栈溢出利用之return to dl-resolve payload 构造原理(二)

最新推荐文章于 2024-08-04 22:29:38 发布
最新推荐文章于 2024-08-04 22:29:38 发布
阅读量2k 收藏 9
点赞数
分类专栏: PWN 文章标签: 栈溢出 payload
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guiguzi5512407/article/details/53015738
版权
本文深入探讨栈溢出利用技术,重点在于return to dl-resolve payload的构造,涵盖32位和64位应用的payload详细构建过程。通过伪造reloc_arg、重定位表项、动态链接符号表和动态链接字符串表,实现对函数解析的控制,以执行自定义代码。
摘要由CSDN通过智能技术生成

0x00. payload构造思路

前面我们已经大致介绍了dl-resolve如何进行函数地址的解析。

主要步骤是:通过函数的function@plt,将reloc_arg参数压栈。再跳转到过程链接表的开始PLT[0],将link_map地址压栈。然后调用_dl_runtime_resolve(link_map, reloc_arg)解析函数的地址,并写回到函数的全局偏移表(.got.plt)中,最后返回到需要解析的函数中。在_dl_runtime_resolve中调用_dl_fixup函数,主要的操作是:通过参数reloc_arg确定重定位表中该函数的重定位表项;再通过该重定位表项的r_info字段,在动态链接符号表中确定该函数的符号表项,以及类型,并进行一些检查。再由动态链接符号表项的st_name在动态链接字符串表中确定函数名称。
payload构造:
如果我们伪造reloc_arg,使该函数的重定位表项位于我们可控制的位置;再伪造重定位表项(即r_offset和r_info),可使该函数的动态链接符号表表项位于我们可控制的位置;然后,伪造动态链接符号表表项(即st_name、st_value、st_size、st_info、st_other、st_shndx),主要是st_name的值,使该函数动态链接字符串表表项位于我们控制的位置;最后,伪造动态链接字符串表表项值为我们想要解析的函数名,就可以了。

0x01. 32位应用的payload构造

下面以XMAN level4中的32位ELF为例,介绍32位应用payload的构造过程,该ELF有个明显的栈溢出漏洞。

首先,通过栈溢出向bss段写入我们精心构造的payload,一般选择bss段偏移为0x400的位置(.bss+0x400)写入。该payload包含解析函数的地址入口、返回值、需要解析函数的参数、伪造的重定位表项、动态链接符号表表项、动态链接字符串表表项、以及函数的参数值。然后,通过平衡堆栈,将程序的执行流交给解析函数。

32位应用 payload的主要构成如下:
payload1: 利用漏洞进行读操作,将数据写入bss区。

   ___________________________________________________________________________________________________________
   | 'A' * offset | read_plt    | p_p_p_ret |   0   | base_stage | 100  | p_ebp_ret | base_stage | leave_ret  |
   |--------------|-------------|-----------|-------|------------|------|-----------|------------|------------|
   |  溢出填充    |返回地址
最低0.47元/天 解锁文章
M021
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Return-to-dl-resolve
zszcr的博客
04-19 478
前置知识:ELF可执行文件由ELF头部,程序头部和其对应的段,节头部表和其对应的节组成。ELF文件结构如果想深入了解的话可以看下《程序员的自我修养》的第三章 P70如果一个可执行文件要进行动态链接,它的程序头部表将包含类型为PT_DYNAMIC的段,它包含.dynamic节结构如下typedef struct { Elf32_Sword d_tag; union { ...
生成payload
分享学习网络的点点滴滴
12-30 616
【代码】生成payload
浅析ret2dl_reslove
最新发布
2301_79327647的博客
08-04 1032
/Dynamic entry type(动态段标识号)union} d_un;//动态段起始地址//表示重定位所作用的虚拟地址或got表处的真实地址//这是一个复合值,包括了重定位类型和符号表下标其中我们需要记住r_info是一个复合值,其高32位表示该重定位项在动态链接符号表.dynsym中对应项的下标,低32位表示该重定位项的重定向类型。/* 符号名,符号在字符串表STRTAB中的偏移 *//* 符号类型及绑定属性 */
栈溢出利用Return to dl-resolve
hl1293348082的专栏
04-09 197
0x00 前言 在CTF中一般的栈溢出题目会给出程序对应的libc,这样我们在泄漏一个libc地址之后就能根据偏移量去计算libc的其他地址,比如system、/bin/sh或是libc基址。 那如果题目中没有给出libc,我们就无法得知题目所用的libc版本。这个时候如果我们要计算system函数的地址的话,可以利用泄露出的libc地址去http://libcdb.com搜索对应的libc版本,因为一个libc函数地址的低三位在对应的libc版本中总是不变的。(当然你也可能搜不到) 今天要介绍的这项技术
SSTI的payload构造思路
shawdow_bug的博客
04-24 2065
内置的方法和属性 有些对象类型内置了一些可读属性,它们不会被dir()列举出来。 属性/方法 描述 instance._class_ 类实例所属的类 class._bases_ 类对象(类也是对象)的基类元组 definition._name_ 类、函数、方法、描述符或生成器实例的名称。 class._mro_ 此属性是在方法解析期间查找基类时考虑的类元组。 class._subclasses_() 每个类都保留一个对其直接子类的弱引用列表。此方法返回所有仍然存活的引用的列表
栈溢出利用return to dl-resolve payload 构造原理(一)
M021的专栏
11-02 3336
前段时间,学习了return to dl-resolve 方法,并且分别在32位应用和64位应用上实践了一番,现记录下我的学习心得。
栈溢出利用return to dl-resolve实例
M021的专栏
10-07 3525
最近学习了一下漏洞原理利用,学习到栈溢出漏洞利用的一些技巧,记录下自己的学习心得。关于return to dl-resolve原理,网上有许多的文章已经的很清楚了,就不赘述。本文主要是根据return to dl-resolve原理,实现32位和64位环境下的漏洞利用
从0ctf2018 babystack学习return to dl-resolve
极目楚天舒的博客
05-06 1846
0x01程序分析首先查看main函数,比较简单,调用了alarm和sub_80483B,进入sub_80483B看看。sub_80483B的作用是读取0x40个字节到ebp-40处,这里显然存在栈溢出漏洞。发现只开了一个栈不可执行,于是想构造rop链。但是整个文件搜索下来也没有发现什么有价值的gadget。0x02  return to dl-resolve知识学习玩过pwn的赛棍都知道,pwn题...
ROP的基本原理和实战教学,看这一篇就够了
QL_2023的博客
02-21 2157
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
ret2dl-resolve
fa1c4的blog
04-19 355
最早是2015年在一篇论文中提出的攻击技术. How the ELF Ruined Christmas 因为通常漏洞利用包含两个阶段 信息泄露, 得知内存布局 通过已知内存布局, 利用漏洞 但由于不是常常能够得知内存信息, 所以ret2dl-resolve是一种仅仅利用ELF文件格式和动态装载器弱点进行漏洞利用的方法. 符号解析图示 .rel.plt段由Elf_Rel结构体构成 Elf_Rel结构体 struct Elf32_Rel { Elf32_Addr r_offset; // Loca
xss payload构造方法
weixin_48734687的博客
10-01 2387
对照教程闯了几关总结一下各种绕过方式 url传参注入 未对参数进行任何过滤的 payload: <script>alert()</script> <img src=1 onerror=alert()> payload被引号包裹的 例如:<input name=keyword value="<script>alert()</script>">
攻下windows7第三天——构造payload
ploto_cs的博客
10-03 2701
一.实验背景 随着windows系统的不断更新完善,windows对用户系统的安全力度也在加强。第一天和第天的漏洞也很容易通过添加补丁修复,这对我们的渗透,也带来了不少的麻烦。所以今天我将带大家,利用目前流行的 metasploit 框架,绕过一些 UAC 及防火墙的限制,从而达到成功利用的目的! .实验环境 攻击机kali :192.168.126.129 靶机 win7:192.168.126.134 三.操作步骤 1.使用.exe作为web shell(关闭防火墙) (1)生成一个payload
sql盲注----构造payload 让信息通过错误提示回显出来
weixin_42350229的博客
01-15 932
基于报错的sql盲注----构造payload 让信息通过错误提示回显出来 select 1, count(*), concat(0x3a,0x3a,(select user()),0x3a,0x3a,floot(rand(0)*2))a jfrom information_schema.columns group by a; //explain:此处有三个点,一是需要 concat 计数,是...
pwn-ret2dl-resolve
CharlesGodX的博客
05-04 532
pwn-ret2dl-resolve 0x00:漏洞介绍 ret2dl-resovle这种技术在pwn中的运用也挺多的,可以类比Windows下的IAT技术进行学习,了解这个技术之前,我们需要知道ELF文件中各个函数的加载过程,下面就演示一下GOT表是如何加载的,首先我们编译一个简单的程序 #include <stdio.h> int main() { puts("Hello ...
【XSS】payload 常用构造和变形方法
吉吉的博客
03-06 2374
XSS 相关 payload 构造和变形的常用方法。
手动构造格式化字符串payload
2302_79813730的博客
02-21 1046
pay=(b'%'+str(要改成的数).encode()+b'c%13(要改的栈地址的偏移)$hn').ljust(0x28,b'\x00')+p64(stack)#stack是要修改的栈地址。,明显存在格式化字符串漏洞,我们首先想到用格式化字符串漏洞去泄露函数地址利用libc,之后多次利用格式化字符串漏洞去更改地址为one_gadget。一般可修改的返回地址:printf的返回地址,fmt的返回地址,main函数的返回地址(libc_start_main),但当溢出字节不够时,或者p,s被禁用(
msf reserve_tcp payload加载器的原理与实现
热门推荐
Shanfenglan's blog
08-19 27万+
#undef UNICODE #define WIN32_LEAN_AND_MEAN #include <windows.h> #include <winsock2.h> #include <ws2tcpip.h> #include <stdlib.h> #include <stdio.h> // Need to link with Ws2_32.lib #pragma comment (lib, "Ws2_32.lib") // #prag
curl命令 --resolve
09-15
curl命令中的--resolve选项用于在发送HTTP请求时,手动指定主机名解析的IP地址。它的格式为: ``` --resolve <host:port:address> ``` 其中,`<host>`表示主机名,`<port>`表示端口号,`<address>`表示要绑定的IP地址。 例如,要将主机名example.com解析为IP地址192.168.0.1,并将其绑定到端口80上,可以使用以下命令: ``` curl --resolve example.com:80:192.168.0.1 http://example.com ``` 这将会强制curl使用指定的IP地址进行主机名解析和连接。请注意,这只对当前的curl命令有效,不会影响系统的DNS解析设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值