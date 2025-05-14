Mi primer objetivo era establecer una "verdad básica": replicar el entorno exacto en el que se sabe que funciona la explotación. Entonces, podría examinar las diferencias entre esa versión y la versión a la que apuntaba para entender qué iba mal.

La mayoría de los exploits públicos de la V8 que encontré estaban dirigidos a Linux. Así que empecé compilando la V8 en Linux, comprobando exactamente el commit que estaba dirigiendo el exploit público que elegí al final. Luego ejecuté el exploit para asegurarme de que funcionaba. Afortunadamente, así fue. Ahora ya tenía mi verdad absoluta.

A partir de ahí, compilé la versión de V8 a la que me dirigía (la misma que utiliza la aplicación Electron) pero en Linux. El exploit no funcionó desde el principio. El beneficio de construir un proyecto usted mismo es que puede tener tanta introspección en el código como necesite. En particular, V8 tiene d8, la shell independiente para el motor JavaScript V8, utilizada principalmente para probar, depurar y ejecutar código JavaScript y WebAssembly fuera de un navegador o entorno Node.js. d8 tiene funciones de depuración internas activadas con la --allow-natives-syntax bandera. En particular, %DebugPrint(value) , que imprime la representación interna etiquetada del valor dentro del motor V8, incluyendo su dirección en memoria.

Con esto, podría imprimir las direcciones de los objetos de interés y ajustar los desplazamientos codificados de la explotación pública. Ahora estaba llegando a alguna parte. Solo necesitaba explotar mi código a Windows.

Compilar una versión anterior de V8 en Windows me dio muchos dolores de cabeza. Necesitaba arreglar un montón de problemas con las dependencias, así que hice algunas dudosas modificaciones de código interno. Ahora se me escapan los detalles: mi cerebro los ha bloqueado para protegerme. ¡Después de horas de lucha, por fin pude compilar la versión que necesitaba! Para mi sorpresa, el exploit de modificar Linux funcionó en Windows sin ajustes.

Ahora, todo lo que quedaba era probar el exploit en la aplicación Electron y contener la respiración... ¡Vaya, no funcionó! Pero, ¿por qué?

Al principio, tenía esperanzas porque el objetivo se cayó. Después de todo, no había adaptado la carga útil de Linux para Windows, por lo que no podía esperar que ocurriera nada interesante. Para confirmar el comportamiento, cambié la carga útil del exploit para que se ejecutara en la dirección 0x4141414141. Esta es una técnica común que los escritores de exploits utilizan para poder ver o demostrar que han obtenido el control del programa controlando la dirección del puntero de instrucción. Sin embargo, después de ver el crash en WinDbg, no veía lo que quería. Tenía un error de segmentación al sobrescribir el puntero de la función objetivo.

¿Recuerda el asunto de la selección de commits de V8 por parte de Electron del que hablaba antes? Resulta que, aunque la aplicación era vulnerable al bug que usaba para explotar, el método de escape de entorno aislado que usaba el exploit público ya estaba parcheado con un cherry pick. Si no conoce el entorno aislado V8, puede leer sobre ello aquí. Esencialmente, es una forma de dificultar la explotación de V8 en el caso de una vulnerabilidad.

Para comprender lo que estaba sucediendo, tuve que volver a compilar la versión específica de V8, esta vez aplicando los parches seleccionados. Además de los parches de seguridad, Node.js también aplica parches específicos de Node.js a la versión de V8 que utiliza Electron. Me llevó mucho tiempo darme cuenta de que necesitaba hacer esto, ya que no tenía claro cómo Electron y Node.js gestionaban sus diversas dependencias.

Después de un día o dos de intentar asegurarme de que la versión de V8 que estaba compilando era *idéntica* a la de mi objetivo y también de leer sobre técnicas recientes de escape de entorno aislado, hice progresos. Pude encontrar una técnica de escape que funcionaría para mi objetivo. Después de ajustar el exploit, finalmente pude bloquear la app con el control del puntero de instrucciones. Una dulce victoria, veía el final cerca...