利用 Mojo IPC 的 UAF 漏CC防御洞逃逸 Chrome 扫瞄器沙箱-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 利用 Mojo IPC 的 UAF 漏CC防御洞逃逸 Chrome 扫瞄器沙箱

利用 Mojo IPC 的 UAF 漏CC防御洞逃逸 Chrome 扫瞄器沙箱

小墨安全管家 2020-09-23 17:05 CC防护 89 ℃
DDoS防御

  

0x03 漏洞利用

     pipe.handle1, "context"true); 

    RenderFrameHost* render_frame_host) 

 } 

  } 

任意调用

function deallocate_rfh(iframe) { 

       freeRFH(frame); 

       resolve(provider_ptr); 

   mojo::MakeSelfOwnedReceiver(std::make_unique(host), 

     // intercept bindInterface calls for this process to accept the handle from the child 

我的目标是使不熟悉Chrome扫瞄器开辟的人能够看明晓那个帖子,所以,我将从了解Chrome的安全架构和IPC设计开始。请注意,此部分的所有内容也适用于基于Chromium的Edge,默认事情下已于2020年1月15日公布。

该漏洞会在freed上调用虚函数RenderFrameHost。关于那些不了解虚函数调用的人,这篇文章大概会有所关心。为了利用此漏洞,我希翼操纵释放的对象的数据。我能够使用通常的策略在扫瞄器过程中替换释放的对象。一句话概述算是:释放子帧后,我创建了一堆blob(使用Blob API或Mojo绑定),其中包含长度受控的数据sizeof(RenderFrameHostImpl)(Chrome 81.0.4044.69上为0xc38),同时希翼我的数据最后来可以替换堆中已释放的对象。

https://chromium.googlesource.com/chromium/src.git/+/master/mojo/README.md

                       pipe.handle1); 

  switch (sandbox_type) { 

 struct RelatedApplication { 

如今,我面临一具咨询题:用啥替换vtable指针?没有扫瞄器进程中泄漏的堆指针,我无法将vtable指向我操纵的数据,所以没有明显的想法跳转到任意代码。


DDoS防御

当前位置:主页 > CC防护 > 利用 Mojo IPC 的 UAF 漏CC防御洞逃逸 Chrome 扫瞄器沙箱

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119