论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
漏洞
[14909] 2019-12-07_深入分析一个Pwn2Own的优质Webkit漏洞
文档创建者:
s7ckTeam
浏览次数:
9
最后更新:
2025-01-18
漏洞
9 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2019-12-07_深入分析一个Pwn2Own的优质Webkit漏洞
深
入
分
析
一
个
P
w
n
2
O
w
n
的
优
质
W
e
b
k
i
t
漏
洞
A
l
p
h
a
_
h
4
c
k
F
r
e
e
B
u
f
2
0
1
9
-
1
2
-
0
7
今
年
的
今
年
的
P
w
n
2
O
w
n
比
赛
刚
刚
结
束
,
在
比
赛
刚
刚
结
束
,
在
P
w
n
2
O
w
n
温
哥
华
站
的
比
赛
中
,
温
哥
华
站
的
比
赛
中
,
F
l
u
o
r
o
a
c
e
t
a
t
e
团
队
所
使
用
的
一
个
团
队
所
使
用
的
一
个
W
e
b
K
i
t
漏
洞
成
功
吸
引
了
我
的
注
意
。
这
个
漏
洞
是
一
个
价
值
五
万
五
千
美
金
的
漏
洞
利
用
链
的
漏
洞
成
功
吸
引
了
我
的
注
意
。
这
个
漏
洞
是
一
个
价
值
五
万
五
千
美
金
的
漏
洞
利
用
链
的
一
部
分
,
在
这
篇
文
章
中
,
我
将
会
对
这
个
漏
洞
进
行
深
入
分
析
,
并
对
漏
洞
进
行
验
证
和
研
究
。
一
部
分
,
在
这
篇
文
章
中
,
我
将
会
对
这
个
漏
洞
进
行
深
入
分
析
,
并
对
漏
洞
进
行
验
证
和
研
究
。
当
然
了
,
在
开
始
深
入
分
析
之
前
,
我
们
先
把
该
漏
洞
的
概
念
验
证
P
o
C
提
供
给
大
家
:
首
先
,
我
们
需
要
对
受
该
漏
洞
影
响
的
W
e
b
K
i
t
版
本
进
行
编
译
,
即
S
a
f
a
r
i
v
1
2
.
0
.
3
版
本
,
根
据
苹
果
的
版
本
发
布
信
息
,
该
版
本
对
应
的
是
修
订
版
v
2
4
0
3
2
2
。
我
们
可
以
使
用
A
d
d
r
e
s
s
S
a
n
i
t
i
z
e
r
(
A
S
A
N
)
来
完
成
编
译
操
作
,
它
可
以
允
许
我
们
在
发
生
内
存
崩
溃
的
时
候
第
一
时
间
检
测
到
错
误
信
息
。
我
们
将
使
用
1
1
d
b
来
进
行
调
试
,
因
为
m
a
c
O
S
本
身
就
自
带
了
这
个
工
具
。
由
于
P
o
C
中
没
有
包
含
任
何
的
呈
现
代
码
,
因
此
我
们
需
要
在
1
1
d
b
中
使
用
J
a
v
a
S
c
r
i
p
t
C
o
r
e
(
J
S
C
)
来
执
行
它
。
为
了
在
1
1
d
b
中
执
行
j
s
c
,
我
们
需
要
调
用
它
的
二
进
制
代
码
文
件
,
而
不
是
之
前
的
脚
本
r
u
n
-
j
s
c
。
这
个
文
件
可
以
从
W
e
b
K
i
t
B
u
i
l
d
/
R
e
l
e
a
s
e
/
j
s
c
路
径
获
取
,
并
且
需
要
正
确
设
置
环
境
变
量
。
我
们
可
以
在
1
1
d
b
中
运
行
这
条
命
令
,
或
者
把
它
放
在
一
个
文
本
文
件
中
,
然
后
传
递
到
1
1
d
b
-
s
中
。
好
的
,
接
下
来
,
我
们
可
以
开
始
调
试
了
:
s
v
n
c
h
e
c
k
o
u
t
-
r
2
4
0
3
2
2
h
t
t
p
s
:
/
/
s
v
n
.
w
e
b
k
i
t
.
o
r
g
/
r
e
p
o
s
i
t
o
r
y
/
w
e
b
k
i
t
/
t
r
u
n
k
w
e
b
k
i
t
_
g
a
_
a
s
a
n
Z
D
I
s
-
M
a
c
:
w
e
b
k
i
t
_
g
a
_
a
s
a
n
z
d
i
$
T
o
o
l
s
/
S
c
r
i
p
t
s
/
s
e
t
-
w
e
b
k
i
t
-
c
o
n
f
i
g
u
r
a
t
i
o
n
-
-
a
s
a
n
Z
D
I
s
-
M
a
c
:
w
e
b
k
i
t
_
g
a
_
a
s
a
n
z
d
i
$
T
o
o
l
s
/
S
c
r
i
p
t
s
/
b
u
i
l
d
-
w
e
b
k
i
t
#
-
-
j
s
c
-
o
n
l
y
c
a
n
b
e
u
s
e
d
h
e
r
e
w
h
i
c
h
s
h
o
u
l
d
b
e
e
n
o
u
g
h
e
n
v
D
Y
L
D
_
F
R
A
M
E
W
O
R
K
_
P
A
T
H
=
/
U
s
e
r
s
/
z
d
i
/
w
e
b
k
i
t
_
g
a
_
a
s
a
n
/
W
e
b
K
i
t
B
u
i
l
d
/
R
e
l
e
a
s
e
Z
D
I
s
-
M
a
c
:
w
e
b
k
i
t
_
g
a
_
a
s
a
n
z
d
i
$
c
a
t
l
l
d
b
_
c
m
d
s
.
t
x
t
e
n
v
D
Y
L
D
_
F
R
A
M
E
W
O
R
K
_
P
A
T
H
=
/
U
s
e
r
s
/
z
d
i
/
w
e
b
k
i
t
_
g
a
_
a
s
a
n
/
W
e
b
K
i
t
B
u
i
l
d
/
R
e
l
e
a
s
e
r
我
们
可
以
看
到
,
代
码
在
0
x
6
4
0
0
0
4
2
d
1
d
2
9
处
发
生
了
崩
溃
:
m
o
v
q
w
o
r
d
p
t
r
[
r
c
x
+
8
*
r
s
i
]
,
r
8
,
经
分
析
后
我
们
确
认
为
越
界
写
入
所
导
致
的
内
存
崩
溃
。
栈
追
踪
分
析
显
示
,
它
发
生
在
虚
拟
机
环
境
中
,
也
就
是
编
译
过
程
或
者
J
I
T
e
d
代
码
出
了
问
题
。
我
们
还
注
意
到
的
r
s
i
索
引
,
它
包
含
了
0
x
2
0
0
0
0
0
4
0
,
这
个
数
字
我
们
在
P
o
C
中
是
有
见
过
的
。
这
个
数
字
是
b
i
g
a
r
r
!
的
大
小
,
即
N
U
M
_
S
P
R
E
A
D
_
A
R
G
S
*
s
i
z
e
o
f
(
a
)
。
为
了
查
看
J
I
T
e
d
代
码
,
我
们
可
以
设
置
J
S
C
_
d
u
m
p
D
F
G
D
i
s
a
s
s
e
m
b
l
y
环
境
变
量
,
这
样
j
s
c
就
可
以
跳
转
到
D
F
G
和
F
T
L
的
编
译
代
码
了
。
这
将
丢
弃
掉
大
量
无
关
的
代
码
集
,
那
我
们
应
该
如
何
确
定
相
关
代
码
呢
?
我
们
知
道
崩
溃
事
件
发
生
在
0
x
6
4
0
0
0
4
2
d
1
d
2
9
处
:
m
o
v
q
w
o
r
d
p
t
r
[
r
c
x
+
8
*
r
s
i
]
,
r
8
。
那
我
们
为
何
不
尝
试
搜
索
这
个
地
址
呢
?
没
错
,
我
们
在
D
F
G
中
找
到
了
:
代
码
在
使
用
D
F
G
J
I
T
的
分
布
操
作
符
来
创
建
一
个
新
数
组
时
,
调
用
了
N
e
w
A
r
r
a
y
W
i
t
h
S
p
r
e
a
d
方
法
,
整
个
行
为
发
生
在
g
e
n
_
f
u
n
c
生
成
的
一
个
函
数
f
中
,
调
用
行
为
发
生
在
一
个
循
环
中
。
在
对
源
代
码
进
行
分
析
后
,
我
们
发
现
了
S
o
u
r
c
e
/
J
a
v
a
S
c
r
i
p
t
C
o
r
e
/
d
f
g
/
D
F
G
S
p
e
c
u
l
a
t
i
v
e
J
I
T
.
c
p
p
文
件
中
的
S
p
e
c
u
l
a
t
i
v
e
J
I
T
:
:
c
o
m
p
i
l
e
N
e
w
A
r
r
a
y
W
i
t
h
S
p
r
e
a
d
函
数
。
这
是
D
F
G
代
码
的
起
始
位
置
,
启
动
代
码
意
味
着
将
J
I
T
生
成
的
机
器
代
码
写
入
内
存
以
供
以
后
执
行
。
我
们
可
以
通
过
查
看
c
o
m
p
i
l
e
N
e
w
A
r
r
a
y
W
i
t
h
S
p
r
e
a
d
方
法
来
理
解
其
中
的
机
器
代
码
。
我
们
看
到
c
o
m
p
i
l
e
A
l
l
o
c
a
t
e
N
e
w
A
r
r
a
y
W
i
t
h
S
i
z
e
(
)
负
责
分
配
具
有
特
定
大
小
的
新
数
组
,
它
的
第
三
个
参
数
s
i
z
e
G
P
R
将
作
为
第
二
个
参
数
传
递
给
e
m
i
t
A
l
l
o
c
a
t
e
B
u
t
t
e
r
f
l
y
(
)
,
这
意
味
着
它
将
为
数
组
分
配
一
个
新
的
b
u
t
t
e
r
f
l
y
(
包
含
J
S
对
象
值
的
内
存
空
间
)
。
如
果
您
不
熟
悉
J
S
O
b
j
e
c
t
的
b
u
t
t
e
r
f
l
y
,
可
以
点
击
h
t
t
p
s
:
/
/
l
i
v
e
o
v
e
r
f
l
o
w
.
c
o
m
/
t
h
e
-
b
u
t
t
e
r
f
l
y
-
o
f
-
j
s
o
b
j
e
c
t
-
b
r
o
w
s
e
r
-
0
x
0
2
/
了
解
更
多
信
息
。
Z
D
I
s
-
M
a
c
:
w
e
b
k
i
t
_
g
a
_
a
s
a
n
z
d
i
$
J
S
C
_
d
u
m
p
D
F
G
D
i
s
a
s
s
e
m
b
l
y
=
t
r
u
e
l
l
d
b
-
s
l
l
d
b
_
c
m
d
s
.
t
x
t
W
e
b
K
i
t
B
u
i
l
d
/
R
e
l
e
a
s
e
/
j
s
c
~
/
p
o
c
3
.
j
s
跳
转
到
E
n
I
T
a
l
L
i
s
t
A
t
B
u
t
o
F
u
f
f
E
(
)
,
我
们
看
到
大
小
参
数
s
i
Z
e
G
P
R
向
左
移
动
3
位
(
乘
以
8
)
,
然
后
添
加
到
常
数
s
i
e
o
f
(
I
n
d
e
x
i
n
g
H
e
a
d
e
r
)
。
方
便
起
见
,
我
们
需
要
将
实
际
的
机
器
代
码
与
我
们
在
这
个
函
数
中
的
C
+
+
代
码
相
匹
配
。
m
_
j
i
t
字
段
的
类
型
是
J
I
T
C
o
m
p
i
l
e
r
。
J
I
T
C
o
m
p
i
l
e
r
负
责
根
据
数
据
流
图
生
成
J
I
T
代
码
。
它
通
过
委
托
给
j
i
t
来
实
现
,
后
者
生
成
一
个
宏
汇
编
程
序
(
J
I
T
C
o
m
p
i
l
e
r
通
过
继
承
关
系
拥
有
该
程
序
)
。
J
I
T
C
o
m
p
i
l
e
r
保
存
编
译
期
间
所
需
信
息
的
引
用
,
并
记
录
链
接
中
使
用
的
信
息
(
例
如
,
要
链
接
的
所
有
调
用
的
列
表
)
。
这
意
味
着
我
们
看
到
的
调
用
,
如
m
_
j
i
t
.
m
o
v
e
(
)
、
m
_
j
i
t
.
a
d
d
3
2
(
)
等
,
是
发
出
程
序
集
的
函
数
。
通
过
跟
踪
每
一
个
函
数
,
我
们
将
能
够
将
其
与
C
+
+
对
应
的
组
件
匹
配
。
除
了
跟
踪
内
存
分
配
的
m
a
l
l
o
c
调
试
功
能
外
,
我
们
还
根
据
自
己
对
I
n
t
e
l
程
序
集
的
偏
好
配
置
1
1
d
b
。
由
于
在
启
用
G
u
a
r
d
M
a
l
l
o
c
的
情
况
下
正
在
分
配
大
容
量
,
我
们
需
要
设
置
另
一
个
允
许
此
类
分
配
的
环
境
变
量
。
J
S
C
_
d
u
m
p
D
F
G
D
i
s
a
s
s
e
m
b
l
y
将
以
A
T
&
T
格
式
转
储
程
序
集
,
因
此
我
们
运
行
d
e
a
s
s
e
m
b
l
y
-
s
0
x
6
4
0
0
0
4
2
d
1
c
2
2
-
c
7
0
可
以
获
得
英
特
尔
风
格
的
程
序
集
,
结
果
如
下
:
让
我
们
尝
试
匹
配
e
m
i
t
A
l
l
o
c
a
t
e
B
u
t
t
e
r
f
l
y
(
)
中
的
一
些
代
码
。
查
看
程
序
集
列
表
,
我
们
可
以
匹
配
以
下
内
容
:
Z
D
I
s
-
M
a
c
:
~
z
d
i
$
c
a
t
~
/
.
l
l
d
b
i
n
i
t
s
e
t
t
i
n
g
s
s
e
t
t
a
r
g
e
t
.
x
8
6
-
d
i
s
a
s
s
e
m
b
l
y
-
f
l
a
v
o
r
i
n
t
e
l
t
y
p
e
f
o
r
m
a
t
a
d
d
-
-
f
o
r
m
a
t
h
e
x
l
o
n
g
t
y
p
e
f
o
r
m
a
t
a
d
d
-
-
f
o
r
m
a
t
h
e
x
Z
D
I
s
-
M
a
c
:
w
e
b
k
i
t
_
g
a
_
a
s
a
n
z
d
i
$
c
a
t
l
l
d
b
_
c
m
d
s
.
t
x
t
e
n
v
D
Y
L
D
_
F
R
A
M
E
W
O
R
K
_
P
A
T
H
=
/
U
s
e
r
s
/
z
d
i
/
w
e
b
k
i
t
_
g
a
_
a
s
a
n
/
W
e
b
K
i
t
B
u
i
l
d
/
R
e
l
e
a
s
e
e
n
v
M
A
L
L
O
C
_
P
E
R
M
I
T
_
I
N
S
A
N
E
_
R
E
Q
U
E
S
T
S
=
1
r
接
下
来
分
析
机
器
代
码
,
此
时
需
要
设
置
断
点
。
为
此
,
我
们
在
编
译
之
前
向
j
s
c
.
c
p
p
添
加
了
一
个
d
b
g
(
)
函
数
。
这
将
有
助
于
在
我
们
需
要
的
时
候
进
入
J
S
代
码
。
编
译
器
报
错
显
示
未
使
用
E
n
c
o
d
e
d
J
S
V
a
l
u
e
J
S
C
_
H
O
S
T
_
C
A
L
L
f
u
n
c
t
i
o
n
D
b
g
(
E
x
e
c
S
t
a
t
e
*
e
x
e
c
)
函
数
中
的
e
x
e
c
,
因
此
失
败
。
为
了
解
决
这
个
问
题
,
我
们
只
添
加
了
e
x
e
c
-
>
a
r
g
u
m
e
n
t
C
o
u
n
t
(
)
;
这
不
会
影
响
执
行
。
让
我
们
在
这
里
添
加
d
b
g
(
)
,
因
为
实
际
的
N
e
w
A
r
r
a
y
W
i
t
h
S
p
r
e
a
d
函
数
将
在
创
建
b
i
g
a
r
r
期
间
执
行
。
再
次
J
S
C
_
d
u
m
p
D
F
G
D
i
s
a
s
s
e
m
b
l
y
=
t
r
u
e
l
l
d
b
-
s
l
l
d
b
_
c
m
d
s
.
t
x
t
W
e
b
K
i
t
B
u
i
l
d
/
R
e
l
e
a
s
e
/
j
s
c
~
/
p
o
c
3
.
j
s
运
行
将
会
导
出
编
译
代
码
:
在
b
i
g
a
r
r
创
建
之
前
中
断
,
您
可
以
看
到
N
e
w
A
r
r
a
y
W
i
t
h
S
p
r
e
a
d
的
机
器
代
码
。
让
我
们
在
函
数
的
开
始
处
放
置
一
个
断
点
并
继
续
执
行
。
断
点
生
效
:
接
下
来
,
我
们
需
要
仔
细
分
析
断
点
信
息
:
那
么
这
里
到
底
发
生
了
什
么
?
还
记
得
P
o
C
中
的
下
面
这
部
分
信
息
吗
?
m
k
_
a
r
r
函
数
创
建
一
个
数
组
,
第
一
个
参
数
作
为
大
小
,
第
二
个
参
数
作
为
元
素
。
大
小
为
(
0
x
2
0
0
0
0
0
0
0
+
0
x
4
0
)
/
8
=
0
x
4
0
0
0
0
0
8
,
这
将
创
建
一
个
大
小
为
0
x
4
0
0
0
0
0
8
、
元
素
值
为
0
x
4
1
4
1
4
1
4
1
4
1
0
0
0
0
的
数
组
。
i
2
f
函
数
用
于
将
整
数
转
换
为
浮
点
值
,
以
便
最
终
在
内
存
中
得
到
预
期
值
。
我
们
现
在
知
道
r
c
x
指
向
对
象
a
的
b
u
t
t
e
r
f
l
y
-
0
x
1
0
,
因
为
它
的
大
小
是
r
c
x
+
8
,
这
使
得
b
u
t
t
e
r
f
l
y
r
c
x
+
0
x
1
0
。
在
这
段
代
码
的
其
余
部
分
中
,
我
们
看
到
r
8
、
r
1
0
、
r
d
i
、
r
9
、
r
b
x
、
r
1
2
和
r
1
3
都
指
向
对
象
a
的
一
个
副
本
-
具
体
来
说
是
八
个
副
本
,
e
d
x
不
断
地
添
加
每
个
副
本
的
大
小
。
此
时
,
e
d
x
的
值
变
成
了
0
x
2
0
0
0
0
0
4
0
:
那
么
这
八
个
a
拷
贝
到
了
哪
里
呢
?
值
0
x
2
0
0
0
0
0
4
0
代
表
的
又
是
什
么
呢
?
重
新
看
看
P
o
C
:
这
意
味
f
变
成
了
:
f
通
过
扩
展
N
U
M
_
S
P
R
E
A
D
_
A
R
G
S
(
8
)
第
一
个
参
数
的
副
本
和
第
二
个
参
数
的
单
个
副
本
来
创
建
数
组
。
用
对
象
a
(
8
*
0
x
0
4
0
0
0
0
0
8
)
和
c
(
长
度
1
)
调
用
f
。
当
N
e
w
A
r
r
a
y
W
i
t
h
S
p
r
e
a
d
被
调
用
时
,
它
为
8
个
a
和
1
个
c
腾
出
了
空
间
。
最
后
一
步
到
显
示
对
象
c
的
长
度
,
这
使
得
最
终
的
e
d
x
值
为
0
x
2
0
0
0
0
0
4
1
。
下
一
步
应
该
是
长
度
的
分
配
,
它
发
生
在
e
m
i
t
A
l
l
o
c
a
t
e
B
u
t
t
e
r
f
l
y
(
)
中
。
我
们
注
意
到
s
h
l
r
8
d
,
0
x
3
的
溢
出
,
其
中
0
x
2
0
0
0
0
0
4
1
被
封
装
到
了
0
x
2
0
8
。
当
分
配
大
小
传
递
给
e
m
i
t
A
l
l
o
c
a
t
e
v
a
r
i
a
b
l
e
S
i
z
e
(
)
时
,
它
变
为
了
0
x
2
1
0
。
我
们
看
到
的
越
界
读
取
访
问
冲
突
发
生
在
m
o
v
q
w
o
r
d
p
t
r
[
r
c
x
+
8
*
r
s
i
]
,
r
8
的
以
下
代
码
片
段
中
。
这
个
代
码
片
段
的
问
题
是
用
错
误
的
大
小
0
x
2
0
0
0
0
0
4
1
反
向
迭
代
新
创
建
的
b
u
t
t
e
r
f
l
y
,
而
溢
出
后
的
实
际
大
小
是
0
x
2
1
0
。
然
后
,
它
将
每
个
元
素
归
零
,
但
由
于
内
存
中
的
实
际
大
小
远
小
于
0
x
2
0
0
0
0
0
4
1
,
因
此
在
A
S
A
N
构
建
中
发
生
了
了
越
界
访
问
冲
突
。
下
面
给
出
的
是
整
个
越
界
访
问
行
为
的
流
程
图
:
总
结
总
结
在
这
篇
文
章
中
,
我
们
对
W
e
b
K
i
t
版
本
v
2
4
0
3
2
2
中
的
一
个
越
界
访
问
漏
洞
进
行
了
深
入
分
析
,
这
个
漏
洞
是
一
个
价
值
五
万
五
千
美
金
的
漏
洞
利
用
链
中
的
一
部
分
。
P
w
n
2
O
w
n
上
出
现
的
漏
洞
往
往
都
是
行
业
内
较
为
优
质
的
漏
洞
,
而
本
文
所
分
析
的
这
个
漏
洞
也
不
例
外
。
在
日
常
的
漏
洞
研
究
过
程
中
,
我
也
希
望
大
家
能
够
学
会
使
用
1
1
d
b
,
如
果
大
家
有
更
多
关
于
该
漏
洞
的
想
法
,
可
以
直
接
在
我
的
推
特
上
艾
特
我
(
@
z
i
a
d
r
b
)
。
希
望
本
文
能
够
给
大
家
提
供
帮
助
!
*
参
考
来
源
:
参
考
来
源
:
t
h
e
z
d
i
,
,
F
B
小
编
小
编
A
l
p
h
a
_
h
4
c
k
编
译
,
转
载
请
注
明
来
自
编
译
,
转
载
请
注
明
来
自
F
r
e
e
B
u
f
.
C
O
M
精
彩
推
荐
精
彩
推
荐
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
漏洞