注册
登录
二进制漏洞
C ++转换为基础和“覆盖”vptr问题
返回
C ++转换为基础和“覆盖”vptr问题
作者:
哦豁
发布时间:
2025-02-06 04:01:38 (1天前)
转自:
<p> <br/> 我刚刚阅读了一个新的C ++挑战:<br/><a href="http://blogs.msdn.com/b/vcblog/archive/2014/02/04/challenge-">http://blogs.msdn.com/b/vcblog/archive/2014/02/04/challenge-</a><br/> <br/> 弱势<br/> </跨度><br/> -code.aspx</p><p>提供的代码如果充满问题,对于任何有良好 实例的人来说都是显而易见的(实际上它是unique_ptr)并且<br/> <br/> 二进制<br/> </跨度><br/> 它被视为可执行(可能是恶意的)代码。</p><p>虽然我能理解这一点,但我想知道为什么这确实有效。</p><p>CustomImage是<br/> <br/></p>
收藏
举报
3 条回复
0#
回复此人
关于贤的记忆
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 据推测,内存布局使得vptr位于基础子对象之前,如下所示: </p> <pre> <code> class CustomImage { void * __vptr; Image __base; // empty unique_ptr<whatever> evil; }; </code> </pre> <P> 这意味着有效的转换 <code> Image* </code> 至 <code> CustomImage* </code> 需要从指针中减去几个字节。但是,你发布的邪恶演员出现在类定义之前,所以它不知道如何正确调整指针。相反,它的行为就像 <code> reinterpret_cast </code> ,只是假装指针指向 <code> CustomImage </code> 没有调整它的价值。 </p> <P> 现在,由于基类是空的,指针在里面 <code> unique_ptr </code> 将被误解为vptr。这指向另一个指针,它将被误解为vtable指向第一个虚拟成员函数的指针。这又指向从文件加载的数据,当调用该虚函数时,该数据将作为代码执行。作为锦上添花,内存保护标志从文件加载,而不是调整以防止执行。 </p> <P> 这里的一些教训是: </p> <UL> <LI> 避免使用C风格的强制转换,特别是在指针或引用类型上。他们回归 <code> reinterpret_cast </code> 如果转换无效,则导致未定义行为的雷区。 (为了使邪恶复杂化,它们的语法也是不可替代的,如果你不仔细阅读代码,很容易错过。) </LI> <LI> 避免使用非多态基类。除了在概念上可疑,并使删除更加笨拙和容易出错,它可以为我们在这里看到的内存布局做出令人惊讶的事情。如果基类是多态的,我们可以使用 <code> dynamic_cast </code> (或通过提供合适的虚函数完全避免演员表),不可能进行无效转换。 </LI> <LI> 避免不必要的间接级别 - 没有特别需要 <code> m_imageData </code> 成为一个指针。 </LI> <LI> 切勿将用户数据放入可执行内存中。 </LI> </UL> </DIV>
编辑
1#
回复此人
逆转的风
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我的看法(我很高兴得到纠正): </p> <P> 这里, <code> CustomImage </code> 是一个多态类(使用vptr作为Windows ABI下的第一个“成员”),但是 <code> Image </code> 不是。定义的顺序意味着 <code> ImageFactory </code> 功能知道 <code> CustomImage </code> <EM> 是一个 </EM> <code> Image </code> 但是 <code> main() </code> 才不是。 </p> <P> 所以当工厂做的时候: </p> <pre> <code> Image* ImageFactory::LoadFromDisk(const char* imageName) { return new (std::nothrow) CustomImage(imageName); } </code> </pre> <P> 该 <code> CustomImage* </code> 指针转换为 <code> Image* </code> 一切都很好。因为 <code> Image </code> 不是多态的,指针调整为指向(POD) <code> Image </code> 里面的实例 <code> CustomImage </code> - 但很可是,这是 <EM> 后 </EM> vptr,因为它总是在MS ABI中的多态类中首先出现(我假设)。 </p> <P> 但是,当我们到达时 </p> <pre> <code> ImageFactory::DebugPrintDimensions((ImageFactory::CustomImage*)image); </code> </pre> <P> 编译器从一个类中看到一个C风格的转换,它对另一个类一无所知。它只需要获取它拥有的地址并假装它是一个 <code> CustomImage* </code> 代替。这个地址实际上指的是 <code> Image </code> 在自定义图像内;但是因为 <code> Image </code> 是空的,并且可能是空基类优化有效,它最终指向其中的第一个成员 <code> CustomImage </code> ,即 <code> unique_ptr </code> 。 </p> <P> 现在, <code> ImageFactory::DebugPrintDimensions() </code> 假设它已被指向一个完全完整的指针 <code> CustomImage </code> ,以便地址等于的地址 <code> vptr </code> 。但它没有 - 它已被交给了地址 <code> unique_ptr </code> ,因为在调用它的时候,编译器不知道更好。所以现在它取消引用它认为是vptr(实际上是我们控制的数据)的内容,寻找虚函数的偏移并盲目地解释 - 现在我们遇到了麻烦。 </p> <P> 有几件事可以帮助缓解这个问题。首先,因为我们通过基类指针操作派生类, <code> Image </code> 应该有一个虚拟析构函数。这本来就是 <code> Image </code> 多态,并且很可能我们不会遇到问题(我们也不会泄漏内存)。 </p> <P> 其次,因为我们是从基础派生到派生的, <code> dynamic_cast </code> 应该使用而不是C样式转换,这将涉及运行时检查和正确的指针调整。 </p> <P> 最后,如果编译器在编译时拥有所有要处理的信息 <code> main() </code> ,它可能能够警告我们(或正确地执行演员,调整的多态性 <code> CustomImage </code> )。所以移动上面的类定义 <code> main() </code> 也是推荐的。 </p> </DIV>
编辑
登录
后才能参与评论
