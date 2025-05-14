Mi primer objetivo fue establecer una “verdad sobre el terreno”: replicar el entorno exacto donde se sabe que funciona el exploit. Después, podía examinar las diferencias entre esa versión y la versión a la que me dirigía para entender qué estaba fallando.

La mayoría de los exploits públicos de V8 que encontré se dirigieron a Linux. Así que comencé por compilar V8 en Linux, verificando el compromiso exacto al que se dirigía el exploit público que elegí. Luego ejecuté el exploit para asegurarme de que funcionaba. Afortunadamente, así fue. Ahora tenía mi verdad fundamental.

A partir de ahí, compilé la versión de V8 a la que me dirigía (la misma que utiliza la aplicación Electron) pero en Linux. La explotación no funcionó desde el principio. El beneficio de crear un proyecto usted mismo es que puede tener tanta introspección en el código como necesite. En particular, V8 tiene d8, el shell independiente para el motor JavaScript V8, que se utiliza principalmente para probar, depurar y ejecutar código JavaScript y WebAssembly fuera de un navegador o entorno Node.js. d8 tiene funciones de depuración interna habilitadas con el --allow-natives-syntax bandera. En particular, %DebugPrint(value) que imprime la representación etiquetada interna del valor dentro del motor V8, incluida su dirección en la memoria.

Con esto, pude imprimir las direcciones de los objetos de interés y ajustar los desplazamientos codificados del exploit público. Ahora estaba llegando a alguna parte. Solo necesitaba trasladar mi exploit a Windows.

Compilar una versión anterior de V8 en Windows me dio muchos dolores de cabeza. Necesitaba solucionar un montón de problemas de dependencias, así que hice algunas modificaciones internas dudosas en el código. Los detalles se me escapan ahora: mi cerebro los ha bloqueado para mi propia protección. Después de horas de lucha, ¡finalmente pude compilar la versión que necesitaba! Para mi sorpresa, el exploit de Linux funcionó en Windows sin ajustes.

Ahora, todo lo que quedaba era probar el exploit en la aplicación y aguantar la respiración... ¡Vaya, no funcionó! ¿Pero por qué?

Al principio, tenía esperanza porque el objetivo sí se estrelló. Después de todo, no había adaptado la carga útil de Linux para Windows, así que no podía esperar que pasara nada interesante. Para confirmar el comportamiento, cambié la carga útil del exploit para ejecutar en la dirección 0x4141414141. Esta es una técnica común que los escritores de exploits usan para poder ver/probar que han obtenido el control del programa controlando la dirección del puntero de instrucción. Sin embargo, después de ver el bloqueo en WinDbg, no estaba viendo lo que quería. Me daba un error de segmentación al sobrescribir el puntero de la función objetivo.

¿Recuerdas que Electron selecciona los commits de V8 de los que hablaba antes? Resulta que a pesar de que la aplicación era vulnerable al error que estaba usando para explotar, el método de escape de sandbox que usaba el exploit público ya estaba parcheado vía cherry pick. Si no está familiarizado con el sandbox/memory Cage de V8, puede leer al respecto aquí. Esencialmente, es una forma de dificultar la explotación de V8 en el caso de una vulnerabilidad.

Para darme cuenta de lo que estaba sucediendo, necesitaba volver a construir la versión específica de V8, esta vez aplicando los parches seleccionados. Además de los parches de seguridad, Node.js también aplica parches específicos de Node.js a la versión de V8 que utiliza Electron. Me tomó mucho tiempo darme cuenta de que incluso necesitaba hacer esto, ya que no estaba claro de inmediato cómo Electron y Node.js lidian con sus diversas dependencias.

Después de un día o dos de tratar de asegurarme de que la versión de V8 que estaba compilando era *idéntica* a mi objetivo y también de leer sobre técnicas recientes de escape de sandbox, hice progresos. Pude encontrar una técnica de escape que funcionaría para mi objetivo. Después de ajustar la explotación, finalmente pude bloquear la aplicación con el control del puntero de instrucciones. Una dulce victoria, vi el final a la vista...