = xxx;赋值，来修改内容

可以看到注释，这里踩了一个坑，这里Number和BigInt转化的时候出现了精度损失

下面就是用JIT Spray来指令执行了，和前面的流程一致

漏洞分析里有完整的patch内容

修改编译参数

编译

添加了一个offByOne的方法

首先判断receiver是不是JSArray和是否存在hole，接着对于类型进行了限制，只能是PACKED_DOUBLE_ELEMENTS、HOLEY_DOUBLE_ELEMENTS、PACKED_ELEMENTS和HOLEY_ELEMENTS

这里就需要上线经典老图，网址：16eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6$3z5q4)9J5k6h3c8W2N6W2)9J5c8X3u0D9L8$3N6Q4x3V1k6W2L8r3g2E0k6h3&6@1M7#2)9J5k6r3E0A6L8X3c8K6

然后限制参数数量不超过两个，其实只能加1个，因为第一个参数是receiver，接着去获取array的length。

下面有两个分支，当类型为PACKED_DOUBLE_ELEMENTS和HOLEY_DOUBLE_ELEMENTS对应数组内都为浮点数的情况，此时v8就会使用更高效的FixedDoubleArray来存储元素；else分支对应的情况是数组内存在了一些其他类型（对象、字符串undfine、undifined、holes）的情况，采用FixedArray存储元素。

分支内的模式都是相同的，用户不传参数对应read mode，传一个参数对应write mode。read mode直接返回elements[len]的元素内容，很典型的一个越界，write mode会先判断用户穿入的参数类型是否为Number，接着转化为double类型，然后elements[len]=val，一个八字节的越界写

完整的patch内容

从上面不难看出这是一个八字节的越界读写漏洞，那么就要思考越界读写八字节的最大效果是什么。

看这一个demo

输出如下

对于两个相邻的JSArray类型的对象，map类型都为PACKED_DOUBLE_ELEMENTS，越界8字节之后的输出是下一个对象的map和properties，意味着我们可以读写这两个内容

其实可以尝试一下相邻的对象类型是JS_OBJECT_TYPE，这样就可以存在一个类型混淆

对于这一段代码

输出如下

这里越界可以读到obj的map和properties，因此map已经是可控制的了，这里一开始我尝试混淆相邻对象的map，然后写addressOf，但是地址非常不稳定，因此尝试了另外一个思路

但是一般来说我们需要控制的内容是elements，所以我们控制properties会有什么作用呢？这篇博客里介绍了b9fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6$3z5q4)9J5k6h3c8W2N6W2)9J5c8X3u0D9L8$3N6Q4x3V1k6X3j5i4y4@1i4K6u0V1M7s2u0G2M7r3g2J5N6r3W2W2M7H3`.`.，笔者这里简单介绍下，详细的需要自行看官方博客

下面这张图说明了Named Properties通过properties来索引，Indexed Properties通过 elements来索引

下面显示的是in-object会直接存储在elements的后面，然后normal properties就还是通过properties来索引

对于这一段代码

这样的输出

对于Indexed Properties，这里是elements索引

这里的in-object直接存储在elements后面，然后out-objs 也就是normal properties，都使用了properties来索引，这里的值都*2，是因为这个smi的表示

结合上面的观察，可以通过8字节的溢出可以覆盖到properties，那么其实就可以控制normal properties，如果修改为一个obj的elements，然后使用obj.out_object1 = xxxx;来索引，同时修改值，这样就可以修改elements的length，同时继续去修改obj的length，这样就可以有一个rw_array，有这个rw_array之后，写addressOf、fakeObject、AAR、AAW是很简单的了

构造如下结构，这样索引out-obj1的时候就可以修改length的值了，后面的步骤就是很熟悉的了

漏洞分析里有完整的patch内容

修改编译参数

接着编译

添加了一个functionMap的方法

省略前面一部分的检查操作，这个和之前的都很类似，这个方法会获取一个参数，这个参数必须是JSFunction

下面是主要逻辑，对原本array的所有元素进行操作，取出元素转换为obj，也就是下面的elem_handle，解释调用func_obj，也就是用户穿入的自定义函数，参数就是elem_handle，将返回值再写入原本的elements内

细看其实就会发现问题，这里没有对于元素类型进行检查，意味着我返回的元素类型可以改变为与原本对象不同的类型，那么这样就会导致原本对象的map改变，这样就可以实现类型混淆

patch的完整内容

对于上面的分析，我们就可以尝试构造一个函数，动态的修改obj的类型，下面是addressOf的编写，采用switch case的结构，使用itr进行遍历。第一次执行victim_arr[2] = obj; ，成功的修改了map，然后itr为1的时候，就会解析出来obj的地址

idx=1可以索引出原本victim_arr[2]的原因是由于类型发生转换，变成obj类型之后，转换成pointer，对应了四字节（也就是指针压缩），所以索引arr的idx会发生改变

接着就是fakeObject，思路是很类似的，这里还是修改arr的类型，然后解析穿入地址，伪造成一个obj，接着调用arr[0]返回，索引的问题和上面是一样的，可以动态调试看下

有了addressOf和fakeObject，后面的步骤都是一致的，AAR和AAW，最后JIT Spray

现在登场的是，因为环境问题卡了最久的:(

漏洞分析里有完整的patch内容

修改编译参数

接着编译

这里的patch是对于turbofan的，可以看到目录是/src/compiler/turboshaft/，优化阶段是machine-lowering

这里是删去了对于map为空时的检查

这里一整个将对于map检查的操作全部删去了

总的来看，对于一段代码经过优化后，将不会检查map类型。换句话说，这段代码被优化之后，我可以对其操作过的对象的map任意修改

完整的patch内容

接着写一个poc验证我们的想法，下面的结果是成功验证了

使用Turbolizer分析下，选择到BuildGraph阶段

此时存在checkmap的检查，结合diff，发生在机器码优化阶段之前

接着将调到MachineLowering阶段

可以发现原本的CheckMaps已经变成了AssumeMap，AssumeMap意味着假设对象的map不会改变，对应diff里的逻辑就是不对map进行任何检查

后方已经不存在任何的map检查

可以聊一下这里addressOf的编写。通过分析上述优化阶段可以发现，该补丁实际上只影响 TurboFan 优化器。因此，只有在代码被 TurboFan 优化时，才可能触发前述漏洞。自 2021 年 V8 引入 Maglev 后，在不满足直接使用 TurboFan 优化条件的情况下，Ignition 生成的字节码会先由 Maglev 生成 SSA 和 CFG，随后再交由 TurboFan 进一步优化。由于这种优化路径的不同，上述漏洞在该路径下不会被触发。

所以我们需要增加函数的复杂性和执行时间，一步到位的去直接跳过Maglev的优化

复杂性方面无需多言，而在执行时间方面，TurboFan 会评估编译优化该函数所需的时间与该函数未优化时的执行时间，只有当优化能够带来明显的性能提升时，TurboFan 才会选择对该函数进行优化。

下面采用了if(flag || idx < 1)的分支结构，防止下方的bypass函数被优化

其实后续发现采用try-catch的结构也可以增加成功率，不过笔者并没有提供try-catch结构的exp，

后面的构造步骤基本一致，然后需要注意的点就是，调用完addressOf之后，大概率触发gc，会导致堆布局的变化

最后的脚本，远程环境中成功率不高，得多试几次（写个爆破脚本也不是不行

漏洞分析里有完整的patch内容

修改编译参数

接着编译

patch里主要的变动区域在这里，发生在这个阶段simplified-lowering，这个函数的流程是与边界检查有关的，也就是类似于数组索引的操作，进入turbofan优化的时候，会调用到这个函数

主要在于下方删去了if (v8_flags.turbo_typer_hardening) 替换为if (false /*v8_flags.turbo_typer_hardening*/) ，这就意味着会直接执行到DeferReplacement(node, NodeProperties::GetValueInput(node, 0)); ，而这个语句的作用就是直接消除边界检查，那么意思就是说，一段执行过索引数组操作的代码，被turbofan优化过后，数组就不存在边界检查，也就是任意的oob

完整的patch

通过上面的分析，笔者先写了一个验证的poc

可以发现这里已经越界成功了，那么就依照这个思路去写addressof，可以凭借这里的越界读写去直接修改elements，这样就可以直接得到AAR和AAW，后面思路也是一致

比较抽象的点就是环境，因为使用了JIT Spray，所以很容易触发gc，从而导致堆布局变化，而且即使本地使用了与远程一致的docker环境，最后和远程环境还是不一样，所以需要调……（很没必要的时间，在这种问题上）
因为这个level-8的环境存在Maglev，所以不太好调，可以在d8执行参数上加上--trace-opt，观察优化的情况

环境太几把玄学了。

漏洞分析里有完整的patch内容

修改编译参数

接着编译

从编译参数里可以发现这次没有v8_enable_sandbox = false，因此是开启了沙箱

这个patch的内容其实是高版本v8引入的一个api的部分方法，主要用于测试沙箱逃逸的api，开启之后相当于拥有了对于沙箱内地址任意修改的能力，最新版本的api功能可以查看src/sandbox 目录下的源码。

这道题目开启了如下所示的四个方法

注释里是使用方法，这里返回了sandbox的大小

这个方法提供了一个[addr,addr+offset]的内存任意读写的能力，但是范围限定在了沙箱内，从这段代码可以看出来(offset > sandbox->size() || size > sandbox->size() || (offset + size) > sandbox->size())

这个就是获取obj的地址

下面是获取obj的size

完整的patch内容

这里已经具有了沙箱内任意读写的能力，所以也不需要再构造addressOf和fakeObject原语，现在需要思考的应该是如何成功地沙箱逃逸

一个技巧是通过这个办法构造越界读写原语，这样可以调用DataView的方法去直接4/8字节操作内存

还是可以采用立即数shellcode，配合JIT Spray实现沙箱逃逸

对于这样一段代码

输出如下

这里只需要修改code 字段，就可以劫持控制流，这里修改成0x41414141，gdb里执行set {int}0x1d830834363c=0x4141414141 ，执行发现此时的RCX=R14+0x41414141，意味着我们可以劫持rip具体值，通过修改code字段

注意下方的汇编，提取出来是这样。这里只要劫持rcx的值就是任意指令执行，需要执行的指令位于rcx+0x3f，同时需要绕过条件[rcx+0x1b] & 0x20000000 = 0

绕过dword ptr [rcx + 0x1b], 0x20000000的方法，shellcode最前面加一个1.0就可以，

然后后面就是修改code为我们shellcode位于的位置-0x3f

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！