|
// here we go, call the vulnerable setter
_cnt = _arLen2-6;
_ar[_cnt].opaqueBackground = _mc;
从第6节的set_opaqueBackground可以看到设置属性时会对参数调用
avmplus::AvmCore::integer进行转换时会调用valueOf函数,这里调用触发UAF,可以直接对set_opauebackgroud函数下断,跟踪avmplus::AvmCore::integer获取到valueOf的jit code
In valueOf2
|
|