PWN入门(四)——got表 / plt表 / 延迟绑定机制

于 2024-12-06 22:09:48 发布
阅读量895 收藏 18
点赞数 10
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jack_Grealish/article/details/144301325
版权
got表
GOT表的定义

定义:在编译链接过程中,当程序需要调用外部函数或者访问外部变量时,GOT 表(Global Offset Table)就起到了重要的作用。它是一个数据结构,用于存储外部符号(函数或者变量)的绝对地址。在可执行文件和共享库中,GOT 表是实现动态链接的关键部分。

存储内容:GOT 表中存储了程序所引用的外部函数和变量的地址。例如,在一个程序中调用了标准库中的printf函数,在动态链接的情况下,printf函数的实际地址会被存储在 GOT 表的相应条目中。这些地址是在程序运行时,由动态链接器(如 Linux 系统中的ld - linux.so)进行填充和更新的。

GOT 表在动态链接中的工作原理

延迟绑定机制与 GOT 表:为了提高程序的启动速度,动态链接采用了延迟绑定的技术。当程序开始运行时,对于外部函数的调用,最初 GOT 表中的相应条目并不包含实际的函数地址,而是包含一个指向动态链接器中特定代码(如plt[0]模块)的跳转指令。当程序第一次调用某个外部函数时,会通过这个跳转指令进入动态链接器的代码,动态链接器会解析该函数的实际地址,并将其填充到 GOT 表的相应条目中。之后的函数调用就可以直接通过 GOT 表中的实际地址进行跳转,而不需要再次进入动态链接器进行解析,这种机制大大提高了程序后续调用外部函数的效率。

与 PLT表的配合:在动态链接过程中,GOT 表和 PLT 表紧密配合。PLT 表主要用于实现函数调用的跳转逻辑。当程序调用一个外部函数时,首先会跳转到 PLT 表中的相应条目,PLT 表中的代码会检查 GOT 表中该函数地址是否已经解析。如果已经解析,就直接跳转到 GOT 表中的实际函数地址;如果尚未解析,就会触发动态链接器进行解析操作,然后更新 GOT 表并完成函数调用。例如,对于一个简单的 hello_world 程序调用 printf 函数的情况,PLT 表中有一个条目用于 printf 函数的调用跳转,它会先查看 GOT 表中 printf 函数的地址状态,然后根据情况进行处理。

GOT 表在安全领域的应用和相关攻击方式

GOT 表劫持攻击:这是一种恶意攻击手段。攻击者通过缓冲区溢出等漏洞,修改 GOT 表中的函数地址。例如,在一个存在缓冲区溢出漏洞的程序中,攻击者可以将 GOT 表中 strcpy 函数的地址修改为恶意函数的地址。当程序正常调用 strcpy 函数时,实际上会跳转到恶意函数,从而执行攻击者的恶意代码,如获取系统权限、窃取数据等。

保护机制和防范措施:为了防止 GOT 表被劫持,现代操作系统和编译器采取了多种安全措施。一种常见的方法是采用地址空间布局随机化(ASLR)技术,使 GOT 表在内存中的位置随机化,增加攻击者定位和修改 GOT 表的难度。另外,一些编译器还可以在编译时进行代码加固,如添加栈保护(如金丝雀值)等机制,减少缓冲区溢出等漏洞出现的可能性,从而间接保护 GOT 表的安全。

plt表
PLT表的定义与功能

定义:PLT 表(Procedure Linkage Table)是在动态链接过程中使用的一个重要数据结构。它主要用于实现函数调用的跳转逻辑,特别是针对外部函数(即位于共享库中的函数)的调用。在程序编译时,每个调用外部函数的地方都会在 PLT 中有一个对应的条目。

功能:当程序调用一个外部函数时,首先会跳转到 PLT 表中的相应条目。PLT 表中的代码会负责检查 GOT 表中该函数地址是否已经被解析。如果已经解析,就直接跳转到 GOT 表中的实际函数地址;如果尚未解析,就会触发动态链接器进行解析操作,然后更新 GOT 表并完成函数调用。这种机制使得程序能够在运行时正确地链接和调用外部函数。

PLT 表的结构和工作原理

结构示例(以 32 位 ELF 文件为例):

在 32 位 ELF(Executable and Linkable Format)文件格式下,PLT 表中的每个条目通常由一系列指令组成。以一个简单的调用 printf 函数为例,PLT 表中对应的 printf 条目可能包含以下类型的指令:

首先是一条跳转指令,它会跳转到下一条指令所在地址加上一个偏移量。这个偏移量指向的是一个 “桩(stub)” 代码部分,这个部分主要用于处理 GOT 表中函数地址的检查和解析。

在 “桩” 代码部分,会有指令去检查 GOT 表中对应函数(如printf)的地址。如果地址为 0(表示尚未解析),就会调用动态链接器的某个函数(如_dl_runtime_resolve)来解析函数地址,并将解析后的地址存储到 GOT 表中相应位置。

最后,“桩” 代码会跳转到 GOT 表中存储的函数地址,完成函数调用。

与 GOT 表的交互工作原理:

程序启动时,GOT 表中外部函数的地址可能尚未被解析。当程序第一次调用某个外部函数(如 system 函数)时,控制流首先转到 PLT 表中对应的 system 条目。PLT 表中的代码会发现 GOT 表中 system 函数的地址尚未被解析(可能是 0 或者一个特殊的标记值),于是它会调用动态链接器来查找 system 函数在共享库中的实际地址,将这个实际地址填充到 GOT 表中对应的 system 条目中。之后,再次调用 system 函数时,PLT 表中的代码检查 GOT 表发现地址已经解析,就直接跳转到 GOT 表中的 system 函数实际地址进行调用。

PLT 表在动态链接过程中的重要性

实现延迟绑定:PLT 表是实现延迟绑定机制的关键部分。延迟绑定允许程序在运行时才解析外部函数的地址,而不是在程序启动时就全部解析。这大大提高了程序的启动速度,因为很多外部函数可能在程序运行过程中根本不会被调用。通过 PLT 表和 GOT 表的协同工作,只有当一个外部函数第一次被调用时,才会花费时间去解析它的实际地址,后续调用就可以快速地通过已经解析好的 GOT 表地址进行。

支持动态库的更新和替换:在软件的维护和更新过程中,可能会更新或替换共享库。PLT 表和 GOT 表的设计使得程序能够适应这种变化。只要共享库中的函数接口(如函数名、参数类型和返回值类型等)保持不变,即使共享库的内部实现或者内存位置发生了变化,程序通过 PLT 和 GOT 表仍然能够正确地调用这些函数。因为动态链接器可以根据新的共享库情况重新解析函数地址并更新 GOT 表,而 PLT 表的跳转逻辑可以确保程序能够正确地使用这些更新后的地址。

延迟绑定机制
延迟绑定的定义和基本原理

定义:延迟绑定(Lazy Binding)是一种在程序运行过程中动态链接共享库函数的技术。它的核心思想是推迟对外部函数(位于共享库中的函数)的地址解析,直到程序首次调用该函数时才进行解析。这样做的主要目的是为了提高程序的启动速度,因为如果在程序启动时就对所有可能用到的外部函数进行地址解析,会花费大量时间,而且很多函数可能在程序运行过程中根本不会被调用。

基本原理:

在支持延迟绑定的系统中,当程序被编译和链接时,对于外部函数的调用,会涉及到两个重要的数据结构:PLT 表和 GOT 表。

PLT 表的作用:程序中的每个外部函数调用在 PLT 表中都有一个对应的条目。当程序调用一个外部函数时,首先会跳转到 PLT 表中的相应条目。PLT 表中的代码主要负责检查 GOT 表中该函数的地址是否已经被解析。

GOT 表的作用:GOT 表用于存储外部函数的实际地址。在程序开始运行时,GOT 表中外部函数对应的条目可能并没有填充实际的函数地址,而是包含一个指向动态链接器中特定代码(如 PLT [0] 模块)的跳转指令。

首次调用的解析过程:当程序第一次调用某个外部函数时,PLT 表中的代码发现 GOT 表中的函数地址尚未被解析,就会触发动态链接器进行解析操作。动态链接器会在共享库中查找该函数的实际地址,然后将其填充到 GOT 表的相应条目中。之后,PLT 表中的代码就可以直接跳转到 GOT 表中已经解析好的函数地址进行调用。

延迟绑定的优势

性能优化方面:

启动速度提升:如前所述,程序启动时不需要解析所有可能用到的外部函数地址,减少了程序启动阶段的时间开销。对于大型软件系统,尤其是那些依赖大量共享库的应用程序,这种启动速度的提升非常显著。例如,一个复杂的图形处理软件可能会依赖多个图形库和数学库,如果在启动时就对这些库中的所有函数进行地址解析,可能会使启动时间变得很长。而采用延迟绑定,只有在真正需要调用这些库中的函数时才进行解析,大大缩短了启动时间。

内存资源利用更高效:在程序运行过程中,如果某些外部函数始终没有被调用,那么就不需要为它们分配内存来存储解析后的地址。这有助于节省内存资源,特别是对于内存有限的系统或者长时间运行的服务程序来说,这种内存资源的有效利用非常重要。

软件维护和更新方面:

便于共享库更新:延迟绑定机制使得程序对共享库的更新更加灵活。当共享库中的函数实现或者内存布局发生变化时,只要函数接口(如函数名、参数类型和返回值类型等)保持不变,程序在运行时通过动态链接器可以重新解析函数地址并更新 GOT 表。这样,软件开发者可以更容易地更新共享库,而不需要重新编译整个程序。

延迟绑定的潜在问题和应对措施

潜在问题:

首次调用延迟开销:虽然延迟绑定可以提高程序的启动速度,但第一次调用某个外部函数时,由于需要进行地址解析操作,会产生一定的延迟。对于一些对实时性要求极高的应用场景,如实时控制系统,这种首次调用的延迟可能会影响系统性能。

安全性问题:在某些情况下,延迟绑定可能会被攻击者利用。例如,攻击者可能通过缓冲区溢出等漏洞,在动态链接器解析函数地址并填充 GOT 表的过程中进行攻击,篡改函数地址,从而导致程序执行恶意代码。

应对措施:

针对首次调用延迟开销:可以根据应用程序的具体需求,对一些关键的、经常在启动后不久就会被调用的外部函数,采用预解析的方式。即在程序启动后的空闲时间或者初始化阶段,提前解析这些函数的地址,避免在关键时刻出现首次调用延迟。

针对安全性问题:采用多种安全机制来防范攻击。如地址空间布局随机化(ASLR),使程序的内存布局(包括 GOT 表的位置)随机化,增加攻击者预测和篡改函数地址的难度。还可以使用栈保护技术,如金丝雀(Canary)值,防止缓冲区溢出等漏洞的出现,间接保护延迟绑定过程的安全。

辗迟22
关注
动态链接过程延迟绑定的实现(PLT
Virtual_Func的博客
09-28 5063
动态链接比静态链接要慢1%~5%,根据动态链接中PIC(与地址无关代码)的原理PIC,可以知道造成该情况的原因如下: 1.动态链接下对于全局和静态数据的访问都要进行复杂的GOT(全局偏移)定位,然后间接寻址;对于模块间的调用也要先定位GOT,然后再进行跳转 2.动态链接的链接工作是在运行时完成,即程序开始运行时,动态链接器都要进行一次链接工作,而链接工作需要复杂的重定位等工作,减慢了启动速度
PWN基础15:GOTPLT
prettyX的博客
07-18 2881
今天来学习GOTPLT 操作系统通常使用动态链接的方法来提高程序运行的效率。在动态链接的情况下,程序加载的时候并不会把链接库中所有函数都一起加载进来,而是程序执行的时候按需加载,如果有函数并没有被调用,那么就不会再程序中被加载进来。 现代操作系统不允许修改代码段,只能修改数据段,那么GOTPLT就应运而生。 参考 https://zhuanlan.zhihu.com/p/130271689 ...
GOTPLT知识详解
boazheng的博客
02-12 2981
GOTGOTPLTPLT在程序中的作用非常巨大,接下来的讲解希望大家可以仔细看看 我们用一个非常简单的例子来讲解,代码如下: 图1 然后我们编译 我们直接gdb./a.outgdb./a.out来进行反编译处理,然后通过disasmaindisasmain查看mainmain函数中的反编译代码如下: 图3 我们可以观察到gets@pltgets@plt和puts@pltp...
延迟绑定PLT
kayshi的博客
04-10 1177
ELF动态连接时,会PLT(procesure linkage table)的方式来进程链接其他模块的函数。就时不会把所有的函数都链接号,而是在第一次去调用的时候区连接 #include<stdio.h> #include<stdlib.h> int main(int argc, char **argv) { puts("Hello World\n"); ...
GOTPLT
qq_52126646的博客
08-08 4012
GOTPLT 文章目录GOTPLT前言一、GOT二、PLT总结 前言 程序对于外部函数的调用需要在生成可执行文件时将外部函数链接到程序中,(C语言应该讲过)链接的方式分为静态链接和动态链接。 静态链接得到的可执行文件包含外部函数的全部代码,动态链接得到的可执行文件中并不包含外部函数的代码,而是运行时将动态链接库(若干外部函数的集合)加载到内存的某个位置,再在发生调用时去链接库定位所需的函数。 怎么理解呢,这里打个比喻,静态链接是给你一件成品武器,调用时直接整个武器都已经组装好了到你手里,动
GOT PLT
最新发布
m0_57836225的博客
07-28 1556
同时,由于代码段通常是只读的,不能直接修改,而 GOT 位于数据段是可写的,这样就可以在数据段中进行地址的存储和修改,而不会违反代码段的访问权限限制。此外,通过使用 PLTGOT 机制,还可以实现多个进程共享同一个共享对象的代码段,同时保持数据段的独立副本,节省了内存空间。这样,当下次再调用该函数时,从 GOT 中获取的就是函数的真实地址,直接跳转到该地址执行函数,而无需再次进行查找和重定位的过程,提高了程序的执行效率。2. 接下来会执行一些特定的指令,例如压栈操作,将一些必要的参数准备好。
PLT延迟绑定技术
、moddemod
05-31 726
动态链接的链接工作在运行时完成,即程序开始执行时,动态链接器要先进行一次链接工作。 由于程序模块之间包含了大量的函数引用,所以在程序开始执行之前,动态链接会耗费不少时间用于解决模块之间的函数引用的符号查找以及重定位。 由于程序的局部性原理,在一个程序的运行的过程中,往往不是所有的函数都能用到,相反在大量的符号中,只有少部分会用到,所以如果在程序一开始的时候就把所有的函数都链接好然而最后又没有用到,这很明显是一种浪费,所以就出现的延迟绑定的概念。 基本思想就是:函数不是程序运行之前就全部进行链接工作,而是在用
pltgot延迟绑定(Lazy Binding)
qq_36963214的博客
11-09 1530
准备 实验环境 Ubuntu-Desktop 18.04 $ uname -a Linux ubuntu 5.4.0-48-generic #52~18.04.1-Ubuntu SMP Thu Sep 10 12:50:22 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux so.2.27 源码 源码程序如下,我将其命名为plt.c #include<stdio.h> int main() { puts("learning plt and got!\n");
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got利用
ARM架构下的程序重定位机制利用.got和.plt来确保外部函数调用的正确性,.got存储了所有需要修正的地址信息,而.plt则在程序启动时帮助初始化这些地址。特别地,__libc_init_ptr是与plt相关的.got项,它存放着...
PLTGOT
qq_40026795的博客
06-25 577
最近做pwn的题目,遇到了PLTGOT的问题,查阅了很多资料,最后有了自己的一点理解,记录下来以便以后的学习,以下为调用libc动态库的情况。以下内容均为个人理解,欢迎大佬批评指正。 主要参考网址:CTF|pwn栈溢出入门题level3解题思路及个人总结 GOT GLOBAL_OFFSET_TABLE:全局偏移量 主要分为头部,前两项和之后的项 头部即GOT[0],包含.dynam...
【Web狗自虐系列1】Pwn入门之初级ROP
就这样吧
07-06 1086
栈式一种典型的后进先出的数据结构,其操作主要有压栈(push)与出栈(pop)两种操作压栈与出栈都是操作的栈顶高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存函数调用信息和局部变量。程序的栈是从进程地址空间的高地址向低地址增长的。
延迟绑定 PLT
a2234503831b的博客
03-23 581
延迟绑定 PLT 测试代码:main.c void func1(int i){ printf("%d\n",i); } int main() { func1(static_var + static_var2 + a + b); return a; } $ gcc -g main.c -o main $ objdump -d main Disassembly of section .p...
延迟绑定pwn第三课)
s5555555___的博客
02-20 1263
xo.01 延迟绑定原理延迟绑定(Lazy Binding)是动态链接器用来减少程序启动时间的一种技术。延迟绑定就是在函数第一次被调用的时候再和函数地。xo.02 pltgotgotplt都是程序调用外部函数时,定位该函数需要使用到的got(Global Offset Table)是全局偏移量,这是链接器在执行链接时需要填充的部分,保存了所有外部符号的地址信息。
Python闭包的延迟绑定机制
Debug yourself!
07-26 276
原题链接https//www.nowcoder.com/questionTerminal/753b96e3e5764faea18c500baf32b872。我认为t中的两个lambda函数是不同的,但是因为闭包的延迟绑定机制,它们是一样的,而且其中的i还是循环结束时的2,因此两次运行f(2)得到的都是4。我们看到添加到result中的func始终是同一个func,因此其中的i都是相等的,是最后一次循环中的i。我选了D,但是答案是A。...
【转载】Pwn基础:PLT&GOT以及延迟绑定机制
gclome的博客
04-01 1334
原文链接:Pwn基础:PLT&GOT以及延迟绑定机制 找了好多篇相关文章,这篇文章说的非常详尽,索性就转载到自己的博客里,以防以后找不到,如有侵权还请作者联系删除。 Linux 动态链接 关于动态链接与静态链接,可以打个比方就是:如果我的文章引用了别人的一部分文字,在我发布文章的时候把别人的段落复制到我的文章里面就属于静态连接,而给链接让你们自己去找着看就属于动态链接了 PLT&...
5.pwn Linux的延迟绑定机制
2301_80361487的博客
07-07 842
我们程序开发过程中都会用到系统函数,比如read,write,open等等这些系统函数不需要我们实现,因为系统已经帮你完成这些工作,只需要调用即可,存放这些函数的库文件就是动态链接库。
动态链接(二) 延时绑定PLT
carltraveler的专栏
07-08 1138
基本问题:动态链接比静态链接慢的主要原因是动态链接下对于全局和静态和数据访问都要进行复杂的GOT定位,然后进行间接寻址。还有各种的动态重定位。 1>延时绑定的基本思想:函数在被第一次用到时才进行绑定(符号查找,重定位等),没有用到则不绑定。具体elf用plt实现。真正用到的函数_
PLT&GOT以及延迟绑定机制
Sakura给爷pwn全场
10-31 282
https://mp.weixin.qq.com/s?__biz=MzU5OTU3NDEzOQ==&mid=2247484367&idx=1&sn=8303e2efdcc817e43a0973c2768d36d7&chksm=feb390dbc9c419cd89b304489454e52f1d1c82d3725f4a5951af97df72921083055f0be1e890&mpshare=1&scene=23&srcid=0401NIjTxyVk8
延迟绑定
farmwang的专栏
06-21 342
(gdb) x/w  0x8049578   0x8049578 :   0x080482c2    从上面可以看出,这个地址就是GOT中的一项。它里面的内容是0x80482c2,即puts@plt中的第二条指令。 前面我们不是提到过,GOT中这里本应该是puts函数的地址才对,那为什么会这样呢? 原来链接器在把所需要的共享库加载进内存后,并没有把共享库中的函数的地址写到
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值