栈溢出 利用虚函数

Posted 2020-11-28 jf-blog

环境

　　win10　　vs2017　　Release   x86

突破GS

　　禁用DEP,ALSR

　　使用安全函数，不然会报错，要是禁用SDL，GS也会被禁掉。（反正我没搞定，不过好像也没啥影响，安全函数也阻止不了我写bug）

　　1.虚函数的调用

　　　　①首先，虚函数的地址保存在虚函数表，虚函数表的地址保存在类对象前四个字节。

　　　　vs中调试，监视对象，很明显。

 

　　　　②进入汇编层面，用od调试：

　　　　　　调用gsv函数前，有两个参数，一是shellcode地址，一是this指针

　

 

　　　　进入gsv函数：

　　　　很明显，虚函数表保存在ebp+0xc,容器起始地址在ebp-0xd0+4,而复制了250字节(注：0xd0 = 208,后面还有三个push)

　　　　虚函数表就被覆盖了。

 　　

 

 　　　　由于虚表被覆盖，再取虚函数地址时就出错了

　　

 

 　　2.总结

　　　　数组在ebp-0xCC,覆盖位置在 ebp+c,在数组第216个字节被覆盖。

　　3.构建POC

　　　　先来简单点的，栈地址恒定的。

　　　　在被覆盖位置填上指定地址，指定地址里面填入pop pop retn的地址，shellcode最前面四个字节是jmp esp 地址。

　　　　shellcode弹框的部分我是抄的书上的，难的是确定栈内数据位置。（其实也不难，可能我菜吧）