chrome sandbox escape case study and plaidctf2020 mojo writeup

mojo

Intro to Mojo & Services

mojo术语

message pipe是一对endpoints，对应通信的两端，每个endpoint保存一个传入消息队列，并且在一端写入消息可以有效地传送到另一端，因此message pipe是双向的。
一个mojom文件描述一组interfaces，其代表的是强类型的消息集合。
给定一个mojom接口和一条message pipe，可以将其中一端指定为Remote，用来发送该接口描述的消息，另一端指定为Recevier，用来接收接口的消息。
注意:上面的概括有点过于简化。请记住，消息管道仍然是双向的，mojom message有可能期望得到response，response是从Receiver端点发送的，并由Remote接收。
Receiver端必须和mojom接口的具体实现(implementation)相绑定，从而将收到的消息分发给对应的接口实现函数。

定义一个新的Frame Interface

假设我们想从render frame向其对应在browser进程里的RenderFrameHostImpl发送一个“Ping”消息，我们需要去定义一个mojom interface，创建一个pipe去使用这个interface，然后绑定好pipe的两端以发送和接收消息。

定义一个interface

第一步是去创建一个.mojom文件

// src/example/public/mojom/ping_responder.mojom
module example.mojom;

interface PingResponder {
  // Receives a "Ping" and responds with a random integer.
  Ping() => (int32 random);
};

对应创建一个build rule去生成c++ bindings

# src/example/public/mojom/BUILD.gn
import("//mojo/public/tools/bindings/mojom.gni")
mojom("mojom") {
  sources = [ "ping_responder.mojom" ]
}

创建pipe

现在，让我们创建一个消息管道以使用此接口。通常，为了方便起见，在使用Mojo时，接口的client（即remote）通常是创建新pipe的一方。这很方便，因为可以使用Remote来立即发送消息，而无需等待InterfaceRequest端点被绑定到任何地方。

// src/third_party/blink/example/public/ping_responder.h
mojo::Remote<example::mojom::PingResponder> ping_responder;
mojo::PendingReceiver<example::mojom::PingResponder> receiver =
    ping_responder.BindNewPipeAndPassReceiver();