SegFau1t

Preliminary Knowledge In this section, we will explain a few things that you should know beforehand regarding a 1-day exploit. For more detailed information, please refer to other posts. Here, we will explain briefly and move on. If you want to know more about the V8 engine, you can check out Fundamental Knowledge of the V8 engine, which might... Read More

사전 지식 사전 지식 파트에서는 1-day exploit에 앞서 어떤 내용들을 미리 알고 들어가야하는지 몇가지 설명할 것입니다. 자세한 내용은 다른 포스트 에 올려두었으니, 여기서는 간단하게 설명하며 넘어가겠습니다. V8 엔진에 대해 더 자세한 내용을 알고 싶다면 Fundamental Knowledge of V8 engine 을 보면 도움이 됩니다. JavaScript와 이로 만든 객체들에 대해 더 알고 싶다면 Fundamental Knowledgd of JavaScript 을 보면 됩니다. v8이란(feat. pipeline) V8은 Chrome 브라우저에서 사용하는 C++언어로 작성된 엔진입니다. 브... Read More

[JavaScript] Background Knowledge - Java Object Structure, Allocation Folding JS object structure A JavaScript object is a data structure composed of key-value pairs. The V8 engine handles metadata and actual data differently depending on the structure and properties of the object. Map The value in the first field is the map, also known ... Read More

what is v8? Chrome V8 is an open-source JavaScript engine used in the Google Chrome web browser and the Node.js server environment. V8 is designed to efficiently execute JavaScript code, aiming for fast performance and optimization. Here is a table showing the global web browser market share, and as of December 2023, we can see that the Chrome ... Read More

[JavaScript] 배경 지식 - 자바 객체 구조, Allocation folding JS object structure Javascript Object는 key-value로 이루어진 데이터 구조입니다. V8 엔진은 객체의 구조와 속성에 따라 메타데이터와 실제 데이터를 다르게 처리합니다. 첫번째 필드에 들어가는 값은 map입니다. Hidden class라고도 합니다. 히든 클래스는 객체의 프로퍼티 이름과 타입, 각 프로퍼티가 객체 내에서 차지하는 위치에 대해 메타데이터를 포함합니다. 히든 클래스에 대해 더 자세히 알아보겠습니다. 객체가 생성될 때 map이 생기게 되는데 새로운 Prop... Read More

V8이란 우선 v8이 무엇인지에 대해 설명해보겠습니다. 전세계 웹 브라우저 시장 점유율을 가져온 표인데요, 2023년 12월을 기준으로 Chrome 브라우저가 무려 64.7%를 차지하는 것을 볼 수 있습니다. 이 Chrome 브라우저에서 사용하는 엔진이 지금 소개 중인 V8 엔진 입니다. [출처 : Browser Market Share Worldwide] V8 엔진 구성 요소 이 V8 엔진 속에는 다양한 구성 요소로 이루어져 있습니다. 이해하기 편하게 두 개의 사진을 아래에 첨부하였습니다. V8의 구성 요소는 다음과 같습니다 : Parser, Ignition, Sparkplug, ... Read More

CFG를 끈 상태로 취약한 버전의 Adobe로 Exploit Code가 포함된 PDF를 열면 Exploit이 진행된다. Exolit PDF & Exploit Code 위 깃헙 링크에는 exploit에 사용한 JS code와 PDF 파일이 있다. 위 링크의 PDF 파일에는 Exploit에 활용할 base URL과 Exploit을 진행할 PDF 내장 Java Script code가 들어있다. 우회하는 보안 기법 ASLR, Address space layout randomization ... Read More

CVE-2021-39863 💡 Adobe에서 Encoding이 다른 두 URL을 연결하는 과정에서 Out Of Bound Read / Write와 Heap Buffer OverFlow가 발생하는 취약점 영향을 받는 제품 : https://helpx.adobe.com/security/products/acrobat/apsb21-55.html Exploit에는 32bit Adobe Acrobat Reader DC 21.005.20048.43252 버전을 사용하였다. 해당 제품은 아래 링크에서 다운 받을 수 있다. https://ardownlo... Read More

Windows Heap 할당 매커니즘에는 두 종류가 있다. NT heap : 기존에 존재하던 Windows Heap 할당 매커니즘이다. Segment Heap : Windows 10부터 추가되었으나 많은 프로그램이 NT heap에 최적화되어 상용화되지는 않은 Windows Heap 할당 매커니즘이다. 1. NT Heap, LFH Heap Fragmentation을 낮추고, 성능을 향상 시키기 위해 Back-End와 Front-End를 이용해 heap을 할당하고 관리한다. Back-End Heap ... Read More

Exploit은 JS Object로 임의 주소에 접근한 후 Stack Pivoting이라는 기법을 이용해 진행된다 이에 사용되는 JavaScript의 Object인 JS Object가 ArrayBuffer Object와 DataView Object이다 Adobe는 SpiderMonkey라는 JavaScript Engine을 사용해 PDF에 내장된 JS code를 compile한다. 이 블로그는 SpiderMonkey Engine에서 JS Object에 관해 기술하였다. 1. ArrayBuffer Object Reference 타입의 데이터 형태로 Object가 Heap에 할당된다. 고정된... Read More

PDF는 내장 JavaScript code를 가질 수 있고, Adobe는 이를 실행한다. PDF에 내장된 JS Script는 JS Engine인 SpiderMonkey가 Adobe의 EScript.api 모듈을 이용해 실행한다. Adobe에서 사용하는 JS Engine인 SpiderMonkey는 C++로 구현되었다. 만약 PDF에 URL이 지정되어 있다면 Adobe는 IA32.api 모듈로 URL 관련 작업 및 인터넷 접속을 수행한다. [그림 1] Adobe에서 PDF에 내장된 JS script를 처리하는 과정 PDF는 Adobe에게 두 종류의 URL을 전... Read More

1. Unicode Unicode 자체는 encoding 방식이 아니라 문자와 순서를 1:1로 매칭한 하나의 코드 표를 나타낸다. Unicode는 문자 1개를 2 byte를 표현한다. 그래서 Unicode에 의해 encoding된 문자열은 "\x00"가 아니라 "\x00\x00"으로 끝난다. 이러한 이유로 Unicode의 Null 종단 문자는 2 byte이다. : "\x00\x00" UTF-16BE UTF-16 : 16-bit Unicode Transformation Format BE : Big Endian Unicode에 따라, Big Endian 형태로 한 문자를 16 bi... Read More

When you open a PDF containing an exploit code with a vulnerable version of Adobe, and if CFG (Control Flow Guard) is disabled, the exploit will proceed. Exploit PDF & Exploit Code The GitHub link above contains the JavaScript code and PDF file used for the exploit. Inside the PDF file, you’ll find both (1) ... Read More

CVE-2021-39863 An Out Of Bounds Read / Write and Heap Buffer OverFlow vulnerability occurred during the process of connecting two URLs with different encodings in Adobe Affected Products We used 32-bit Adobe Acrobat Reader DC 21.005.20048.43252 on Exploit. You can download the Adobe with this version at this link ... Read More

There are two types of Windows heap allocation mechanisms: NT Heap : This is the traditional Windows heap allocation mechanism. Segment Heap : Introduced in Windows 10, this is a newer heap allocation mechanism. However, it has not been widely adopted, because many programs are optimized for the NT heap. 1. NT Hea... Read More

We exploit CVE-2021-39863 by using Stack Pivoting after accessing the arbitrary address by JS Object. The ArrayBuffer Object and DataView Object which are Objects of JavaScript are used to access the arbitrary address. Adobe compiles JS code embedded in PDF using JavaScript Engine, SpiderMonkey. This blog tells you about JS Object (ArrayB... Read More

PDF can have embedded JavaScript code, and Adobe executes this. The JS Engine, SpiderMonkey, executes this embedded JS Script using EScript.api in Adobe. JS Engine, SpiderMonkey used by Adobe is implemented in C++. If the URL is defined in the PDF, Adobe performs related to URL and Internet access using IA32.api. [Fi... Read More

1. Unicode “Unicode” itself is not an Encoding method, but it is a code table that maps a character and its encoding character one-to-one. Unicode represents one character with 2 bytes. Therefore, the string encoded by Unicode ends with "\x00\x00", not "\x00". For this reason, the Null Terminator of string encoded by... Read More

Index Page of 1-day Research (CVE-2021-39863) 0. Exploit PDF && Exploit Code 1. Exploit Knowledge 1) Encoding [UTF-16BE; ANSI] Encoding [UTF-16BE; ANSI] [English] Encoding [UTF-16BE; ANSI] 2) Processing JS Script in PDF at Adobe Processing JS Script in PDF at Adobe [English] Processing JS Script in PDF at Adobe 3) JS O... Read More