CTF权威指南 笔记 -第二章二进制文件- 2.4 -动态链接

最新推荐文章于 2024-02-05 18:05:34 发布
最新推荐文章于 2024-02-05 18:05:34 发布
阅读量773 收藏
点赞数
分类专栏: pwn的前置知识 文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/130484410
版权

目录

静态文件的缺点

动态链接

位置无关代码

延迟绑定

_dl_runtime_reslove 函数定义

深入审视

静态文件的缺点

随着可执行文件的增加  静态链接带来的浪费空间问题就会愈发严重

 如果大部分可执行文件都需要glibc 那么在链接的时候就需要把 libc.a链接进去

如果一个libc.a为5M 那么100就是 5G  例如下面的左边

静态链接的一个很明显的缺点 对标准函数进行一点点 的修改 都需要重新编译整个源文件

动态链接

如果不把系统库和自己编写的代码链接到一个可执行文件 而是分割到两个独立的模块 等到程序进行运行了 再进行链接 这样就可以节省硬盘空间 并且在内存中一个系统库可以被多个程序使用 这样还会节省物理空间

在这种 运行和加载的时候 在内存中完成链接的过程叫做动态链接

这些用于动态链接的系统库 我们叫做共享库 或者 共享对象

这个过程我们通过 动态链接器完成

  例如上图的右边

func1.elf func2.elf 不再包含单独的testLib.o 
当程序运行func1.ELF的时候 系统将func1.o和依赖的testLib.o载入内存中
进行动态链接
完成后 系统将控制器交给程序入口点 

程序开始执行

后面func2.ELF开始执行 因为内存中已经有testLib.o 不需要重复加载 所以直接链接即可

继续使用之前静态链接的例子

这里我们把func.c编译为共享库

gcc -shared -fpic -o func.so func.c

-shared 生成共享库
-fpic 生成和位置无关的代码

gcc -fno-stack-protector -o func.ELF2 main.c  ./func.so


main.c 和func.so进行动态链接
生成 func.ELF2

我们查看 func.ELF2的链接格式

 

查看 汇编格式
objdump -d -M intel --section=.text func.ELF2 |grep -A 11 "<main>"

这里我们就能发现 call 后面跟上了偏移量 地址等

位置无关代码

可以加载而无需重定位的代码就是位置无关代码PIC

通过gcc -fpic就可以生成位置无关代码

一个程序的代码段和数据段的相对位置都是保持不变的   所以指令和变量之间的距离是一个运行时常量 与绝对内存地址无关  

于是就有了全局偏移量表 GOT

GOT表位于 数据段的开头
用于保存全局变量和库函数的引用

每个条目占8字节 在加载时会重定位并且填入符号的绝对地址
为了RELRO保护 
GOT 被拆分为 .got 和.got.plt

.got 用于保存全局变量引用 写入内存为只读  不需要延迟绑定

.got.plt 用于保存函数引用 具有读写权限  需要延迟绑定

我们可以看看func.o的情况

objdump -h func.so

readelf -r func.so| grep tmp

R_X86_64_GLOB_DAT 表示 动态链接器找到 tmp的值 存入0x3fd8

我们使用汇编可以看看代码

objdump -d -M intel --section=.text func.so |grep -A 20 "<func>"

 

 这里我们能发现 调用函数 rip+0x2ead的地方    rip为下一条指令的地址 这里是 112b

112b + 2ead =3fd8

所以汇编我们能发现调用函数就是指向 实际地址 3fd8

延迟绑定

如果动态链接是要通过动态链接器加载进行 如果要重定位的符号(库函数)多了之后 肯定会影响性能

延迟绑定就是为了解决这个问题

延迟绑定的思想就是

如果函数是第一次被调用 动态链接器才进行符号查找 重定位的操作
如果没有调用就不进行绑定

ELF文件通过 PLT和GOT的配合来实现延迟绑定

每一个被调用的库函数都有一组 GOT 和PLT

位于代码段.got.plt节 是一个PLT数组 每一个条目占16字节 
PLT[0] 跳转到动态链接器
PLT[1] 调用系统启动函数 _libc_start_main()函数
main函数就是从里面进行调用

PLT[2] 开始就被调用的各个函数条目
位于数据段.got.plt节的GOT也是一个数组  每条占8字节
GOT[0]和GOT[1]
包含着动态链接库解析函数地址所需要的两个地址 (dynamic和relor条目)

GOT[2] 是动态链接器 ld-linux.so的入口点 

GOT[3] 开始就是各个条目这些条目默认指向对应PLT条目的第二条指令
绑定后才会修改函数的实际地址

我们使用例子说明

#include<stdio.h>
void print_bananer(){
	printf("Welcome got and plt");
}
int main(void){
	print_bananer();
	return 0;
}

进行编译

gcc -Wall -g -o test.o -c test.c -m32


gcc -o test test.o -m32 -no-pie

我们直接通过反汇编进行查看

objdump -d test

 

 我们先看到main函数

看到call

 11d8:	e8 c0 ff ff ff       	call   119d <print_bananer>
这里地址送11d8
e8为call的机器码

c0ffffff为printf_bananer的地址 这里第一次调用 不知道地址 所以用这个代替

119d是去的地址 指向 print_bananer函数

我们去看119d的地址

 发现119d是print_bananer的地址

然后我们看到里面的关键调用

11ba:	e8 91 fe ff ff       	call   1050 <printf@plt>
11ba地址   
e8 ->call
91 fe ff ff  为函数地址

我们去看看1050地址

我们发现是

printf.plt地址 就是

然后我们进行代码审计

这里我们可以通过另一个编译 让pie停止


gcc -o test test.o -m32 -no-pie

然后重新进行查看

objdump -d test

发现一个地址 我们使用gdb进行查看这个地址

gdb test
b mian

r
x/x 0x804c010

这里是printf的got表

 这里得到另一个地址 我们回去反汇编看看

 发现就是下一条 push 0x8这个地址 所以第一个代码是返回 printf@plt的push

然后执行完push

又进行跳转

这里有一个地址 我们去看看

 

发现是main的共享库文件-0x10偏移量 的地址

然后进行push 0x804c004

又跳到0x804c008

gdb test 
x/x 0x804c008

我们发现 这里是0

因为第一次执行 还没有找到printf函数

我们让他执行起来

b main
r
x/x 0x804c008

发现得到了地址 这个地址就是 printf的地址

0x804c008这个的地址 其实就是指向 _dl_runtime_resolve函数

这个函数在动态链接里有着很重要的作用

计算出地址 更新got表等

我们现在来梳理一下

printf.plt ->printf.got.plt -> printf.plt->公共plt->_dl_runtime_reslove函数

这就是printf函数调用过程

这里我们还需要知道

_dl_runtime_reslove 怎么找到printf函数地址

这个是因为在之前我们执行printf@plt的时候 push了0x8

 这个就类似于 printf的id 让 _dl_runtime_reslove去找这个id的函数

_dl_runtime_reslove 函数定义

_dl_runtime_resolve(link_map_obj, reloc_index)

reloc_index 这个参数是来寻找 .rel.plt表的 这个表是ELF rel结构体

这个结构体为

typedef struct
{
    ELF64_Addr r_offset  
    ELF64_Xword r_info
}ELF64_Rel

r_offset是用于保存 需要进行重定位和重定位写入内存的位置

r_info的高三位是保存 符号在.dynsym里的下标

通过上面的图像 我们可以发现 r_info又指向 .dynsym中的ELF_sym结构体

这个结构体的内容为

typedef struct
{
    ELF64_Word st_name;   符号名称在字符串表中的偏移量
    unsigned char st_info;  包含符号类型和捆绑信息
    unsigned char st_other; 保留位
    ELF64_Half st_shndx; 指向和该符号关联的段/节索引值
    ELF64_Addr st_value; 该符号的值 就是地址
    ELF64_Xword st_size; 符号所占的字节
}ELF64_Sym

st_value和st_name为重要成员

st_value是符号导出时存放的虚拟地址 不能导出为null
st_name 是相对.dynstr的偏移

然后就是去.dynstr找函数

这个表中存放着 函数地址

所以我们从函数开始导入开始看

程序导入函数 .dynstr中增加一个函数名字符串
在.dynsym中增加一个ELF Sym的结构体 其中 S_name指向 .dynstr
然后又在.rel.plt中增加一个 ELF Rel结构体 其中 r_info指向 .dynsym的 ELF Sym结构体
最后 r_offset 构成 GOT表  存储在 .plt.got段的地址上

这样 我们函数就可以在程序的.plt.got中了

在我们明白这个了 我们重新对test进行审视

深入审视

这里第一个跳转 是无条件跳转到 GOT[0]处

但是GOT[0]在初始化的时候 默认指向 plt的第二条 就是PLT[1]->push 0x8

然后进行跳转到公共的PLT 然后去找_dl_runtime_reslove函数

这里的执行就是

无条件跳转到 xxx.got 把link_map_obj压入栈内
然后开始调回 plt 然后压入 函数id push 0x8
然后进行跳转去找_dl_runtime_reslove函数 并且执行

这样就实现了 函数通过动态链接寻找

双层小牛堡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
010Editor-V9.0.1 -二进制文件编辑器,十六进制文件编辑器,CTF神器。
11-27
010Editor-V9.0.1 -二进制文件编辑器,十六进制文件编辑器,CTF神器。
信息安全CTF--二进制方向学习记录(第二周)
weixin_43890096的博客
02-23 1302
问题(已解决):在用虚拟机调试pwn32位程序时报错:libstdc++.so.6: cannot open shared object file: No such file or directory 解决libstdc++.so.6: cannot open shared object file: No such file or directory: 原因在于,在13.10 版本中,ia32_l...
CTF比赛 二进制 PWN方向入门:基础知识点精讲
最新发布
qq_62564422的博客
02-05 1589
称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态。这些参数仍会保存在调用函数(caller)的函数状态内,之后压入栈内的数据都会作为被调用函数(callee)的函数状态来保存。再将当前的ebp 寄存器的值(也就是调用函数的基地址)压入栈内,并将 ebp 寄存器的值更新为当前栈顶的地址。p2 1:59:00 开始。
CTF二进制逆向分析 -- 密码学知识积累
lifanxin的博客
06-23 7107
密码学知识积累概述凯撒密码base64加密总结 概述   在ctf比赛中,逆向这块很大一部分都是在考查密码学的知识,其中需要逆向的代码基本都会是一些加解密的操作,因此有必要学习和积累一些常见的密码学知识。当然这里我们并不太需要知道如何使用密码学上的方法去破解加密密文,如果一定要破解的话,也是有工具和对应程序实现的。因此我们要做的就是去熟悉这些密码学的加密方式,并在逆向代码中认出来。 凯撒密码   凯撒密码(Caesar),相传为凯撒所创,属于古典密码学中的移位密码。这种加密方式比较简单,就是将字母的对应关系
信息安全CTF--二进制方向学习记录(第三周)
weixin_43890096的博客
03-01 905
x86与ARM函数调用:x86/x64只有一个用于函数调用的指令(CALL)和一个用于分支跳转的指令(JMP)。而AMR则提供了多种指令。在x86中,CALL会将返回值压栈,等函数执行完毕后,弹栈到EIP。ARM则可将地址放入栈中也可以将地址放入链接寄存器(LR)中,在调用完成后,需要显式地把返回值弹入PC中,否则就会无条件跳转(LR)。并且ARM定义了标准调用惯例:前4个32位参数由寄存器(R...
CTF竞赛二进制类题型解析(逆向工程、二进制漏洞利用、缓冲区溢出)
白帽子凯哥聊黑客
12-13 2006
描述:一个程序使用了自定义通信协议。分析并理解协议细节。答案:捕获和分析网络流量,逆向工程协议。
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
py代码-CTF中的关于16进制代码
07-14
py代码-CTF中的关于16进制代码
栈溢出攻击c语言_从0开始CTFPWN(四)ROP绕过栈可执行保护与GOT表劫持
weixin_30219823的博客
01-04 749
本文为看雪论优秀文章看雪论坛作者ID:dxbaicai一、教程说明1.1 历史回顾第一节我们介绍了基础环境准备:从0开始CTF-PWN(一)——基础环境准备第二节我们介绍了栈溢出的入门:从0开始CTF-PWN(二)从PWN的HelloWorld-栈溢出开始第三节我们介绍了自行构造shellcode:从0开始CTF-PWN(三)没有system怎么办?构造你的shellcode1.2 本节...
网络安全进阶学习第二十课——CTF文件操作与隐写
p36273的博客
09-16 1458
----- 假如文件块的排放顺序是:文件1a、文件1b、文件2a、文件2b,这种使用Binwalk和Foremost是可以分离的。,暴力范围选项选择所有数字,打开要破解的点击,点击破解。------ 如果binwalk无法正确分离出文件,可以使用foremost,将目标文件复制到kali中,成功执行后,会在目标文件文件目录下生成我们设置的目录,目录中会按文件类型分离出文件。------ 一个文件里面藏有两个文件,分别是文件1和文件2,每个分件都被分为2块,分别是文件1a和文件1b、文件2a和文件2b。
CTF权威指南 笔记 -第二章二进制文件- 2.2 -ELF文件格式
m0_64180167的博客
04-30 1307
ELF就是可执行可连接格式 为linux运行文件格式。
CTF特训营》——PWN:二进制安全基础
PICACHU+++的博客
08-13 2656
即DEP,是进制程序在非可执行的内存区中执行指令。在80x86体系中,操作系统的内存管理是通过页面表存储方式来实现,其最后一位就是NX位,0表示允许执行,1表示禁止执行。NX一般是防止直接在堆和栈上运行shellcode代码,gcc默认开启不可执行栈功能,添加编译选项z -exestack可开启栈可执行功能。...
CTF-PWN-printf(实验吧|格式化字符漏洞)
SuperGate的博客
02-01 3233
首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。 首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。 这个时候我们发现get_file函数中显然有一个格式化字符漏洞。 这种漏洞会导致我们可以控制任意内存的...
ctf逆向解题——Bomb二进制炸弹
FunkyPants的博客
07-22 1912
Bomb Phase1 在输入阶段将由文件输入的字符存储在input中,在phase1,该阶段将原字符串存储到rdi中,调用pases_1函数进行字符串比较。 进入phase1函数,该函数将原字符串rdi与预先设定的字符串“Border relations with Canada have never been better.”(存储在rsi中)进行比较,用于比较的函数是strings_not_...
CTF修炼手册(二)
The_Cloud的博客
05-17 536
copy -b  test.jpg+test.zip test_.jpgcopy命令将两个文件二进制形式连接起来,而图片查看器会自动忽略jpg结束符之后的内容。binwalk test.jpg 查看文件的组成foremost test.jpg 分离文件MP3Stego -X是获取隐藏的东西 -P后面写密码...
CTF中那些脑洞大开的编码和加密
weixin_34344677的博客
07-18 2844
0x00 前言 正文开始之前先闲扯几句吧,玩CTF的小伙伴也许会遇到类似这样的问题:表哥,你知道这是什么加密吗?其实CTF中脑洞密码题(非现代加密方式)一般都是各种古典密码的变形,一般出题者会对密文进行一些处理,但是会给留一些线索,所以写此文的目的是想给小伙伴做题时给一些参考,当然常在CTF里出现的编码也可以了解一下。本来是想尽快写出参考的文章,无奈期间被各种事情耽搁导致文章断断续续写了2个月,...
7.24 两道二进制题目练习的总结
duan哥哥的博客
07-27 2202
1.兴趣是最好的老师 首先我们把根据PE文件的格式知道这个文件本身有错误,所以不能在IDA中打开,我们先把它在010Editor.exe中修改一下,我们把PE头改为50 45 00 00,然后就把它拉入IDA中,然后打开,找到有程序的开始进行分析。 __int64 main_0() { int v0; // edx __int64 v1; // ST00_8 int v3; /...
ctfhub 文件上传 - 00截断
06-28
ctfhub 文件上传 - 00截断是一种常见的安全漏洞,攻击者可以通过截断文件名或者文件内容来绕过文件上传的限制,从而上传恶意文件或者执行任意代码。这种漏洞需要开发人员在编写文件上传功能时注意对文件名和内容进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值