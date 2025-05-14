Mein erstes Ziel war es, eine „Grundwahrheit“ zu schaffen – die exakte Umgebung nachzubilden, in der das Ausnutzen bekanntermaßen funktioniert. Dann konnte ich die Unterschiede zwischen dieser Version und der Version, die ich anvisierte, untersuchen, um zu verstehen, was falsch lief.

Die meisten der von mir gefundenen öffentlich zugänglichen V8-Ausnutzen zielten auf Linux ab. Also begann ich damit, V8 unter Linux zu kompilieren und den genauen Commit auszuchecken, auf den der von mir gewählte öffentliche Exploit abzielte. Ich habe dann den Exploit ausgeführt, um sicherzustellen, dass er funktioniert. Zum Glück hat es geklappt. Ich hatte nun meine unumstößliche Wahrheit.

Von dort aus kompilierte ich die Version von V8, die ich als Ziel hatte (die gleiche, die auch von der Electron-App verwendet wird), allerdings unter Linux. Der Exploit funktionierte nicht auf Anhieb. Wenn Sie ein Projekt selbst erstellen, haben Sie den Vorteil, dass Sie so viel Einblick in den Code nehmen können, wie Sie möchten. Insbesondere verfügt V8 über d8, die eigenständige Shell für die V8-JavaScript-Engine, die hauptsächlich zum Testen, Debuggen und zum Ausführen von JavaScript- und WebAssembly-Code außerhalb eines Browsers oder einer Node.js-Umgebung verwendet wird. d8 verfügt über interne Debug-Funktionen, aktiviert mit --allow-natives-syntax Flagge. Insbesondere, %DebugPrint(value) , das die interne getaggte Darstellung des Werts innerhalb der V8-Engine ausgibt, einschließlich seiner Adresse im Speicher.

Damit konnte ich die Adressen der interessanten Objekte ausgeben und die fest codierten Offsets des öffentlichen Exploits anpassen. Jetzt kam ich der Sache näher. Ich musste nur meinen Exploit auf Windows portieren.

Das Kompilieren einer älteren Version von V8 unter Windows hat mir viele Kopfschmerzen bereitet. Ich musste eine Reihe von Problemen mit Abhängigkeiten beheben, daher habe ich einige fragwürdige interne Codeänderungen vorgenommen. Die Details entfallen mir jetzt – mein Gehirn hat sie zu meinem eigenen Schutz ausgeblendet. Nach stundenlangem Kämpfen konnte ich endlich die Version zusammenstellen, die ich brauchte! Zu meiner Überraschung funktionierte der modifizierte Linux-Ausnutzen unter Windows ohne Anpassungen.

Jetzt musste ich nur noch den Exploit in der Electron-App testen und den Atem anhalten ... Ups, hat nicht funktioniert! Aber warum?

Zuerst war ich hoffnungsvoll, weil das Ziel tatsächlich abgestürzt war. Schließlich hatte ich die Linux-Nutzlast nicht für Windows angepasst, also konnte ich nichts Interessantes erwarten. Um das Verhalten zu bestätigen, habe ich den Ausnutzen-Payload so geändert, dass er an Adresse 0x4141414141 ausgeführt wird. Dies ist eine gängige Technik, die Exploit-Autoren verwenden, um zu sehen oder zu beweisen, dass sie die Kontrolle über das Programm erlangt haben, indem sie die Adresse des Instruktionszeigers steuern. Als ich mir den Absturz jedoch in WinDbg ansah, fand ich nicht das, was ich sehen wollte. Beim Überschreiben des Zielfunktionszeigers trat ein Segmentierungsfehler auf.

Erinnert ihr euch an die Sache mit dem Cherry-Picking von V8-Commits durch Electron, von der ich vorhin gesprochen habe? Es stellte sich heraus, dass die App zwar anfällig für den Fehler war, den ich ausnutzen wollte, die Sandbox-Escape-Methode, die der öffentliche Exploit verwendete, jedoch bereits über Cherry-Pick behoben worden war. Falls du mit dem V8-Sandbox/Speicherkäfig nicht vertraut bist, kannst du hier mehr darüber lesen. Im Wesentlichen ist es eine Möglichkeit, die V8-Ausbeutung im Falle einer Sicherheitslücke zu erschweren.

Um zu erkennen, was passiert war, musste ich die Zielversion von V8 erneut erstellen und dieses Mal die ausgewählten Patches anwenden. Zusätzlich zu den Sicherheitspatches wendet Node.js auch spezifische Node.js-Patches auf die von Electron verwendete Version von V8 an. Es hat lange gedauert, bis mir klar wurde, dass ich das überhaupt tun musste, denn wie Electron und Node.js mit ihren verschiedenen Abhängigkeiten umgehen, war nicht sofort klar.

Nachdem ich ein oder zwei Tage lang versucht hatte, sicherzustellen, dass die Version von V8, die ich kompilierte, *identisch* mit meiner Zielversion war, und mich auch über aktuelle Sandbox-Escape-Techniken informiert hatte, kam ich voran. Ich konnte eine Fluchttechnik finden, die für mein Ziel funktionieren würde. Nach Anpassung des Exploits konnte ich die App schließlich mit Kontrolle über den Befehlszeiger zum Absturz bringen. Ein süßer Sieg, ich sah das Ende schon vor mir...