内存中的C++类(对象) & 覆盖虚函数攻击(GS enable)

       在C++中,结构体(struct)和类(class)十分相似,其中class可以定义访问控制public、private、protected,而结构体struct默认访问控制是private,对访问控制的检查在编译阶段,编译成功后,程序的执行过程不涉及访问控制的任何检查和限制。因此从反汇编角度来看二者没有分别。(参考书目:《C++反汇编与逆向分析技术揭秘》 PS:支持正版还是纸质的看着舒服)

0x00 C++类的内存布局

内存中的C++类(对象) & 覆盖虚函数攻击(GS enable)_第1张图片
示例代码


内存中的C++类(对象) & 覆盖虚函数攻击(GS enable)_第2张图片

其中静态变量是不存储在对象的结构体中的,成员变量的布局则涉及到内存的对齐:

内存中的C++类(对象) & 覆盖虚函数攻击(GS enable)_第3张图片
int 4字节对齐


内存中的C++类(对象) & 覆盖虚函数攻击(GS enable)_第4张图片
字符串不对齐


内存中的C++类(对象) & 覆盖虚函数攻击(GS enable)_第5张图片
整型数组对齐

0x01 溢出覆盖虚表执行shellcode

实验环境 :

操作系统:Windows 7

编译器   : VS2008

选项       :GS enabled(关闭DEP/ASLR)

漏洞代码:

内存中的C++类(对象) & 覆盖虚函数攻击(GS enable)_第6张图片

使用Ollydbg进行调试:

内存中的C++类(对象) & 覆盖虚函数攻击(GS enable)_第7张图片

实例化对象后寄存器eax的值为0x18ff40,即对象在栈中的起始地址:

根据之前的知识0x4010a0是虚函数的地址

F4执行到strcpy的循环结束之后

内存中的C++类(对象) & 覆盖虚函数攻击(GS enable)_第8张图片

此时在栈中的0x18FE64发现了我们拷贝的"\x90\x90\x90\x90",即我们输入数据的起始地址。

接着将去执行虚函数

通过eax、edx进行了二次寻址,即:对象首地址-->虚表地址-->虚函数地址。

程序从0x18ff40查询虚表的地址,而如果我们的输入足够长(0x18ff40-0x18fe64=224),将覆盖0x18ff40地址处的内容,从而可以伪造虚表进而控制程序流程。

这里使用msfvenom生成shellcode:

基本的参数选择:msfvenom  

-p   <参数说明>                 #选择payload类型,例如reverse_tcp、exec

-a                                            # x86 or x64

-platform <...>                                    #选择平台,例如windows、python、android

-b                                   #避免'\x00'  ,'\x0a'等防止截断

-e                                      #可选xor等编码方式,免杀

-f                                          #shellcode的格式,这里选择c语言

除此之外还有很多定制选项,用来适应各种具体情况。这里选择一个简单的弹计算器的shellcode

msfvenom -p windows/exec cmd=calc -b '\x00' -f c                    

生成了216bit的shellcode,填充上'\x90\x90\x90\x90",最后加上”\x3c\xff\x18"。注意车里字符串拷贝用的是strcpy,“\x00”会造成截断,所以中间所有的地址都不能出现0x00XXXXXX这样的地址。只有末尾可以通过部分覆盖把对象中的虚表地址覆盖为0x0018ff3c。如此接下来程序将会跳转到0x18ff3c中的地址执行:

内存中的C++类(对象) & 覆盖虚函数攻击(GS enable)_第9张图片

剩下要做的就是找到一系列指令来跳转到shellcode起始处执行,以及地址中不能出现“\x00"。

这时的思路主要就是观察寄存器以及栈附近的数据,

内存中的C++类(对象) & 覆盖虚函数攻击(GS enable)_第10张图片
通用寄存器

寄存器中最接近的地址也只是0x18fe50,距离目标地址0x18fe64还有不小距离。

想来想去各种跳都一筹莫展,其实此时栈中:

内存中的C++类(对象) & 覆盖虚函数攻击(GS enable)_第11张图片

call eax之后会压入一条返回地址,只需要一条 pop pop retn就会跳到0x18fe64去执行!

还是用《0day软件安全分析技术》书中给的插件OllyFindAddr去寻找一条ppr指令序列,并替换掉原本暂时填充的\x90\x90\x90\x90。

内存中的C++类(对象) & 覆盖虚函数攻击(GS enable)_第12张图片
WOW!

你可能感兴趣的:(内存中的C++类(对象) & 覆盖虚函数攻击(GS enable))