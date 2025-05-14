첫 번째 목표는 익스플로잇이 작동하는 것으로 알려진 정확한 환경을 복제하여 '근거 자료'를 확보하는 것이었습니다. 그런 다음 해당 버전과 제가 목표로 하는 버전 간의 차이점을 검토하여 무엇이 잘못되었는지 파악할 수 있었습니다.

제가 발견한 공개 V8 익스플로잇의 대부분은 Linux를 표적으로 삼았습니다. 그래서 Linux에서 V8을 컴파일하는 것부터 시작했고, 제가 선택한 공개 익스플로잇의 정확한 커밋을 확인했습니다. 그런 다음 익스플로잇을 실행하여 작동하는지 확인했습니다. 다행히도 성공했습니다. 이제 저는 제 진실을 알게 되었습니다.

거기에서 대상으로 하는 V8 버전(Electron 앱에서 사용하는 것과 동일)을 Linux에서 컴파일했습니다. 이 익스플로잇은 처음부터 제대로 작동하지 않았습니다. 프로젝트를 직접 빌드하면 필요한 만큼 코드에 대한 성찰을 할 수 있다는 장점이 있습니다. 특히 V8에는 V8 JavaScript 엔진의 독립형 셸인 d8이 있으며, 주로 브라우저 또는 Node.js 환경 외부에서 JavaScript 및 WebAssembly 코드를 테스트, 디버깅 및 실행하는 데 사용됩니다. d8에는 내부 디버그 기능이 플래그로 활성화되어 --allow-natives-syntax 있습니다. 특히, %DebugPrint(value) , 메모리 주소를 포함하여 V8 엔진 내부에 태그가 지정된 값의 내부 표현을 인쇄합니다.

이를 통해 관심 객체의 주소를 인쇄하고 공개 익스플로잇의 하드코딩된 오프셋을 조정할 수 있습니다. 이제 어느 정도 진전이 있었습니다. 제가 해야 할 일은 제 익스플로잇을 Windows로 이식하는 것뿐입니다.

Windows에서 이전 버전의 V8을 컴파일하는 것은 많은 골치 아픈 일이었습니다. 종속성 관련 문제를 많이 해결해야 했기 때문에 의심스러운 내부 코드를 수정했습니다. 이제 세부적인 내용은 기억나지 않습니다. 제 뇌가 스스로를 보호하기 위해 차단해 버렸기 때문입니다. 몇 시간 동안 고군분투한 끝에 마침내 필요한 버전을 컴파일할 수 있었습니다! 놀랍게도 Linux 수정 익스플로잇은 조정 없이 Windows에서 작동했습니다.

이제 남은 것은 Electron 앱에서 익스플로잇을 테스트하고 숨을 참는 것뿐이었습니다... 앗, 성공하지 못했습니다! 하지만 그 이유는 무엇일까요?

처음에는 타겟이 충돌했기 때문에 희망을 가졌습니다. 결국 저는 Linux 페이로드를 Windows에 맞게 조정하지 않았기 때문에 흥미로운 일이 일어날 것이라고 기대할 수 없었습니다. 동작을 확인하기 위해 익스플로잇 페이로드를 0x4141414141 주소에서 실행되도록 변경했습니다. 이것은 익스플로잇 작성자가 명령어 포인터 주소를 제어하여 프로그램에 대한 제어권을 얻었음을 확인/증명하기 위해 사용하는 일반적인 기술입니다. 그러나 WinDbg의 충돌을 살펴본 후 원하는 것을 볼 수 없었습니다. 타겟 함수 포인터를 덮어쓸 때 세그멘테이션 오류가 발생했습니다.

Electron Cherry-Picking V8이 이전에 이야기한 내용을 커밋한다는 것을 기억하시나요? 알고보니 제가 악용할 때 사용하던 버그에 앱이 취약했는데도 퍼블릭 익스플로잇이 사용한 샌드박스 이스케이프 방식은 이미 체리 픽을 통해 패치된 상태였습니다. V8 샌드박스/메모리 케이지에 대해 잘 모르신다면 여기에서 자세히 알아보세요. 본질적으로 이는 취약점이 발생할 경우 V8 악용을 더 어렵게 만드는 방법입니다.

무슨 일이 일어나고 있는지 파악하기 위해 대상 버전의 V8을 다시 구축해야 했는데, 이번에는 엄선된 패치를 적용해야 했습니다. 보안 패치 외에도 Node.js 는 Electron이 사용하는 V8 버전에 특정 Node.js 패치를 적용합니다. Electron과 Node.js가 다양한 종속성을 처리하는 방법이 명확하지 않았기 때문에 이렇게 해야 한다는 사실을 깨닫는 데 오랜 시간이 걸렸습니다.

하루나 이틀 동안 제가 컴파일하는 V8 버전이 목표와 '동일'한지 확인하고 최근 샌드박스 탈출 기법에 대해 읽은 끝에 진전을 이루었습니다. 저는 제 목표에 맞는 탈출 기술을 찾을 수 있었습니다. 익스플로잇을 조정한 후, 마침내 명령어 포인터를 제어하여 앱을 충돌시킬 수 있었습니다. 감미로운 승리였습니다. 끝이 보이는 것 같습니다...