_dl_runtime_resolve

最新推荐文章于 2022-10-17 19:55:25 发布
最新推荐文章于 2022-10-17 19:55:25 发布
阅读量2.1k 收藏 4
点赞数
分类专栏: gcc


  • _dl_runtime_resolve是怎么知要查找printf函数的
  • _dl_runtime_resolve找到printf函数地址之后,它怎么知道回填到哪个GOT表项
  • 到底_dl_runtime_resolve是什么时候被写到GOT表的
前2个问题,只需要一个信息就可以了知道,这个信息就在藏在在函数对应的xxx@plt表中,以foo@plt为例: 

0000000000400590 <foo@plt>:
  400590:	ff 25 92 0a 20 00    	jmpq   *0x200a92(%rip)        # 601028 <_GLOBAL_OFFSET_TABLE_+0x28>
  400596:	68 02 00 00 00       	pushq  $0x2
  40059b:	e9 c0 ff ff ff       	jmpq   400560 <_init+0x20>

第二条指令就是秘密所在,每个xxx@plt的第二条指令push的操作数都是不一样的,它就相当于函数的id,动态链接器通过它就可以知道是要解析哪个函数了。

真有这么神吗?这不是神,是编译链接器和动态链接器故意安排的巧合罢了。

使用readelf -r test命令可以查看test可执行文件中的重定位信息,其中.rel.plt这一段就大有秘密:

Relocation section '.rela.dyn' at offset 0x4e0 contains 1 entries:
  Offset          Info           Type           Sym. Value    Sym. Name + Addend
000000600ff8  000300000006 R_X86_64_GLOB_DAT 0000000000000000 __gmon_start__ + 0

Relocation section '.rela.plt' at offset 0x4f8 contains 3 entries:
  Offset          Info           Type           Sym. Value    Sym. Name + Addend
000000601018  000200000007 R_X86_64_JUMP_SLO 0000000000000000 __libc_start_main + 0
000000601020  000300000007 R_X86_64_JUMP_SLO 0000000000000000 __gmon_start__ + 0
000000601028  000400000007 R_X86_64_JUMP_SLO 0000000000000000 foo + 0



再看看各函数plt指令中的push操作数: 
printf对应push 0x0 
gmon_start对应push 0x8 
__libc_start_main对应push 0x10

这3个push操作数刚好对应3个函数在.rel.plt段的偏移量。在_dl_runtime_resolve函数内,根据这个offset和.rel.plt段的信息,就知道要解析的函数。再看看.rel.plt最左边的offset字段,它就是GOT表项的地址,也即_dl_runtime_resolve做完符号解析之后,重定位回写的空间。

第三个问题:到底_dl_runtime_resolve是什么时候被写到GOT表的。 
答案很简单,可执行文件在Linux内核通过exeve装载完成之后,不直接执行,而是先跳到动态链接器(ld-linux-XXX)执行。在ld-linux-XXX里将_dl_runtime_resolve地址写到GOT表项内。

事实上,不单单是预先写_dl_runtime_resolve地址到GOT表项中,在i386架构下,除了每个函数占用一个GOT表项外,GOT表项还保留了3个公共表项,也即got的前3项,分别保存:

got[0]: 本ELF动态段(.dynamic段)的装载地址 
got[1]:本ELF的link_map数据结构描述符地址 
got[2]:_dl_runtime_resolve函数的地址

动态链接器在加载完ELF之后,都会将这3地址写到GOT表的前3项。 
其实上述公共的plt指令里面,还有一个操作数是没有分析的,其实它就是got[1](本ELF的link_map)地址,因为只有link_map结构,结合.rel.plt段的偏移量,才能真正找到该elf的.rel.plt表项。

有兴趣的读者可以使用gdb,在执行到main函数时,将GOT表的这3项数据看一下,验证一下。

好了,谈到这里是否对PLT和GOT机制有个更清晰认识了呢?最后一篇会使用图文结构将整个PLT/GOT机制串起来。



Farmwang
关注
专栏目录
glibc动态链接器dl_runtime_resolve简要分析
Hello World.c
05-05 3104
dl_runtime_resolve简要分析 资料 glibc 2.9 source linux elf 手册 &各种百度搜索 基于32位elf,64位一些结构会略有不同,新手学习,如果有理解错误,请师傅们帮忙指出。 elf执行时动态绑定简要分析 动态链接的过程 动态链接中起到核心作用的是got节和plt节,链接器为所有共享目标文件(shared object)中未定义的(undef)外部...
详细解析ret2_dl_runtime_resolve
qq_36495104的博客
05-11 961
先放几个学习的链接 CTF-wiki 高级ROP ret2dl_runtime 之通杀详解 聊聊动态链接和dl_runtime_resolve ELF的学习参考 程序员的自我修养 看了上面的以及一些没有放出来的仍然没有很好地理解这个攻击技巧 延迟绑定 这里直接贴程序员的自我修养书上的内容,延迟绑定看这就够了。 延迟绑定实现 动态链接相关结构 .dynamic段 ELF里专门用于动态链接的段还有几个,首先是.dynamic段。这个段里保存了动态链接器所需的基本信息,比如依赖于哪些共享对象,动态链
好好说话之ret2_dl_runtime_resolve
hollk’s blog
07-21 2802
当初毕业论文就写了一万五千字,没想到一篇ret2_dl_runtime_resolve博客三万两千字~~我吐了~~ 。由于内容比较详细,无法避免有些知识点会忘记,可以通过目录翻阅忘记的内容 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
_dl_runtime_resolve源码分析
conansonic的博客
01-23 7988
_dl_runtime_resolve 重定位、动态链接、静态连接、延迟绑定
高级ret2_dl_runtime_resolve
Jc
07-02 565
Ret2dl 准备: readelf工具的使用 -h 显示文件的头部信息 -l(program headers),segments 显示程序头(段头)信息(如果有数据的话)。 -S(section headers),sections 显示节头信息(如果有数据的话)(区分大小写) -g(section groups),显示节组信息(如果有数据的话) -t,section-details 显示节的...
ROP高级用法之ret2_dl_runtime_resolve
热门推荐
钞sir的博客
04-29 1万+
简介 程序想要调用其他动态链接库的函数,必须要在程序加载的时候动态链接;在一个程序运行过程中,可能很多函数在程序执行完时都不会用到,比如一些错误处理函数或者一些用户很少用到的功能模块;所以ELF采用一种叫做延迟绑定(Lazy Binding)的做法,基本思想就是当函数第一次被用到的时候才进行绑定(符号查找、重定位等); 而在linux 中是利用_dl_runtime_resolve(link_ma...
BUUCTF-PWN gyctf_2020_bfnote(劫持TLS结构,ret2_dl_runtime_resolve
weixin_44145820的博客
04-19 1628
目录程序分析背景知识延迟绑定Canary漏洞利用Exp 程序分析 一道带有canary的栈溢出题目 main函数是吧ebp-4中存放地址再减四获得的 调试结果如下 背景知识 延迟绑定 本题需要利用ret2al_runtime_resolve,涉及到延迟绑定的技术,简单介绍一下函数绑定的过程,以atol的调用为例 我们看一下第一次调用程序atol,此时atol_got存放着atol@plt+6...
ret2dl_resolve解析1
08-08
`_dl_runtime_resolve`函数使用`link_map`来访问这些信息,以完成动态链接过程。 在ELF文件中,动态链接器(通常是`ld-linux.so`)负责处理`.rel.plt`表中的条目,将导入函数的地址填入GOT,从而使得程序能够调用...
linux 获取so基址,ld.so分析5 _dl_start
weixin_30863465的博客
05-15 642
ld.so分析5 _dl_start对于不关心的地方,我们都//或/**/注释掉1._dl_start中的变量声明static Elf32_Addr //我们假设是i386 32位平台,ElfW(Addr)被宏扩展为Elf32_Addr//ElfW(Addr)//__attribute_used__ internal_function//__attribute__ ((__used__)) __a...
ret2_dl_runtime_resolve学习
m0_51251108的博客
09-23 328
ret2_dl_runtime_resolve
ret2_dl_runtime_resolve高级栈溢出利用思路
a2590035252的博客
10-17 967
推荐给想和我一样深入理解动态链接过程的pwn师傅
pwn学习总结(五) —— ret2dl_runtime_resolve(待补充)
qq_41988448的博客
03-23 432
pwn学习总结(十) —— ret2_dl_runtime_resolve一、程序示例二、Section信息.dynamic.dynstr.dymsym.rel.plt延迟绑定 一、程序示例 第一步:编译并运行以下代码 #include<stdio.h> int main() { char buf[]="Hello World!\n"; write(1, buf, strlen...
死活不懂ret2_dl_runtime_resolve,留着以后学
哒君的博客
07-27 350
https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/advanced-rop-zh/#ret2_dl_runtime_resolve https://bbs.pediy.com/thread-227034.htm https://xz.aliyun.com/t/5122#toc-10 https://www.freebuf.co...
ret2dl-runtime-resolve详细分析(32位&64位)
seaaseesa的博客
02-24 3453
Ret2dl-runtime-resolve技术 在linux下,二进制引用的外部符号加载方式有三种,FULL_RELRO、PARTIAL_RELRO、NO_RELRO,在PARTIAL_RELRO和NO_RELRO的情况下,外部符号的地址延迟加载,并且,在NO_RELRO下,ELF的dynamic段可读写。 ELF有plt表和got表,程序调用外部函数函数时,call的是plt表项,而plt...
ret2dlresolve归纳
am_03的博客
09-02 267
ret2dl_resolve的原理: 动态链接相关函数_dl_runtime_resolve(link_map_obj, reloc_index) 功能:在第一次调用某函数时运行,绑定其地址到对应的GOT表项 第一个参数link_map_obj一直为GOT[1]的地址 第二个参数reloc_index为被绑定函数在.rel.plt段里的相对偏移 原理: 1.调用_dl_runtime_resolve,修改reloc_index,令其指向伪造在栈里的重定向表表项 2.- 伪造重定向表表项,修改第二项里符号表索
runtime 分类结构体_64位ret2_dl_runtime_resolve模版题以及踩坑记录
weixin_39646107的博客
01-02 446
什么是ret2dl攻击当程序在第一次加载某个函数的时候,got表中对应的表项还没有写入真实的地址(因为是第一次调用),所以这个时候就需要调用_dl_runtime_resolve函数将真实的地址写入got表对应的表项中,然后将控制权交还这个函数,此时就完成了第一次的调用,got表中也有了对应的真实地址。整个调用过程梳理_dl_fixup之前当我们第一调用read时,他的跳转过程是read@plt ...
32位下利用_dl_runtim_resolve函数
zszcr的博客
04-19 562
利用_dl_runtime_resolve来解析特定的函数 这里以这里以XDCTF 2015的pwn200为例 基础前置知识请看这篇文章_dl_runtime_resolve 利用的步骤主要有5步 控制程序的栈转移到我们可以控制的地址 控制程序调用_dl_runtime_resolve函数 ,控制reloc_offset的大小,使reloc项落在我们控制的栈上 伪造reloc项中的内...
计算机系统大作业
nby917的博客
05-19 588
计算机系统大作业
DONT_RESOLVE_DLL_REFERENCES
最新发布
12-02
DONT_RESOLVE_DLL_REFERENCES是一个LoadLibrary函数的标志,它指示系统不要解析DLL的依赖项。这意味着,如果DLL依赖于其他DLL,则这些依赖项将不会自动加载。相反,它们将由调用进程显式加载。这个标志通常用于DLL注入技术中,以便注入的DLL不会自动加载其依赖项,从而避免潜在的冲突和错误。 以下是一个使用DONT_RESOLVE_DLL_REFERENCES标志的示例: ```python import ctypes # 加载DLL并指定DONT_RESOLVE_DLL_REFERENCES标志 mydll = ctypes.WinDLL('mydll.dll', ctypes.RTLD_GLOBAL | ctypes.DONT_RESOLVE_DLL_REFERENCES) # 显式加载DLL的依赖项 depdll = ctypes.WinDLL('dependency.dll') ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值