从 0 开始学 V8 漏洞利用之 V8 通用利用链（二）

雪夜

发布时间：2025-07-11 10:14:21

1063人浏览过

来源于php中文网

原创

作者：hcamael@知道创宇404实验室

相关阅读：从 0 开始学 V8 漏洞利用之环境搭建（一）经过一段时间的研究，先进行一波总结，不过因为刚开始研究没多久，也许有一些局限性，以后如果发现了，再进行修正。

概述

‍我认为，在搞漏洞利用前都得明确目标。比如打CTF做二进制的题目，大部分情况下，目标都是执行system(/bin/sh)或者execve(/bin/sh,0,0)。

在v8利用上，我觉得也有一个明确的目标，就是执行任意shellcode。当有了这个目标后，下一步就是思考，怎么写shellcode呢？那么就需要有写内存相关的洞，能写到可读可写可执行的内存段，最好是能任意地址写。配套的还需要有任意读，因为需要知道rwx内存段的地址。就算没有任意读，也需要有办法能把改地址泄漏出来（V8的binary保护基本是全开的）。接下来就是需要能控制RIP，能让RIP跳转到shellcode的内存段。

接下来将会根据该逻辑来反向总结一波v8的利用过程。

调试V8程序

在总结v8的利用之前，先简单说说v8的调试。

1.把该文件v8/tools/gdbinit，加入到~/.gdbinit中：

代码语言：javascript代码运行次数：0运行复制

$ cp v8/tools/gdbinit gdbinit_v8$ cat ~/.gdbinitsource /home/ubuntu/pwndbg/gdbinit.pysource /home/ubuntu/gdbinit_v8

2.使用%DebugPrint(x);来输出变量x的相关信息

3.使用%SystemBreak();来抛出int3，以便让gdb进行调试

示例代码语言：javascript代码运行次数：0运行复制

$ cat test.jsa = [1];%DebugPrint(a);%SystemBreak();

如果直接使用d8运行，会报错：

代码语言：javascript代码运行次数：0运行复制

$ ./d8 test.jstest.js:2: SyntaxError: Unexpected token '%'%DebugPrint(a);^SyntaxError: Unexpected token '%'

因为正常情况下，js是没有%这种语法的，需要加入--allow-natives-syntax参数：

代码语言：javascript代码运行次数：0运行复制

$ ./d8 --allow-natives-syntax test.jsDebugPrint: 0x37640804965d: [JSArray] - map: 0x376408203a41  [FastProperties] - prototype: 0x3764081cc139  - elements: 0x3764081d30d1  [PACKED_SMI_ELEMENTS (COW)] - length: 1 - properties: 0x37640800222d  - All own properties (excluding elements): {    0x376408004905: [String] in ReadOnlySpace: #length: 0x37640814215d  (const accessor descriptor), location: descriptor } - elements: 0x3764081d30d1  {           0: 1 }0x376408203a41: [Map] - type: JS_ARRAY_TYPE - instance size: 16 - inobject properties: 0 - elements kind: PACKED_SMI_ELEMENTS - unused property fields: 0 - enum length: invalid - back pointer: 0x3764080023b5  - prototype_validity cell: 0x376408142405  - instance descriptors #1: 0x3764081cc5ed  - transitions #1: 0x3764081cc609 Transition array #1:     0x376408005245 : (transition to HOLEY_SMI_ELEMENTS) -> 0x376408203ab9  - prototype: 0x3764081cc139  - constructor: 0x3764081cbed5  - dependent code: 0x3764080021b9  - construction counter: 0[1]    35375 trace trap  ./d8 --allow-natives-syntax test.js

接下来试试使用gdb来调试该程序：

代码语言：javascript代码运行次数：0运行复制

$ gdb d8pwndbg> r --allow-natives-syntax test.js[New Thread 0x7f6643a61700 (LWP 35431)][New Thread 0x7f6643260700 (LWP 35432)][New Thread 0x7f6642a5f700 (LWP 35433)][New Thread 0x7f664225e700 (LWP 35434)][New Thread 0x7f6641a5d700 (LWP 35435)][New Thread 0x7f664125c700 (LWP 35436)][New Thread 0x7f6640a5b700 (LWP 35437)]DebugPrint: 0x3a0c08049685: [JSArray] - map: 0x3a0c08203a41  [FastProperties] - prototype: 0x3a0c081cc139  - elements: 0x3a0c081d30d1  [PACKED_SMI_ELEMENTS (COW)] - length: 1 - properties: 0x3a0c0800222d  - All own properties (excluding elements): {    0x3a0c08004905: [String] in ReadOnlySpace: #length: 0x3a0c0814215d  (const accessor descriptor), location: descriptor } - elements: 0x3a0c081d30d1  {           0: 1 }0x3a0c08203a41: [Map] - type: JS_ARRAY_TYPE - instance size: 16 - inobject properties: 0 - elements kind: PACKED_SMI_ELEMENTS - unused property fields: 0 - enum length: invalid - back pointer: 0x3a0c080023b5  - prototype_validity cell: 0x3a0c08142405  - instance descriptors #1: 0x3a0c081cc5ed  - transitions #1: 0x3a0c081cc609 Transition array #1:     0x3a0c08005245 : (transition to HOLEY_SMI_ELEMENTS) -> 0x3a0c08203ab9  - prototype: 0x3a0c081cc139  - constructor: 0x3a0c081cbed5  - dependent code: 0x3a0c080021b9  - construction counter: 0

然后就能使用gdb命令来查看其内存布局了，另外在之前v8提供的gdbinit中，加入了一些辅助调试的命令，比如job，作用跟%DebufPrint差不多：

代码语言：javascript代码运行次数：0运行复制

pwndbg> job 0x3a0c080496850x3a0c08049685: [JSArray] - map: 0x3a0c08203a41  [FastProperties] - prototype: 0x3a0c081cc139  - elements: 0x3a0c081d30d1  [PACKED_SMI_ELEMENTS (COW)] - length: 1 - properties: 0x3a0c0800222d  - All own properties (excluding elements): {    0x3a0c08004905: [String] in ReadOnlySpace: #length: 0x3a0c0814215d  (const accessor descriptor), location: descriptor } - elements: 0x3a0c081d30d1  {           0: 1 }

不过使用job命令的时候，其地址要是其真实地址+1，也就是说，在上面的样例中，其真实地址为：0x3a0c08049684：

代码语言：javascript代码运行次数：0运行复制

pwndbg> x/4gx 0x3a0c08049685-10x3a0c08049684: 0x0800222d08203a41 0x00000002081d30d10x3a0c08049694: 0x0000000000000000 0x0000000000000000

如果使用job命令，后面跟着的是其真实地址，会被解析成SMI（small integer）类型：

代码语言：javascript代码运行次数：0运行复制

pwndbg> job 0x3a0c08049685-1Smi: 0x4024b42 (67259202)

0x4024b42 * 2 == 0x8049684 (SMI只有32bit)

对d8进行简单的调试只要知道这么多就够了。

WASM

现如今的浏览器基本都支持WASM，v8会专门生成一段rwx内存供WASM使用，这就给了我们利用的机会。

我们来调试看看：

测试代码：

代码语言：javascript代码运行次数：0运行复制

$ cat test.js%SystemBreak();var wasmCode = new Uint8Array([0,97,115,109,1,0,0,0,1,133,128,128,128,0,1,96,0,1,127,3,130,128,128,128,0,1,0,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,109,97,105,110,0,0,10,138,128,128,128,0,1,132,128,128,128,0,0,65,42,11]);var wasmModule = new WebAssembly.Module(wasmCode);var wasmInstance = new WebAssembly.Instance(wasmModule, {});var f = wasmInstance.exports.main;%DebugPrint(f);%DebugPrint(wasmInstance);%SystemBreak();

然后使用gdb进行调试，在第一个断点的时候，使用vmmap来查看一下内存段，这个时候内存中是不存在可读可写可执行的内存断的，我们让程序继续运行。

在第二个断点的时候，我们再运行一次vmmap来查看内存段：

代码语言：javascript代码运行次数：0运行复制

pwndbg> vmmap0x1aca69e92000     0x1aca69e93000 rwxp     1000 0      [anon_1aca69e92]

因为WASM代码的创建，内存中出现可rwx的内存段。接下来的问题就是，我们怎么获取到改地址呢？

首先我们来看看变量f的信息：

代码语言：javascript代码运行次数：0运行复制

DebugPrint: 0x24c6081d3645: [Function] in OldSpace - map: 0x24c6082049e1  [FastProperties] - prototype: 0x24c6081c3b5d  - elements: 0x24c60800222d  [HOLEY_ELEMENTS] - function prototype:  - shared_info: 0x24c6081d3621  - name: 0x24c6080051c5  - builtin: GenericJSToWasmWrapper - formal_parameter_count: 0 - kind: NormalFunction - context: 0x24c6081c3649  - code: 0x24c60000b3a1  - Wasm instance: 0x24c6081d3509  - Wasm function index: 0 - properties: 0x24c60800222d  - All own properties (excluding elements): {    0x24c608004905: [String] in ReadOnlySpace: #length: 0x24c608142339  (const accessor descriptor), location: descriptor    0x24c608004a35: [String] in ReadOnlySpace: #name: 0x24c6081422f5  (const accessor descriptor), location: descriptor    0x24c608004029: [String] in ReadOnlySpace: #arguments: 0x24c60814226d  (const accessor descriptor), location: descriptor    0x24c608004245: [String] in ReadOnlySpace: #caller: 0x24c6081422b1  (const accessor descriptor), location: descriptor } - feedback vector: feedback metadata is not available in SFI0x24c6082049e1: [Map] - type: JS_FUNCTION_TYPE - instance size: 28 - inobject properties: 0 - elements kind: HOLEY_ELEMENTS - unused property fields: 0 - enum length: invalid - stable_map - callable - back pointer: 0x24c6080023b5  - prototype_validity cell: 0x24c608142405  - instance descriptors (own) #4: 0x24c6081d0735  - prototype: 0x24c6081c3b5d  - constructor: 0x24c608002235  - dependent code: 0x24c6080021b9  - construction counter: 0

可以发现这是一个函数对象，我们来查看一下f的shared_info结构的信息：

代码语言：javascript代码运行次数：0运行复制 - shared_info: 0x24c6081d3621 pwndbg> job 0x24c6081d36210x24c6081d3621: [SharedFunctionInfo] in OldSpace - map: 0x24c6080025f9  - name: 0x24c6080051c5  - kind: NormalFunction - syntax kind: AnonymousExpression - function_map_index: 185 - formal_parameter_count: 0 - expected_nof_properties: - language_mode: sloppy - data: 0x24c6081d35f5  - code (from data): 0x24c60000b3a1  - script: 0x24c6081d3491


				
					
						 
							相关专题
						
						更多
					
					
													
								
								
									js获取数组长度的方法
									在js中，可以利用array对象的length属性来获取数组长度，该属性可设置或返回数组中元素的数目，只需要使用“array.length”语句即可返回表示数组对象的元素个数的数值，也就是长度值。php中文网还提供JavaScript数组的相关下载、相关课程等内容，供大家免费下载使用。
									
										 
											554
										
										 
											2023.06.20
										
									
								
							
													
								
								
									js刷新当前页面
									js刷新当前页面的方法：1、reload方法，该方法强迫浏览器刷新当前页面，语法为“location.reload([bForceGet]) ”；2、replace方法，该方法通过指定URL替换当前缓存在历史里（客户端）的项目，因此当使用replace方法之后，不能通过“前进”和“后退”来访问已经被替换的URL，语法为“location.replace(URL) ”。php中文网为大家带来了js刷新当前页面的相关知识、以及相关文章等内容
									
										 
											374
										
										 
											2023.07.04
										
									
								
							
													
								
								
									js四舍五入
									js四舍五入的方法：1、tofixed方法，可把 Number 四舍五入为指定小数位数的数字；2、round() 方法，可把一个数字舍入为最接近的整数。php中文网为大家带来了js四舍五入的相关知识、以及相关文章等内容
									
										 
											731
										
										 
											2023.07.04
										
									
								
							
													
								
								
									js删除节点的方法
									js删除节点的方法有：1、removeChild()方法，用于从父节点中移除指定的子节点，它需要两个参数，第一个参数是要删除的子节点，第二个参数是父节点；2、parentNode.removeChild()方法，可以直接通过父节点调用来删除子节点；3、remove()方法，可以直接删除节点，而无需指定父节点；4、innerHTML属性，用于删除节点的内容。
									
										 
											477
										
										 
											2023.09.01
										
									
								
							
													
								
								
									JavaScript转义字符
									JavaScript中的转义字符是反斜杠和引号，可以在字符串中表示特殊字符或改变字符的含义。本专题为大家提供转义字符相关的文章、下载、课程内容，供大家免费下载体验。
									
										 
											394
										
										 
											2023.09.04
										
									
								
							
													
								
								
									js生成随机数的方法
									js生成随机数的方法有：1、使用random函数生成0-1之间的随机数；2、使用random函数和特定范围来生成随机整数；3、使用random函数和round函数生成0-99之间的随机整数；4、使用random函数和其他函数生成更复杂的随机数；5、使用random函数和其他函数生成范围内的随机小数；6、使用random函数和其他函数生成范围内的随机整数或小数。
									
										 
											990
										
										 
											2023.09.04
										
									
								
							
													
								
								
									如何启用JavaScript
									JavaScript启用方法有内联脚本、内部脚本、外部脚本和异步加载。详细介绍：1、内联脚本是将JavaScript代码直接嵌入到HTML标签中；2、内部脚本是将JavaScript代码放置在HTML文件的`<script>`标签中；3、外部脚本是将JavaScript代码放置在一个独立的文件；4、外部脚本是将JavaScript代码放置在一个独立的文件。
									
										 
											656
										
										 
											2023.09.12
										
									
								
							
													
								
								
									Js中Symbol类详解
									javascript中的Symbol数据类型是一种基本数据类型，用于表示独一无二的值。Symbol的特点：1、独一无二，每个Symbol值都是唯一的，不会与其他任何值相等；2、不可变性，Symbol值一旦创建，就不能修改或者重新赋值；3、隐藏性，Symbol值不会被隐式转换为其他类型；4、无法枚举，Symbol值作为对象的属性名时，默认是不可枚举的。
									
										 
											551
										
										 
											2023.09.20
										
									
								
							
													
								
								
									Golang gRPC 服务开发与Protobuf实战
									本专题系统讲解 Golang 在 gRPC 服务开发中的完整实践，涵盖 Protobuf 定义与代码生成、gRPC 服务端与客户端实现、流式 RPC（Unary/Server/Client/Bidirectional）、错误处理、拦截器、中间件以及与 HTTP/REST 的对接方案。通过实际案例，帮助学习者掌握 使用 Go 构建高性能、强类型、可扩展的 RPC 服务体系，适用于微服务与内部系统通信场景。
									
										 
											8
										
										 
											2026.01.15
										
									
								
							
											
				

				
					
						 
							热门下载
						
						更多
					
					
						
							网站特效   /
							网站源码  /
							网站素材  /
							前端模板 
						
						
															
									
										
										[表单按钮]CSS3窗口登录表单带关闭按钮
									
								
															
									
										
										[图片特效]CSS3绘制iPhoneX手机墙纸切换特效
									
								
															
									
										
										[表单按钮]jQuery联系人生成二维码代码
									
								
															
									
										
										[文字特效]10款鼠标悬停遮罩显示文字特效
									
								
															
									
										
										[文字特效]HTML5 Canvas粒子文字特效
									
								
															
									
										
										[表单按钮]jQuery橙色注册表单验证代码
									
								
															
									
										
										[图片特效]jQuery大屏淡入淡出幻灯片
									
								
															
									
										
										[图片特效]jquery底部带缩略图的幻灯片代码
									
								
															
									
										
										[表单按钮]html5用手机号码注册表单代码
									
								
															
									
										
										[文字特效]饮料瓶造型文字旋转特效
									
								
													
						
															
									
										
										[其它模板]思翔企(事)业单位文件柜 build 20080313 
									
								
															
									
										
										[企业站源码]雅龙智能装备工业设备类WordPress主题1.0 
									
								
															
									
										
										[电商源码]威发卡自动发卡系统 
									
								
															
									
										
										[电商源码]卡密分发系统 
									
								
															
									
										
										[电商源码]中华陶瓷网 
									
								
															
									
										
										[电商源码]简洁粉色食品公司网站 
									
								
															
									
										
										[电商源码]极速网店系统 
									
								
															
									
										
										[电商源码]淘宝妈妈_淘客推广系统 
									
								
															
									
										
										[电商源码]积客B2SCMS商城系统 
									
								
															
									
										
										[电商源码]CODEC2I 众筹系统 
									
								
													
						
															
									
										
										[网站素材]极简线条玉兰花卉插画矢量素材 
									
								
															
									
										
										[网站素材]手绘烹饪调料香料合集矢量素材 
									
								
															
									
										
										[网站素材]惬意午后咖啡阅读时光矢量插画 
									
								
															
									
										
										[网站素材]中国宏伟古建筑矢量素材 
									
								
															
									
										
										[网站素材]黑色星期五耳机折扣横幅设计下载 
									
								
															
									
										
										[网站素材]国潮风莲花荷塘插画矢量素材 
									
								
															
									
										
										[网站素材]假日快乐烟花背景ps素材下载 
									
								
															
									
										
										[网站素材]新春喜庆剪纸喜鹊窗花矢量素材 
									
								
															
									
										
										[网站素材]绿色生态梯田自然风景矢量素材 
									
								
															
									
										
										[网站素材]紫色风格2026折扣横幅海报设计下载 
									
								
													
						
															
									
										
										[前端模板]驾照考试驾校HTML5网站模板 
									
								
															
									
										
										[前端模板]驾照培训服务机构宣传网站模板 
									
								
															
									
										
										[前端模板]HTML5房地产公司宣传网站模板 
									
								
															
									
										
										[前端模板]新鲜有机肉类宣传网站模板 
									
								
															
									
										
										[前端模板]响应式天气预报宣传网站模板 
									
								
															
									
										
										[前端模板]房屋建筑维修公司网站CSS模板 
									
								
															
									
										
										[前端模板]响应式志愿者服务网站模板 
									
								
															
									
										
										[前端模板]创意T恤打印店网站HTML5模板 
									
								
															
									
										
										[前端模板]网页开发岗位简历作品展示网页模板 
									
								
															
									
										
										[前端模板]响应式人力资源机构宣传网站模板 
									
								
													
					
					

				

				
					
                



				
					
						 
							相关下载
						
						更多
					
					
											php商城系统
											淘源码商城PHP淘宝查信誉
											PHP房产程序[BBWPS]
											PHP简约自动发卡平台个人版
											ERMEB域名PHP离线网络授权系统
											Difeye-敏捷的轻量级PHP框架
											大泉州汽车网PHP整站程序
										

				

				
					
						 
							精品课程
						
						更多
					
					
						
							相关推荐   /
							热门推荐  /
							最新课程 
						
						
													
								
									
								
								
									最新Python教程 从入门到精通

									
										共4课时 | 0.8万人学习
									
								
							
													
								
									
								
								
									Rust 教程

									
										共28课时 | 4.4万人学习
									
								
							
													
								
									
								
								
									Kotlin 教程

									
										共23课时 | 2.5万人学习
									
								
							
												

						
															
									
										
									
									
										JavaScript ES5基础线上课程教学

										
											共6课时 | 7万人学习
										
									
								
															
									
										
									
									
										最新ThinkPHP 5.1全球首发视频教程(60天成就PHP大牛线上培训班课)

										
											共79课时 | 151.2万人学习
										
									
								
															
									
										
									
									
										phpStudy极速入门视频教程

										
											共6课时 | 53.4万人学习
										
									
								
													

						
															
										
											
										
										
											最新Python教程 从入门到精通

											
												共4课时 | 0.7万人学习
											
										
									
																
										
											
										
										
											JavaScript ES5基础线上课程教学

											
												共6课时 | 7万人学习
											
										
									
																
										
											
										
										
											PHP新手语法线上课程教学

											
												共13课时 | 0.9万人学习
											
										
									
														
						

					
				

				
					
						 
							最新文章
						
						更多
					
					
													Linux文件系统调优思路_性能与稳定性平衡【教程】
													Linux线上事故处理教程_应急响应流程实战
													Linux复杂网络环境配置_多场景适配说明【指导】
													Python对象序列化边界_可用场景解析【教程】
													Linux系统基础如何快速入门_核心概念与实操路径详解【教程】
													LinuxShell自动化脚本项目教程_批量任务管理实战
													Linux账号安全治理教程_权限收敛与审计
													Linux网络调优项目教程_TCPIP参数优化与带宽管理
													LinuxKubernetes性能调优教程_集群瓶颈分析方法
													LinuxKubernetes节点管理教程_节点维护与故障排查


	
	
    
        
            
                
                    
                        关于我们
                        免责申明
                        举报中心
                        意见反馈
                        讲师合作
                        广告合作
                        最新更新
                                                
                    
                    php中文网：公益在线php培训，帮助PHP学习者快速成长！
                    
                      
                        关注服务号
                        
                          微信扫码
关注PHP中文网服务号
                          
                        
                      
                        
                        技术交流群
                        
                          QQ扫码
加入技术交流群
                          
                        
                      
                        
                    
                
                
            
            
                
                    
                    
                        PHP中文网订阅号
                        每天精选资源文章推送
                    
                
            
        
    
    
        Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

    











	
	
		
	
	

    
        
            
                
                    
                    PHP学习
                
            
        
    
    
        
            
                
                    
                    技术支持
                
            
        
    
    
        
            
                
                    
                    返回顶部