pwnable.kr之uaf && c++虚函数

c++的逆向还是要熟悉下。

一、关于c++虚函数

虚函数使得c++能够实现多态,每个类有一个虚表,每个对象在实现的时候如果重新实现了虚函数,则修改虚表中对应的指针,否则将调用原本指针指向的函数。

在gdb中调试看看:

这里是Man对象实现的位置,先通过new从堆中申请了一块大小为0x18的空间,然后调用构造函数。gdb在0x400f00处下断:

执行外new后通过rax的值我们得知分配的地址为0x614c50,继续n直到执行完构造函数,此时再查看对象Man的结构:

其中0x19是年龄的整型数,0x614c38存放的是姓名字符串"Jack",那么0x401570呢?

ida中已经有了注释这是Man的vtable也就是传说中的虚表,而后面对Man::introduce的调用:

*v13+8即为Man结构体的第一项0x401570再加8,从而调用了introduce函数。

二、get shell

uaf的思路就是先选功能3,执行delete(Man)  、delete(Woman),接着再选2,申请两块大小为0x18的空间,此时分配给我们的空间就是原本应该属于Woman和Man的空间。

这里需要两个命令行参数,第一个是读取的字节数,第二个是读取的文件,这里把字节数设为0x18,则文件内容就会覆盖Man和Woman的结构体,从而可以修改虚表,从而执行give_shell (0x40117a)

先找到一块指向0x40117a的内存(其实也就是虚表中的项)

记得虚表第一项是give_shell的地址,功能1调用的introduce是第二项,需要+8,反过来我们需要构造-8

python -c "print '\x48\x15\x40\x00\x00\x00\x00\x00'+'A'*16" > data 

功能1调用虚函数introduce时,实际上调用

 0x614c50 --->  0x401548  

0x401548+8 --->0x40117a

getshell!

PS:最后还遇到一个小坑,ssh过去之后直接>data没有权限,最后查到是要写到/tmp/路径下

— — " linux下的tmp目录是一个系统产生临时文件的存放目录,其权限是drwxrwxrwt(777),就是对每个用户都可以对他进行读写操作 "

鶸泪目。

你可能感兴趣的:(pwnable.kr之uaf && c++虚函数)