starctf 2019 oob

原創 君莫笑hhhhhh 2020-11-20 12:58

出題形式

一般瀏覽器的出題有兩種,

一種是diff修改v8引擎源代碼,人爲製造出一個漏洞,

另一種是直接採用某個cve漏洞。

 

一般在大型比賽中會直接採用第二種方式,更考驗選手的實戰能力

 

 

出題者通常會提供一個diff文件,或直接給出一個編譯過diff補丁後的瀏覽器程序。如果只給了一個diff文件,就需要我們自己去下載相關的commit源碼,然後本地打上diff補丁,編譯出瀏覽器程序,再進行本地調試

 

git apply < oob.diff

應用補丁,然後再編譯即可

思路

1 分析漏洞

2 實現任意地址讀寫

3 利用wasm執行shellcode

分析diff

star ctf oob題目舉例

diff --git a/src/bootstrapper.cc b/src/bootstrapper.cc
index b027d36..ef1002f 100644
--- a/src/bootstrapper.cc
+++ b/src/bootstrapper.cc
@@ -1668,6 +1668,8 @@ void Genesis::InitializeGlobal(Handle<JSGlobalObject> global_object,
                           Builtins::kArrayPrototypeCopyWithin, 2, false);
     SimpleInstallFunction(isolate_, proto, "fill",
                           Builtins::kArrayPrototypeFill, 1, false);
+    SimpleInstallFunction(isolate_, proto, "oob",
+                          Builtins::kArrayOob,2,false);
     SimpleInstallFunction(isolate_, proto, "find",
                           Builtins::kArrayPrototypeFind, 1, false);
     SimpleInstallFunction(isolate_, proto, "findIndex",
diff --git a/src/builtins/builtins-array.cc b/src/builtins/builtins-array.cc
index 8df340e..9b828ab 100644
--- a/src/builtins/builtins-array.cc
+++ b/src/builtins/builtins-array.cc
@@ -361,6 +361,27 @@ V8_WARN_UNUSED_RESULT Object GenericArrayPush(Isolate* isolate,
   return *final_length;
 }
 }  // namespace
+BUILTIN(ArrayOob){
+    uint32_t len
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

SGDMA與普通DMA

DMA(Direct memory access,內存直接存取),屬於 Vectored I/O 方式,也是下沉運算的一種實現。 區別 Scatter-gather DMA 與 Block DMA(即普通DMA) 方式不同, Block D

藍天上的雲℡ 2024-05-02 14:21:20

完美替代postman的軟件

Apifox 2.5.20

張博的博客 2024-05-02 14:19:50

mysql 條件查詢

https://blog.csdn.net/qq_57005976/article/details/129006241

張博的博客 2024-05-02 14:19:50

用json來存數據的思路. json類型數據庫的思路.

2024-04-29,23點33 看看另外一種只用mysql來維護json持續化.然後flask維護一個內存裏面的json來查詢用是不是可行. 每次啓動服務,先把所有mysql中的json字符串,反序列化成一個變量. 每次修改數據,就更新m

張博的博客 2024-05-02 14:19:50

Vue | babel.config.js 配置詳解

babel.config.js   1 概述Babel 相當於一箇中介,一邊是用戶,另一邊是瀏覽器。這幾年,JavaScript 發生了很大的變化,許多新特性在很多瀏覽器裏都不支持。Babel 的主要作用就是規避這些問題,可以確保 Java

emanlee 2024-05-02 14:10:29

Vue項目中main.js、App.vue、import...from...等的作用和意義

   https://www.cnblogs.com/webwangjie/p/11471542.html   一、main.js    1、 main.js 程序入口文件,初始化vue實例,並引入使用需要的插件和各種公共組件. imp

emanlee 2024-05-02 14:10:29

Vue .eslintignore

Vue  .eslintignore 項目根目錄如果沒有 .eslintignore 文件,需要手動添加即可   用法如下 指定某文件夾包括裏面的所有文件都忽略 build src/assets 指定某文件夾裏面的指定文件類型都忽略

emanlee 2024-05-02 14:10:29

Vue mockjs mock.js

https://www.jianshu.com/p/0d6a0bdce55c?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommend

emanlee 2024-05-02 14:10:29

Vue .gitignore

Vue.js 是一種流行的開源 JavaScript 框架,被廣泛用於構建現代化的 Web 應用程序。Vue.js 用於構建用於數據響應的單頁面應用程序,但是在處理大型項目時可能會出現許多臨時文件和配置文件,這些文件可以使用 .gitig

emanlee 2024-05-02 14:10:29

vue 項目構建之 jsconfig.json 作用

目錄    vue項目構建之jsconfig.json作用    VScode的配置vue項目構建之jsconfig.json作用    由於webpack別名配置好以後,如果想要在vscold中可以正確提示路徑,就需要配置jsconfig

emanlee 2024-05-02 14:10:29

Vue .eslintrc.js

Vue  .eslintrc.js https://blog.csdn.net/weixin_33721344/article/details/88685833   Vue的Eslint配置文件eslintrc.js說明與規則介紹   最近

emanlee 2024-05-02 14:10:29

Vue 生命週期 Vue進階(三十六):created() 詳解

https://www.bilibili.com/video/BV1ub4y1i78b?p=2  第五章 什麼是 vue3 的生命週期 https://www.bilibili.com/video/BV1ua4y1u7N8/     Vu

emanlee 2024-05-02 14:10:29

Vue .browserslistrc

Vue  .browserslistrc   在使用腳手架搭建項目時,會自動生成.browserslistrc文件,該文件只要是 配置兼容瀏覽器對於部分配置參數做一些解釋:" >1%" :代表着全球超過1%人使用的瀏覽器“last 2 ve

emanlee 2024-05-02 14:10:29

前端Vue 啓動過程 啓動流程 執行流程

前端Vue 執行流程 Vue的執行流程 一般來說,當啓動vue程序時,系統會先調用main.js文件   在main.js中,創建了一個新的vue對象並將其掛載到App.vue中id爲app的html組件中   在App.js中,引入<

emanlee 2024-05-02 14:10:29

真實性——簡歷書寫你不得不注意的至上準則

要儘量提供個人簡歷中提到的業績和能力的證明資料,並作爲附件附在個人簡歷的後面。一定要記住是複印件,千萬不要寄原件給招聘單位,以防丟失。一定要用積極的語言,切忌用缺乏自信和消極的語言寫個人簡歷。 最好的方法是在心情好的時候編寫個人簡歷。不能憑

瘋耔 2024-05-02 14:04:48