当前位置：首页 > news >正文

如何提高你的网站的粘性/搜索引擎优化趋势

news 文章来源：https://blog.csdn.net/qq_61670993/article/details/135316299 2025/2/24 10:09:22

如何提高你的网站的粘性,搜索引擎优化趋势,潍坊定制网站搭建,高校门户网站开发文章目录前置知识JS Object 相关Ignition 相关JIT - turboFan 相关starCTF2019 OOB【越界读写map字段】googleCTF2018 jit【浮点数精度丢失导致越界读写】数字经济线下 Browser【Object::toNumber中callback导致的越界写】前置知识 JS Object 相关 V8 中的对象表示 ==> 基…

文章目录

前置知识
- JS Object 相关
- Ignition 相关
- JIT - turboFan 相关
starCTF2019 OOB【越界读写map字段】
googleCTF2018 jit【浮点数精度丢失导致越界读写】
数字经济线下 Browser【Object::toNumber中callback导致的越界写】

前置知识

JS Object 相关

V8 中的对象表示 ==> 基础的文章，建议先看看
V8 exploitation base ==> 一个大总结，其实基础知识看这个就好了
JavaScript 引擎基础：Shapes 和 Inline Caches ==> 简单易懂，图很形象
v8官方文章 - 解析 property ==> 主要解析了对象内属性、快属性、慢属性的存储
V8、Chrome、Node.js ==> 这是一系列的文章，很多，读者可以自行选择阅读

Ignition 相关

Ignition: V8 Interpreter

JIT - turboFan 相关

笔者建议先看一遍官方文档
part2 => 比较详细，但是很抽象
TurboFan => 比较粗略，但能有一个大概的认识
官方博客

tturbolizer 在线使用网站：

https://v8.github.io/tools/head/turbolizer/index.html

starCTF2019 OOB【越界读写map字段】

环境搭建

git reset --hard 6dc88c191f5ecc5389dc26efa3ca0907faef3598
git apply oob.diff
gclient sync -D # 别忘了 gclient sync 同步一下

漏洞分析

diff --git a/src/bootstrapper.cc b/src/bootstrapper.cc
index b027d36..ef1002f 100644
--- a/src/bootstrapper.cc
+++ b/src/bootstrapper.cc
@@ -1668,6 +1668,8 @@ void Genesis::InitializeGlobal(Handle<JSGlobalObject> global_object,Builtins::kArrayPrototypeCopyWithin, 2, false);SimpleInstallFunction(isolate_, proto, "fill",Builtins::kArrayPrototypeFill, 1, false);
+    SimpleInstallFunction(isolate_, proto, "oob",
+                          Builtins::kArrayOob,2,false);SimpleInstallFunction(isolate_, proto, "find",Builtins::kArrayPrototypeFind, 1, false);SimpleInstallFunction(isolate_, proto, "findIndex",
diff --git a/src/builtins/builtins-array.cc b/src/builtins/builtins-array.cc
index 8df340e..9b828ab 100644
--- a/src/builtins/builtins-array.cc
+++ b/src/builtins/builtins-array.cc
@@ -361,6 +361,27 @@ V8_WARN_UNUSED_RESULT Object GenericArrayPush(Isolate* isolate,return *final_length;}}  // namespace
+BUILTIN(ArrayOob){
+    uint32_t len = args.length();
+    if(len > 2) return ReadOnlyRoots(isolate).undefined_value();
+    Handle<JSReceiver> receiver;
+    ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
+            isolate, receiver, Object::ToObject(isolate, args.receiver()));
+    Handle<JSArray> array = Handle<JSArray>::cast(receiver);
+    FixedDoubleArray elements = FixedDoubleArray::cast(array->elements());
+    uint32_t length = static_cast<uint32_t>(array->length()->Number());
+    if(len == 1){
+        //read
+        return *(isolate->factory()->NewNumber(elements.get_scalar(length)));
+    }else{
+        //write
+        Handle<Object> value;
+        ASSIGN_RETURN_FAILURE_ON_EXCEPTION(
+                isolate, value, Object::ToNumber(isolate, args.at<Object>(1)));
+        elements.set(length,value->Number());
+        return ReadOnlyRoots(isolate).undefined_value();
+    }
+}BUILTIN(ArrayPush) {HandleScope scope(isolate);
diff --git a/src/builtins/builtins-definitions.h b/src/builtins/builtins-definitions.h
index 0447230..f113a81 100644
--- a/src/builtins/builtins-definitions.h
+++ b/src/builtins/builtins-definitions.h
@@ -368,6 +368,7 @@ namespace internal {TFJ(ArrayPrototypeFlat, SharedFunctionInfo::kDontAdaptArgumentsSentinel)     \/* https://tc39.github.io/proposal-flatMap/#sec-Array.prototype.flatMap */   \TFJ(ArrayPrototypeFlatMap, SharedFunctionInfo::kDontAdaptArgumentsSentinel)  \
+  CPP(ArrayOob)                                                                \\/* ArrayBuffer */                                                            \/* ES #sec-arraybuffer-constructor */                                        \
diff --git a/src/compiler/typer.cc b/src/compiler/typer.cc
index ed1e4a5..c199e3a 100644
--- a/src/compiler/typer.cc
+++ b/src/compiler/typer.cc
@@ -1680,6 +1680,8 @@ Type Typer::Visitor::JSCallTyper(Type fun, Typer* t) {return Type::Receiver();case Builtins::kArrayUnshift:return t->cache_->kPositiveSafeInteger;
+    case Builtins::kArrayOob:
+      return Type::Receiver();// ArrayBuffer functions.case Builtins::kArrayBufferIsView:

可以看到，这里将元素当作 Double 类型的数组

 FixedDoubleArray elements = FixedDoubleArray::cast(array->elements());

然后作者给了一些注释，连猜带懵可以知道这里存在数组越界

漏洞利用
这里主要就是修改 map 造成类型混淆从而实现任意地址读写
exp.js 如下：

let debug = (o) => {%DebugPrint(o);%SystemBreak();
}let hexx = (str, num) => {print("\033[32m"+str+":\033[0m 0x"+num.toString(16));
}var raw_buf = new ArrayBuffer(8);
var d = new Float64Array(raw_buf);
var l = new BigUint64Array(raw_buf);function d2l(num)
{d[0] = num;return l[0];
}function l2d(

如何提高你的网站的粘性/搜索引擎优化趋势

文章目录

前置知识

JS Object 相关

Ignition 相关

JIT - turboFan 相关

starCTF2019 OOB【越界读写map字段】

相关文章：

v8 pwn利用合集

JVM：字节码

常见网络设备及功能详解

Python教程(20)——python面向对象编程基本概念

C# Winform教程（一）：MD5加密

Mongodb使用指定索引删除数据

虾皮怎么选品：虾皮（Shopee）跨境电商业务成功的关键步骤

QML —— 使用Qt虚拟键盘示例（附完整源码）

Nacos 持久化及集群的搭建【微服务】

win10下vscode+cmake编译C代码操作详解

网络安全红队常用的攻击方法及路径

【基于openGauss2.1.0企业版安装X-Tuner参数调优工具】

SpringBoot+Vue轻松实现考试管理系统

详解Keras:keras.preprocessing.image

来瞅瞅Java 11都有啥新特性

Copilot在IDEA中的应用：提升编码效率的得力助手

【Python】Excel不同sheet另存为不同CSV

软件测试|深入学习 Docker Logs

试除法求约数算法总结

[JavaWeb玩耍日记] 数据库

rime中州韵小狼毫 inputShow lua Translator 输入字符透传翻译器

【RockChip | RV1126】学习与开发

copilot在pycharm的应用

HDU 2841：Visible Trees ← 容斥原理

分布式数据之复制（Replication）

【多线程】

基于Vue开发的一个仿京东电商购物平台系统(附源码下载)

Nginx多ip部署多站点

Unity SVN更新提交小工具

听GPT 讲Rust源代码--compiler(19)