Tujuan pertama saya adalah membangun “kebenaran dasar” – mereplikasi lingkungan yang tepat di mana mengeksploitasi diketahui bekerja. Kemudian, saya dapat memeriksa perbedaan antara versi itu dan versi yang saya targetkan untuk memahami apa yang salah.

Sebagian besar eksploitasi V8 publik yang saya temukan menargetkan Linux. Jadi saya mulai dengan mengompilasi V8 di Linux, memeriksa commit yang tepat yang ditargetkan oleh exploit publik yang saya pilih. Saya kemudian menjalankan exploit untuk memastikan bahwa hal exploit itu berhasil. Untungnya, itu terjadi. Saya sekarang memiliki kebenaran dasar saya.

Dari sana, saya mengompilasi versi V8 yang saya targetkan (sama seperti yang digunakan oleh aplikasi Electron) tetapi di Linux. Mengeksploitasi itu tidak langsung berhasil. Manfaat membangun proyek sendiri adalah Anda dapat melakukan introspeksi ke dalam kode sebanyak yang Anda butuhkan. Secara khusus, V8 memiliki d8, shell mandiri untuk mesin JavaScript V8, terutama digunakan untuk menguji, men-debug, dan menjalankan kode JavaScript dan WebAssembly di luar browser atau lingkungan Node.js. d8 memiliki fitur debug internal yang diaktifkan dengan --allow-natives-syntax bendera. Secara khusus, %DebugPrint(value) , yang mencetak representasi tag internal dari nilai di dalam mesin V8, termasuk alamat dalam memori.

Dengan ini, saya dapat mencetak alamat objek yang menarik dan menyesuaikan offset hardcode dari eksploitasi publik. Sekarang, saya mulai mendapatkan suatu tujuan. Saya hanya perlu mem-port eksploitasi saya ke Windows.

Mengompilasi versi V8 yang lebih lama di Windows memberi saya banyak sakit kepala. Saya perlu memperbaiki banyak masalah dengan dependensi, jadi saya melakukan beberapa modifikasi kode internal yang meragukan. Detailnya luput dari saya sekarang -- otak saya telah memblokirnya untuk perlindungan saya sendiri. Setelah berjam-jam berjuang, saya akhirnya dapat mengompilasi versi yang saya butuhkan! Yang mengejutkan saya, Linux mengeksploitasi yang dimodifikasi bekerja pada Windows tanpa penyesuaian.

Sekarang, yang tersisa hanyalah menguji eksploitasi pada aplikasi Electron dan menahan napas saya... Ups, tidak berhasil! Tapi kenapa?

Awalnya, saya berharap karena target memang jatuh. Lagi pula, saya belum mengadaptasi muatan Linux untuk Windows, jadi saya tidak bisa mengharapkan sesuatu yang menarik terjadi. Untuk mengkonfirmasi perilaku, saya mengubah muatan mengeksploitasi untuk dieksekusi di alamat 0x4141414141. Ini adalah teknik umum eksploitasi yang digunakan penulis untuk dapat melihat/membuktikan bahwa mereka telah memperoleh kontrol program dengan mengendalikan alamat penunjuk instruksi. Namun, setelah melihat kecelakaan di WindBG, saya tidak melihat apa yang saya inginkan. Saya mendapatkan kesalahan segmentasi saat mengganti pointer fungsi yang ditargetkan.

Ingat bahwa Electron yang menjalankan cherry pick V8 melakukan hal-hal yang saya bicarakan sebelumnya? Ternyata meskipun aplikasi itu rentan terhadap bug yang saya gunakan untuk mengeksploitasi, metode escape sandbox yang digunakan exploit publik sudah ditambal melalui cherry pick. Jika Anda tidak terbiasa dengan sandbox V8/memory cage, Anda dapat membacanya di sini. Pada dasarnya, ini adalah cara untuk membuat eksploitasi V8 lebih sulit jika terjadi kerentanan.

Untuk menyadari apa yang terjadi, saya perlu membangun kembali versi V8 yang ditargetkan, kali ini menerapkan patch yang dipilih dengan cherry pick. Selain patch keamanan, Node.js juga menerapkan patch Node.js spesifik ke versi V8 yang digunakan Electron. Butuh waktu lama bagi saya untuk menyadari bahwa saya bahkan perlu melakukan ini, karena bagaimana Electron dan Node.js menangani berbagai dependensi mereka tidak langsung jelas.

Setelah satu atau dua hari mencoba memastikan versi V8 yang saya kompilasi adalah *identik* dengan target saya dan juga membaca teknik sandbox escape terbaru, saya membuat kemajuan. Saya dapat menemukan teknik melarikan diri yang akan bekerja untuk target saya. Setelah menyesuaikan eksploitasi, saya akhirnya dapat merusak aplikasi dengan kontrol pointer instruksi. Kemenangan yang manis, saya melihat akhir di depan mata...