PSFree漏洞利用原理：JavaScript如何操控WebKit内存布局

PSFree是一款针对PS4（6.xx至9.60系统版本）和PS5（1.xx至5.xx系统版本）的WebKit漏洞利用工具，通过CVE-2022-22620漏洞实现对内存的任意读写操作。本文将深入浅出地解析其核心原理，揭示JavaScript如何突破浏览器沙箱限制，操控WebKit内存布局的全过程。

一、WebKit漏洞的核心：从理论到实践

WebKit作为现代浏览器的核心引擎，负责解析HTML、CSS和JavaScript。PSFree利用的CVE-2022-22620漏洞源于WebCore模块中SerializedScriptValue对象的use-after-free（释放后使用）缺陷。当特定类型的数据序列化过程中，对象被错误地提前释放，而后续代码仍试图访问该内存区域，为攻击者提供了内存 corruption的突破口。

1.1 漏洞触发点解析

在psfree.mjs的核心逻辑中，漏洞触发依赖于精心构造的JavaScript对象操作：

// WebCore::SerializedScriptValue use-after-free
// 触发条件：特定类型数组的序列化与释放时序问题

通过构造包含循环引用的对象，结合postMessage等API触发序列化流程，可诱导WebKit释放已分配内存却未清除引用，形成悬垂指针。

二、JavaScript内存操控三部曲

2.1 漏洞利用前置条件

成功利用漏洞需满足两个关键条件：

• 精准内存布局：通过chain.mjs中的堆喷射技术，在内存中构建可预测的对象布局
• 版本适配：针对不同WebKit版本调整偏移量，如offset.mjs中定义的WebKit特定内存地址

2.2 实现任意读写的技术路径

PSFree通过三级跳实现完整控制：

1. 漏洞触发：利用SerializedScriptValue的UAF缺陷获取初始内存控制权
2. 堆喷射强化：通过memtools.mjs中的内存工具函数构造可控内存区域
3. 读写原语构建：最终在psfree.mjs中完成任意内存读写能力：

   log('STAGE: achieve arbitrary read/write primitive');
   

三、实战视角：关键模块协同工作

3.1 内存工具模块（module/memtools.mjs）

该模块封装了WebKit内存操作的核心方法，例如基于JSArrayBufferView的内存视图操作：

// WebKit/Source/JavaScriptCore/runtime/JSArrayBufferViewInlines.h
// 内存读写的底层实现

通过模拟WebKit内部内存布局，实现对JavaScript引擎内存的精细化控制。

3.2 漏洞利用主流程（psfree.mjs）

主程序通过以下阶段完成漏洞利用：

• 环境探测：识别WebKit版本并加载对应偏移量
• 漏洞触发：构造恶意对象触发UAF
• 内存接管：建立稳定的读写原语
• 代码执行：通过ROP链（rop/900.mjs）绕过内存保护机制

四、安全边界突破：从浏览器到系统控制

WebKit作为用户态进程，其漏洞本身无法直接获取系统权限。PSFree通过以下策略实现突破：

1. 内核函数泄露：利用send.mjs中的模块 dumping 功能，获取libSceNKWebKit.sprx等核心模块信息
2. ROP链构造：在rop/900.mjs中预定义针对特定系统版本的返回导向编程链
3. 权限提升：通过内核漏洞进一步获取系统级访问权限

五、防护与检测：如何应对此类漏洞

对于普通用户，建议：

• 及时更新系统固件至最新版本
• 避免访问来源不明的PS4/PS5网页应用
• 禁用浏览器JavaScript执行（仅适用于非必要场景）

开发者可通过以下方式增强防护：

• 启用WebKit的内存安全特性（如地址空间布局随机化）
• 定期审计依赖的WebKit版本安全公告
• 实施内存使用后的零化处理（参考mem.mjs中的安全实践）

结语

PSFree漏洞利用展示了JavaScript在特定条件下对系统底层的操控能力，也揭示了浏览器引擎作为攻击面的重要性。理解其原理不仅有助于提升漏洞防护意识，更为Web安全研究提供了宝贵的实践案例。随着主机系统安全机制的不断强化，这类漏洞的利用难度将持续增加，但对内存安全的研究始终是攻防对抗的核心领域。