我的首要目标是建立一个“基准参照"，复现该漏洞利用代码经验证可正常生效的完整环境。在此基础上，我便能对比该环境所使用的版本与我的目标版本之间的差异，从而定位问题根源。

我找到的大多数公开 V8 漏洞利用代码都以Linux为目标平台。因此我首先在 Linux 上编译 V8，检出所选公开漏洞利用代码针对的精确提交版本。然后，我运行了漏洞利用工具以确保它有效。值得庆幸的是它确实可行，这为我建立了基准参照。

接着，我在 Linux 上编译了目标 V8 版本（与 Electron 应用程序使用的版本相同）。该漏洞利用代码并未立即生效。自行构建项目的优势在于，可以根据需要深入查看代码内部。特别是 V8 提供的 d8 工具——这是 V8 JavaScript 引擎的独立外壳，主要用于在浏览器或 Node.js 环境之外测试、调试及运行 JavaScript 和 WebAssembly 代码。d8 通过 --allow-natives-syntax shell 标志启用内部调试功能，尤其是： %DebugPrint(value) ，它可打印出 V8 引擎内部值的标记化表示形式，包括其在内存中的地址。

借助这一方法，我能够打印出目标对象的内存地址，并调整公开漏洞利用代码中硬编码的偏移量。这下总算有了进展。接下来，我只需将这套漏洞利用代码移植到 Windows 系统环境下即可。

在 Windows 上编译旧版本的 V8 让我很头疼。我需要解决一大堆依赖相关的问题，因此对内部代码做了一些不太规范的修改。具体细节现在已经记不清了，想必是大脑为了保护我，刻意屏蔽了这些糟心事。经过数小时的折腾，我终于成功编译出了所需的版本！令我意外的是，这套为 Linux 环境修改的漏洞利用代码，移植到 Windows 上居然无需任何调整就能正常运行。

至此，只剩在 Electron 应用程序中测试漏洞利用代码并屏息等待结果……糟糕，没有成功！但为什么呢？

起初我抱有希望，因为目标程序确实崩溃了。毕竟我尚未将 Linux 载荷适配到 Windows 平台，自然无法期待任何有趣的结果。为确认程序行为，我将漏洞利用载荷修改为执行地址 0x4141414141 处的指令。这是漏洞利用开发者常用的一种技巧，通过控制指令指针地址来验证是否已获取程序控制权。然而在 WinDbg 中查看崩溃信息时，并未看到预期结果。在覆盖目标函数指针时，程序出现了分段错误。

还记得之前提到的 Electron对 V8 提交版本进行筛选移植的情况吗？事实证明，尽管目标应用存在我所利用的漏洞，但公开漏洞利用代码使用的沙箱逃逸方法早已通过筛选补丁得到修复。如果您不熟悉 V8 沙箱/内存隔离机制，可在此处了解更多。本质上，这是在漏洞存在时提升 V8 利用难度的一种防护手段。

为了厘清问题根源，我需要重新编译目标版本的 V8 引擎，此次还要集成精选的补丁包。除了安全补丁外，Node.js 还会向 Electron 所使用的 V8 版本中植入特定的 Node.js 补丁。我花了很长时间才意识到必须完成这一步骤，因为 Electron 和 Node.js 对各类依赖项的处理逻辑并非一目了然。

经过一两天时间，我确保编译的 V8 版本与目标版本*完全一致*，并研读了最新的沙箱逃逸技术，最终取得了进展。我找到了一种适用于目标的逃逸技术。调整漏洞利用代码后，终于成功通过控制指令指针使应用崩溃。这场甜蜜的胜利让我看到了终点线的曙光……