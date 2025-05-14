Mon premier objectif était d’établir une « vérité terrain », c’est-à-dire de reproduire l’environnement exact où l’exploit est connu pour fonctionner. Ensuite, je pourrais examiner les différences entre cette version et la version que je ciblais pour comprendre ce qui n’allait pas.

La plupart des exploits publics V8 que j’ai trouvés ciblent Linux. J’ai donc commencé par compiler V8 sur Linux, en vérifiant le commit exact visé par l’exploit que j’ai choisi. J’ai ensuite lancé l’exploit pour m’assurer qu’il fonctionnait. Heureusement, c’est le cas. J’avais maintenant ma vérité terrain.

À partir de là, j’ai compilé la version de V8 que je visais (la même que celle utilisée par l’application Electron) mais sur Linux. L’exploit n’a pas fonctionné dès le départ. L’avantage de créer un projet vous-même est que vous pouvez avoir autant d’introspection dans le code que nécessaire. En particulier, V8 possède d8, le shell autonome du moteur JavaScript V8, principalement utilisé pour tester, déboguer et exécuter du code JavaScript et WebAssembly en dehors d’un navigateur ou d’un environnement Node.js. d8 dispose de fonctionnalités de débogage internes activées avec le --allow-natives-syntax flag. En particulier, %DebugPrint(value) , qui imprime la représentation étiquetée interne de la valeur dans le moteur V8, y compris son adresse en mémoire.

Je pourrais ainsi imprimer les adresses des objets qui m’intéressent et ajuster les décalages codés de l’exploit public en dur. Là, je commençais à avancer. J’avais juste besoin de transférer mon exploit sur Windows.

Compiler une ancienne version de V8 sous Windows m’a donné du fil à retordre. Je devais résoudre un tas de problèmes liés aux dépendances, j’ai donc apporté quelques modifications internes douteuses au code. Les détails m’échappent, mon cerveau les a bloqués pour ma propre protection. Après des heures de lutte, j’ai enfin pu compiler la version dont j’avais besoin ! À ma grande surprise, l’exploit Linux a fonctionné sous Windows sans aucun ajustement.

Maintenant, il ne restait plus qu’à tester l’exploit sur l’application Electron et à retenir mon souffle... Oups, ça n’a pas fonctionné ! Mais pourquoi ?

Au début, j’avais bon espoir, car la cible a planté. Après tout, je n’avais pas adapté la charge utile Linux à Windows, et je ne pouvais donc pas m’attendre à ce qu’il se passe quelque chose d’intéressant. Afin de confirmer ce comportement, j’ai modifié la charge utile de l’exploit pour qu’elle s’exécute à l’adresse 0x4141414141. C’est une technique courante utilisée par les auteurs d’exploits pour voir et prouver qu’ils ont pris le contrôle du programme en contrôlant l’adresse du pointeur d’instructions. Cependant, après avoir examiné le crash dans WinDbg, je ne voyais pas ce que je voulais. J’ai eu une erreur de segmentation lorsque j’ai remplacé le pointeur de fonction ciblé.

Vous vous souvenez de l’histoire d’Electron qui sélectionne les commits V8 dont j’ai parlé précédemment ? Il s’avère que même si l’application était vulnérable au bug que j’exploitais, la méthode d’évasion du bac à sable utilisée par l’exploit public avait déjà été corrigée via un cherry pick. Si vous n’êtes pas familier avec le bac à sable/la cage de mémoire V8, vous pouvez en savoir plus à ce sujet ici. Il s’agit essentiellement d’un moyen de rendre l’exploitation de V8 plus difficile en cas de vulnérabilité.

Pour comprendre ce qui se passait, j’ai dû à nouveau construire la version ciblée V8, cette fois en appliquant les correctifs choisis. En plus des correctifs de sécurité, Node.js applique aussi des correctifs spécifiques Node.js à la version V8 utilisée par Electron. Il m’a fallu du temps pour réaliser que j’avais besoin de faire cela, car la façon dont Electron et Node.js gèrent leurs différentes dépendances n’était pas immédiatement claire.

Après un ou deux jours à essayer de m’assurer que la version V8 que je compilais était *identique* à ma cible et à tenter de lire les techniques récentes d’évasion de bac à sable, j’ai avancé. J’ai pu trouver une technique d’évasion qui fonctionnerait pour ma cible. Après avoir ajusté l’exploit, j’ai enfin pu faire planter l’application en contrôlant le pointeur d’instruction. Une douce victoire, j’en voyais enfin le bout…