私の最初の目標は、エクスプロイトが機能することが知られている環境をそのまま再現する「グラウンド・トゥルース」を確立することでした。そして、そのバージョンと私が目標としていたバージョンの違いを調べ、何が問題だったのかを理解することができました。

公開されているV8エクスプロイトのほとんどは、Linuxを標的としていることがわかりました。そこで、まず、V8をLinux上でコンパイルし、自分が選択したパブリック・エクスプロイトがターゲットにしている正確なコミットを確認しました。その後、エクスプロイトを実行して、それが機能することを確認しました。幸いにも、うまくいきました。これで、私にはグランド・トゥルースが手に入りました。

そこから、ターゲットにしていたV8のバージョン（Electronアプリで使用されているのと同じもの）をLinuxでコンパイルしました。このエクスプロイトは、すぐには機能しませんでした。自分でプロジェクトを構築するメリットは、必要なだけコードを振り返ることができる点です。特に、V8には、V8 JavaScriptエンジンのスタンドアロン・シェルであるd8があり、主にブラウザまたはNode.js環境の外部でJavaScriptおよびWebAssemblyコードのテスト、デバッグ、実行に使用されます。d8 は内部デバッグ主要な機能を備えており、 --allow-natives-syntax フラグで有効化できます。特に、 %DebugPrint(value) これは、メモリー内のアドレスを含む、V8エンジン内の値の内部タグ付けされた表現を表示します。

これを使用することで、関心のあるオブジェクトのアドレスを表示し、パブリック・エクスプロイトのハードコードされたオフセットを調整することができました。これで、一定の段階に到達しました。エクスプロイトをWindowsに移植するだけです。

Windows上で古いバージョンのV8をコンパイルすることは、たくさんの頭痛の種となりました。依存関係に関する多くの問題を修正する必要があったため、あいまいなコード修正をいくつか行いました。それで、詳細な情報を見失いました。私の脳が自分自身を守るためにそれらをブロックしたのです。何時間もの苦労の末、ようやく必要なバージョンをコンパイルすることができました。驚くことに、Linuxで変更されたエクスプロイトは、調整なしでWindows上でも機能したのです。

これで残りの仕事は、Electroアプリでエクスプロイトをテストし、息を止めて見守ることでしたが、それではうまくいきませんでした。しかし、その理由は？

最初は、ターゲットがクラッシュしたため、私には期待感がありました。結局のところ、私はLinuxペイロードをWindowsに適応させていなかったので、興味深いことが起こることは期待できませんでした。動作を確認するために、エクスプロイトをアドレス0x4141414141で実行するように変更しました。これは、命令ポインターのアドレスを制御することでプログラムの制御を獲得したことを確認/証明するために、エクスプロイトの記述者が使用する一般的な手法です。しかし、WinDbgがクラッシュした後、私は望んでいたものを確認することができませんでした。ターゲットの関数ポインターを上書きするときにセグメンテーション障害が発生していました。

先に私が話した、Electronの選り好みV8コミットのことをご記憶でしょうか？アプリは私がエクスプロイトに使用していたバグに対して脆弱であったものの、公開されたエクスプロイトで使用されたサンドボックス回避方法には、選り好みのパッチが既に適用されていることがわかりました。V8サンドボックス/メモリー・ケージについて詳しくない場合は、こちらで詳細を読むことができます。基本的にこれは、脆弱性が発生した場合に、V8のエクスプロイテーションをより困難にする方法です。

何が起こっていたのかを実現するために、ターゲットバージョンのV8を再度構築し、今回は選り好みのパッチを適用する必要がありました。Node.jsは、セキュリティー・パッチに加えて、Electronが使用するV8のバージョンに特定のNode.jsパッチも適用します。ElectronとNode.jsがさまざまな依存関係にどのように対処するかがすぐに明確ではなかったため、これを行う必要があることに気づくのに時間がかかりました。

コンパイルしていたV8のバージョンがターゲットと*同じ*であることを確認しようとしたり、最近のサンドボックス回避手法についても読みこんだりするのに1日か2日経過したあと、進歩がありました。ターゲットに対し機能する回避テクニックを見つけることができました。エクスプロイトを調整した後、ようやく命令ポインターを制御してアプリをクラッシュさせることができました。うれしい勝利で、終わりが見えました...