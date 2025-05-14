كان هدفي الأول هو إنشاء "حقيقة مثبتة" – أي تكرار البيئة نفسها التي من المعروف أن عملية الاستغلال ستعمل فيها. بعد ذلك، تمكنت من فحص أوجه الاختلاف بين هذا الإصدار والإصدار الذي كنت أستهدفه لفهم الخطأ الذي حدث.

معظم عمليات استغلال V8 العامة التي وجدتها كانت تستهدف Linux. لذا، بدأت بإعداد V8 على Linux، وتحققت من التنفيذ الدقيق الذي كان الاستغلال العام الذي اخترته يستهدفه. ثم شغلت عملية الاستغلال للتأكد من نجاحها. ولحسن الحظ، قد نجحت. لقد أصبح لدي الآن الحقيقة المثبتة.

وعندئذٍ، أعددت إصدار V8 الذي كنت أستهدفه (الإصدار نفسه المستخدم في تطبيق Electron)، ولكن على Linux. لم تنجح عملية الاستغلال في البداية. تكمن ميزة إنشاء مشروع بنفسك في أنك تستطيع التأمل في الكود كما تريد. على وجه الخصوص، يحتوي V8 على d8، وهي الواجهة المستقلة لمحرك V8 JavaScript، والتي تُستخدم بشكل أساسي لاختبار وتصحيح الأخطاء وتشغيل كود JavaScript وWebAssembly خارج المتصفح أو خارج بيئة Node.js. تحتوي d8 على مزايا تصحيح أخطاء داخلية تُمكّن باستخدام --allow-natives-syntax علامة. وعلى وجه الخصوص، %DebugPrint(value) والذي يطبع التمثيل الداخلي الموسوم للقيمة داخل محرك V8، بما في ذلك عنوانها في الذاكرة.

وبهذا، يمكنني طباعة عناوين الكائنات المهمة وضبط قيم التعويض المشفرة ضمنيًا للثغرة العامة. الآن يمكنني القول إني قد حققت شيئًا. كل ما تبقى هو نقل ثغرتي إلى نظام Windows.

لقد سبب لي إعداد إصدار أقدم من V8 على Windows الكثير من المتاعب. كان عليّ إصلاح العديد من المشكلات المتعلقة بالتبعيات، لذا أجريت بعض التعديلات الداخلية في مواضع الشك على الكود. لا أتذكر التفاصيل الآن -- لقد حجبها عقلي حفاظًا على سلامتي. وبعد ساعات من الصعوبات، تمكنت أخيرًا من إعداد الإصدار الذي أحتاجه! وقد فوجئت بأن الثغرة المعدلة في Linux نجحت في العمل على نظام Windows من دون أي تعديلات.

الآن، كل ما تبقى هو اختبار عملية الاستغلال على تطبيق Electron والترقب... أوه، لم تنجح! لكن ما السبب؟

في البداية، كنت متفائلاً لأن الهدف قد تعطل بالفعل. لكن بعد كل ذلك، لم أكن قد كيّفت حمولة Linux مع Windows، لذا لم أتوقع حدوث أي شيء مثير للاهتمام. وللتأكد من السلوك، غيرت حمولة الاستغلال لتنفيذها في العنوان 0x4141414141. وهذه تقنية شائعة يستخدمها كُتاب أكواد الاستغلال ليتمكنوا من رؤية/إثبات أنهم قد تمكنوا من السيطرة على البرنامج من خلال التحكم في عنوان مؤشر التعليمات. لكن، بعد فحص العطل في WinDbg، لم أكن أرى النتيجة التي أريدها. كان يظهر لي خطأ في التجزئة عند استبدال مؤشر الدالة المستهدفة.

هل تتذكر ما قلته من قبل عن اختيار Electron لعمليات تنفيذ V8 بعناية؟ اتضح أنه على الرغم من أن التطبيق الذي كنت أستخدمه في عملية الاستغلال كان عرضة للخطأ، إلا أن طريقة الهروب من آلية تحديد الوصول التي استخدمها الاستغلال العام كانت قد جرى تصحيحها بالفعل عبر الاختيار الانتقائي. إذا لم تكن تعرف آلية تحديد الوصول/قفص الذاكرة في V8، فيمكنك القراءة عنها هنا. باختصار، هي طريقة لجعل استغلال V8 أكثر صعوبة في حال وجود ثغرة أمنية.

ولكي أدرك ما كان يحدث، كنت بحاجة إلى إنشاء الإصدار المستهدف من V8 مرة أخرى، مع تطبيق التصحيحات المختارة بعناية هذه المرة. بالإضافة إلى تصحيحات الأمان، تُطبق Node.js أيضًا تصحيحات Node.js خاصة على إصدار V8 الذي يستخدمه Electron. لقد استغرق الأمر مني وقتًا طويلاً لأدرك أنني بحاجة إلى القيام بذلك، لأن كيفية تعامل Electron وNode.js مع تبعياتهما المختلفة لم تكن واضحة من البداية.

بعد يوم أو يومين من محاولة التأكد من أن إصدار V8 الذي كنت أعمل على إعداده *مطابقٌ* لهدفي، بالإضافة إلى القراءة عن تقنيات الهروب الحديثة من آلية تحديد الوصول، أحرزت تقدمًا. لقد تمكنت من العثور على تقنية هروب تناسب هدفي. بعد ضبط عملية الاستغلال، تمكنت أخيرًا من تعطيل التطبيق من خلال التحكم في مؤشر التعليمات. كان انتصارًا رائعًا، لقد رأيت الضوء في نهاية النفق...