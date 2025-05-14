Meu primeiro objetivo foi estabelecer uma “verdade fundamental” – replicar o ambiente exato em que se sabe que a exploração funciona. Então, eu poderia examinar as diferenças entre essa versão e a versão que eu almejava para entender o que estava acontecendo de errado.

A maioria das explorações públicas do V8 que encontrei tinham como alvo o Linux. Então, comecei compilando o V8 no Linux, verificando o commit exato que a exploração pública que escolhi tinha como alvo. Depois, executei a exploração para ter certeza de que funcionou. Felizmente, isso aconteceu. Agora eu tinha minha verdade fundamental.

A partir daí, compilei a versão do V8 que eu estava almejando (a mesma usada pelo aplicativo Electron), mas no Linux. A exploração não funcionou logo de cara. A vantagem de construir um projeto por conta própria é que você pode analisar o código com a profundidade que precisar. Em particular, o V8 tem o d8, o shell autônomo para o mecanismo JavaScript V8, usado principalmente para testar, depurar e executar código JavaScript e WebAssembility fora de um navegador ou ambiente Node.js. O d8 tem funcionalidades de depuração interna habilitadas com a --allow-natives-syntax flag. Em particular, %DebugPrint(value) , que imprime a representação interna do valor dentro do mecanismo V8, incluindo seu endereço na memória.

Com isso, eu poderia exibir os endereços dos objetos de interesse e ajustar os deslocamentos fixos da exploração pública. Agora eu estava chegando a algum lugar. Eu só precisava migrar minha exploração para o Windows.

Compilar uma versão mais antiga do V8 no Windows me deu muitas dores de cabeça. Precisei corrigir vários problemas de dependências, então fiz algumas modificações internas duvidosas no código. Os detalhes me escapam agora – meu cérebro os bloqueou para minha própria proteção. Após horas de luta, finalmente consegui compilar a versão que eu precisava! Para minha surpresa, a exploração modificada do Linux funcionou no Windows sem ajustes.

Agora, tudo o que faltava era testar a exploração no aplicativo Electron e prender a respiração... Ops, não funcionou! Mas por quê?

No início, eu estava esperançoso, porque o alvo de fato caiu. Afinal, eu não havia adaptado a carga útil do Linux para o Windows, então não podia esperar que nada de interessante acontecesse. Para confirmar o comportamento, alterei a carga útil de exploração para ser executada no endereço 0x4141414141. Essa é uma técnica comum que os criadores de exploração de vulnerabilidades usam para poder ver/provar que obtiveram o controle do programa ao controlar o endereço do ponteiro de instruções. No entanto, depois de analisar o erro no WinDbg, não encontrei o que procurava. Eu estava recebendo uma falha de segmentação ao substituir o ponteiro de função de destino.

Lembra do fato de o Electron ter escolhido os commits do V8 que eu estava comentando antes? Acontece que, embora o aplicativo estivesse vulnerável ao bug que eu estava usando para exploração, o método de fuga da área de testes usado pela exploração pública já estava corrigido por meio de um cherry-pick. Se você não estiver familiarizado com a área de testes/gaiola de memória do V8, pode ler sobre ela aqui. Basicamente, é uma maneira de tornar a invasão V8 mais difícil no caso de uma vulnerabilidade.

Para entender o que estava acontecendo, precisei desenvolver novamente a versão desejada do V8, desta vez aplicando os patches selecionados. Além dos patches de segurança, o Node.js também aplica patches específicos do Node.js à versão do V8 que o Electron usa. Levei muito tempo para perceber que precisava fazer isso, pois a forma como o Electron e o Node.js lidam com suas várias dependências não ficou clara de início.

Depois de um ou dois dias tentando ter certeza de que a versão do V8 que eu estava compilando era *idêntica* ao meu alvo e também lendo sobre técnicas recentes de fuga de área de testes, tive progressos. Consegui encontrar uma técnica de fuga que funcionaria para o meu alvo. Depois de ajustar a exploração, finalmente consegui travar o aplicativo com o controle do ponteiro de instruções. Uma doce vitória, o final estava próximo...