栈溢出利用之Return to dl-resolve

于 2022-04-09 10:34:53 发布
阅读量197 收藏
点赞数
分类专栏: 信安之路 文章标签: web安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247484641&idx=1&sn=f2cfc0cdee49c7c03d6a40e1f6f682ec&chksm=ec1e34c9db69bddfc676074d3da23a72606038902a53c00fedaaad884505dc8db444cbd7ab39&token=2038700666&lang=zh_CN#rd
版权

0x00 前言

在CTF中一般的栈溢出题目会给出程序对应的libc,这样我们在泄漏一个libc地址之后就能根据偏移量去计算libc的其他地址,比如system/bin/sh或是libc基址。
那如果题目中没有给出libc,我们就无法得知题目所用的libc版本。这个时候如果我们要计算system函数的地址的话,可以利用泄露出的libc地址去http://libcdb.com搜索对应的libc版本,因为一个libc函数地址的低三位在对应的libc版本中总是不变的。(当然你也可能搜不到)
今天要介绍的这项技术就是"Return_to_dl_resolve"。
理论上来讲,它能在不泄露libc地址、不需要知道libc版本的情况下完成任意libc函数的调用。(包括system
在正式介绍这项技术之前,先了解一下相关知识。

0x01 背景知识

我们应该知道Linux glibc函数在第一次被调用的时候才会去寻找真正的函数地址并进行绑定(不了解这块知识可以百度“PLT 延迟绑定”),而解析函数地址的工作由函数dl_runtime_resolve来完成。

上面一张图片简单描述了第一次调用函数的流程。而要说到dl_runtime_resolve如何解析函数,那就不得不提到ELF文件中几个关键的节区了。见下图框起来的部分。

上面第一张图的STRTABSYMTABJMPREL分别就是第二张图的dynstrdynsymrel.plt , 上图也提供了如何查看这些信息的命令。

要谈到这些节区的关系,我们先从dl_runtime_resolve函数的参数说起。

注意到我给的函数第一次调用流程图中有两个push指令,两个push分别将参数link_mapreloc_arg压入栈中,图中我写的rel_off也就是参数reloc_arg,另一个就是link_map。
rel_off即为需要重定位的函数在rel_plt节中的偏移,该节查看如下

上面是重定位变量,下面是重定位函数,我们主要看下面的部分。 比如第一个函数setbuf,在表中占第一位,那么它的rel_off就为0,第二个函数read的偏移就为8.第n个函数的偏移为n*len_of_elfRel,在32位程序中len_of_elfRel大小为8.
elfRel为保存每个重定位函数信息的数据结构
结构如下

typedef struct {
Elf32_Addr r_offset;    
Elf32_Word r_info;      // 符号表索引
} Elf32_Rel;

r_offset就是该函数在got表的位置,r_info用来检索函数其他信息在节区dynsym中的位置。

ELF32_R_SYM(Elf32_Rel->r_info) = (Elf32_Rel->r_info) >> 8  

dynsym节区中每个存储函数信息的数据结构如下:

typedef struct
{
    Elf32_Word st_name;     // Symbol name(string tbl index)
    Elf32_Addr st_value;    // Symbol value
    Elf32_Word st_size;     // Symbol size
    unsigned char st_info;  // Symbol type and binding
    unsigned char st_other; // Symbol visibility under glibc>=2.2
    Elf32_Section st_shndx; // Section index
} Elf32_Sym;

查看内存的话一般看到的是下面这个样子的:

前四个字节的值是函数的名称在dynstr表中的偏移,dynstr基址加上这个偏移就是对应函数名称所在的位置。

dynstr表中装有需要重定位的函数和变量名称的字符串。

前面提到过,函数的解析工作是由dl_runtime_reslove函数完成的。

该函数使用汇编语言实现的,而在其中会首先调用一个函数 dl_fixup,传输由寄存器传递。

我们关注一些关键部分即可:

那么我们的漏洞利用思路就比较清晰了

0x02 思路

  1. 伪造一个很大的rel_off参数,使reloc落在我们可控的范围。

  2. 将参数压栈,控制eip跳到PLT[0]

  3. 伪造reloc内容,第一个为需要覆写的GOT表地址,一个是dynsym的索引值。伪造索引值可以使得sym落在我们可控范围内。

  4. 伪造sym中的st_name所代表的偏移值,可以使得str落在我们可控范围内。

  5. 伪造str的值,比如system

我在上次写到的NSCTF的wp中有说到那两道题目都可以通过ret2resolve完成攻击,那么这次我就一其中一题作为例子来做演示。

0x03 EXP(pwn1)

这就是修改过的exp。 中间我用虚线分割的部分是一些构造ROP的地址,上面提到的三个节区的地址,以及伪造的地址及信息。 data部分是从bss段开始的,我留出了880个字节当作dl_runtime_resolve函数调用所需的栈空间,得益于这是一片可写区域。之后的空间就是我放置伪造信息的区域了。

0x04 注意事项

  1.  伪造的dynsym表的首地址需要和真正的表的首地址对齐,alignment为16个字节。

  2. 伪造的reloc信息中的r_info部分,最低位必须为7,因为会有函数专门check这个值。所以r_info部分的构造就是:将伪dynsym表与真表的偏移乘以0x10,再加上一个7。

0x05 参考文章

Return-to-dl-resolve】http://http://pwn4.fun/2016/11/09/Return-to-dl-resolve/

总结

这种攻击方式相较ret2libc来讲较为复杂,操作起来也比较麻烦,而且在开了PIERELRO FULL时不好利用,慎用。

myh0st@信安之路
关注
专栏目录
栈溢出利用return to dl-resolve payload 构造原理(二)
M021的专栏
11-03 2091
return to dl-resolve payload构造原理
Return-to-dl-resolve
zszcr的博客
04-19 479
前置知识:ELF可执行文件由ELF头部,程序头部和其对应的段,节头部表和其对应的节组成。ELF文件结构如果想深入了解的话可以看下《程序员的自我修养》的第三章 P70如果一个可执行文件要进行动态链接,它的程序头部表将包含类型为PT_DYNAMIC的段,它包含.dynamic节结构如下typedef struct { Elf32_Sword d_tag; union { ...
Return-to-dl-resolve浅析
weixin_30338743的博客
05-05 134
本文介绍一种CTF中的高级rop技巧-Return-to-dl-resolve,不久前的0CTF中的babystack和blackhole就用到了这个技巧。 预备知识 在开始本文前希望大家能预先了解一下什么叫延迟绑定 好了,我们开始 假设存在以下程序: //gcc x86.c -fno-stack-protector -m32 -o x86 #include <unistd.h> #i...
栈溢出利用return to dl-resolve实例
M021的专栏
10-07 3527
最近学习了一下漏洞原理与利用,学习到栈溢出漏洞利用的一些技巧,记录下自己的学习心得。关于return to dl-resolve的原理,网上有许多的文章已经写的很清楚了,就不赘述。本文主要是根据return to dl-resolve的原理,实现32位和64位环境下的漏洞利用
栈溢出利用return to dl-resolve payload 构造原理(一)
M021的专栏
11-02 3337
前段时间,学习了return to dl-resolve 方法,并且分别在32位应用和64位应用上实践了一番,现记录下我的学习心得。
从0ctf2018 babystack学习return to dl-resolve
极目楚天舒的博客
05-06 1847
0x01程序分析首先查看main函数,比较简单,调用了alarm和sub_80483B,进入sub_80483B看看。sub_80483B的作用是读取0x40个字节到ebp-40处,这里显然存在栈溢出漏洞。发现只开了一个栈不可执行,于是想构造rop链。但是整个文件搜索下来也没有发现什么有价值的gadget。0x02  return to dl-resolve知识学习玩过pwn的赛棍都知道,pwn题...
ret2dlresolve学习(1)
F_Day_的博客
10-22 207
ret2dlresolve学习(1) ret2dlresolve主要是利用函数_dl_runtime_resolve来进行 这个函数是用来对动态链接函数进行重定位的 它最简单的利用就是直接修改重定位表项 构造一个存在栈溢出的例子 #include <stdio.h> #include <unistd.h> #include <string.h> int vuln(){ char buf[80]; setbuf(stdin, buf); ret
linux 栈溢出学习之return_to_dl-resolve
jmp esp
12-16 1296
符号动态解析原理符号解析一个可执行文件可能会包含外部符号,可以简单的理解为包含“库函数”。这些函数(符号),在运行的时候必须得知道他们的地址,一个可执行文件在装载的时候,即使其本身装载的位置是固定的,其“库函数”所在的文件的装载位置是不定的,但是又必须知道其精确地址才可以进行运行。所以,符号解析,即将外部符号的具体地址找到,包含两种方法: 静态解析:在编译之后的链接过程中,将外部符号所在的共享库的整
pwn学习之dl_resolve学习篇
04-28 296
一:首先来了解一下linux下常见的攻击缓解机制: CANARY:(金丝雀值,指的是矿工曾利用金丝雀来确认是否有气体泄漏,如果金丝雀因为气体泄漏而中毒死亡,可以给矿工预警),类似于windows GS技术,当栈溢出发生时,canary值将在已保存的指令指针被重写前先改变。系统检测这个值是否改变,栈溢出发生了,保存的指令指针可能也被修改了,因此不能安全返回,函数...
Linux pwn 之 ret2_dl_resolve
蚁景网安学院
12-27 417
点击置顶链接上合天lab玩转CTF!了解re2_dl_resolve,首先要弄清楚基础的got表和plt表got表 和 plt表plt表,过程链接表,过程链接表的作用是将位置无关的符号转...
ret2_dl_resolve原理和案例分析
蚁景网安学院
02-27 592
从一个简单程序说起在只有一个二进制程序 dl_resolve 的情况下, 先侦查一下程序file 看一下dl_resolveELF 32-bit LSB executable, Inte...
【CTF】32位/64位dlresolve最全总结(无地址泄露执行one_gadget)
panhewu9919的博客
09-05 2004
利用dl_resolve执行libc内任意gadget(不需泄露libc地址) 实验代码下载地址:https://github.com/bsauce/CTF/tree/master/dl_resolve_64 分析:0CTF的题目blackhole2,很简单的栈溢出,但是远程不允许回显,所以不能泄露libc_base,不能返回shell。程序本身所含有的gadget有限,所以能不能不泄露libc_...
ret2dlresolve超详细教程(x86&x64)
qq_51868336的博客
03-10 5192
X86 前置知识 在Linux中,程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。 而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容,从而控制解析的函数。 延迟绑定 第一次调用一个函数时,先是到plt表,然后jmp到got表 此时got表存的地址是在plt表上 其实也就是jmp got的下一条指令,这里先是push一个数字(该函数在rel.plt上的偏移,reloc_arg,后文会讲到),然后jmp到pl
绿盟杯NSCTF(CCTF)2017 pwn writeup
jmp esp
07-22 6066
前言比赛有无数值得吐槽的地方,其中最主要的是,题目给了pwn的libc,然而,特么是错的,也就是说虽然给了libc,但是其实还是靠运气/当做没有libc解,顺手记录一下这两个水题。pwn1分析mainint __cdecl main() { alarm(0x1u); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); p
一种比较麻烦的Rop链构造——ret2dlresolve
dydxdz的博客
04-09 3831
ret2resolve 题目:0ctf 2018 babystack 上周末做了TCTF(0ctf 2018)的新人赛,题目难度适中,但垃圾如我一如既往没有做出几道题。在7o8v大佬的帮助下,弄懂了babystack的考察点和ret2resolve利用原理,因此对照着wp记录一波。 0x01 ret2dlresolve原理 当一个程序第一次调用libc中的函数时,必须首先对libc中...
glibc动态链接器dl_runtime_resolve简要分析
Hello World.c
05-05 3100
dl_runtime_resolve简要分析 资料 glibc 2.9 source linux elf 手册 &各种百度搜索 基于32位elf,64位一些结构会略有不同,新手学习,如果有理解错误,请师傅们帮忙指出。 elf执行时动态绑定简要分析 动态链接的过程 动态链接中起到核心作用的是got节和plt节,链接器为所有共享目标文件(shared object)中未定义的(undef)外部...
_dl_runtime_resolve源码分析
conansonic的博客
01-23 7978
_dl_runtime_resolve 重定位、动态链接、静态连接、延迟绑定
curl命令 --resolve
最新发布
09-15
--resolve ``` 其中,`<host>`表示主机名,`<port>`表示端口号,`<address>`表示要绑定的IP地址。 例如,要将主机名example.com解析为IP地址192.168.0.1,并将其绑定到端口80上,可以使用以下命令: ``` curl --...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值