在C++中，结构体（struct）和类（class）十分相似，其中class可以定义访问控制public、private、protected，而结构体struct默认访问控制是private，对访问控制的检查在编译阶段，编译成功后，程序的执行过程不涉及访问控制的任何检查和限制。因此从反汇编角度来看二者没有分别。（参考书目：《C++反汇编与逆向分析技术揭秘》 PS：支持正版还是纸质的看着舒服）

0x00 C++类的内存布局

示例代码

其中静态变量是不存储在对象的结构体中的，成员变量的布局则涉及到内存的对齐：

int 4字节对齐 字符串不对齐 整型数组对齐

0x01 溢出覆盖虚表执行shellcode

实验环境 ：

操作系统：Windows 7

编译器   ： VS2008

选项       ：GS enabled（关闭DEP/ASLR）

漏洞代码：

使用Ollydbg进行调试：

实例化对象后寄存器eax的值为0x18ff40，即对象在栈中的起始地址：

根据之前的知识0x4010a0是虚函数的地址

F4执行到strcpy的循环结束之后

此时在栈中的0x18FE64发现了我们拷贝的"\x90\x90\x90\x90"，即我们输入数据的起始地址。

接着将去执行虚函数

通过eax、edx进行了二次寻址，即：对象首地址-->虚表地址-->虚函数地址。

程序从0x18ff40查询虚表的地址，而如果我们的输入足够长（0x18ff40-0x18fe64=224），将覆盖0x18ff40地址处的内容，从而可以伪造虚表进而控制程序流程。

这里使用msfvenom生成shellcode：

基本的参数选择：msfvenom  

-p <payload>  <参数说明>                 #选择payload类型，例如reverse_tcp、exec

-a <arch>                                           # x86 or x64

-platform <...>                                    #选择平台，例如windows、python、android

-b <bad-chars>                                  #避免'\x00'  ，'\x0a'等防止截断

-e <encoder>                                     #可选xor等编码方式，免杀

-f <format>                                         #shellcode的格式，这里选择c语言

除此之外还有很多定制选项，用来适应各种具体情况。这里选择一个简单的弹计算器的shellcode

msfvenom -p windows/exec cmd=calc -b '\x00' -f c                    

生成了216bit的shellcode，填充上'\x90\x90\x90\x90"，最后加上”\x3c\xff\x18"。注意车里字符串拷贝用的是strcpy，“\x00”会造成截断，所以中间所有的地址都不能出现0x00XXXXXX这样的地址。只有末尾可以通过部分覆盖把对象中的虚表地址覆盖为0x0018ff3c。如此接下来程序将会跳转到0x18ff3c中的地址执行：

剩下要做的就是找到一系列指令来跳转到shellcode起始处执行，以及地址中不能出现“\x00"。

这时的思路主要就是观察寄存器以及栈附近的数据，

通用寄存器

寄存器中最接近的地址也只是0x18fe50，距离目标地址0x18fe64还有不小距离。

想来想去各种跳都一筹莫展，其实此时栈中：

call eax之后会压入一条返回地址，只需要一条 pop pop retn就会跳到0x18fe64去执行！

还是用《0day软件安全分析技术》书中给的插件OllyFindAddr去寻找一条ppr指令序列，并替换掉原本暂时填充的\x90\x90\x90\x90。

WOW！