ret2dl-resolve

最新推荐文章于 2022-07-08 17:51:27 发布
最新推荐文章于 2022-07-08 17:51:27 发布
阅读量321 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/115797639
版权

最早是2015年在一篇论文中提出的攻击技术.
How the ELF Ruined Christmas

因为通常漏洞利用包含两个阶段

  1. 信息泄露, 得知内存布局
  2. 通过已知内存布局, 利用漏洞

但由于不是常常能够得知内存信息, 所以ret2dl-resolve是一种仅仅利用ELF文件格式和动态装载器弱点进行漏洞利用的方法.

符号解析图示
在这里插入图片描述
.rel.plt段由Elf_Rel结构体构成
Elf_Rel结构体

 struct Elf32_Rel {
   Elf32_Addr r_offset; // Location (file byte offset, or program virtual addr)
   Elf32_Word r_info;   // Symbol table index and type of relocation to apply
  
   // These accessors and mutators correspond to the ELF32_R_SYM, ELF32_R_TYPE,
   // and ELF32_R_INFO macros defined in the ELF specification:
   Elf32_Word getSymbol() const { return (r_info >> 8); }
   unsigned char getType() const { return (unsigned char)(r_info & 0x0ff); }
   void setSymbol(Elf32_Word s) { setSymbolAndType(s, getType()); }
   void setType(unsigned char t) { setSymbolAndType(getSymbol(), t); }
   void setSymbolAndType(Elf32_Word s, unsigned char t) {
     r_info = (s << 8) + t;
   }
 };

.dynsym段由Elf_Sym结构体构成
Elf_Sym结构体(32位, 源码见ELF.h

 // Symbol table entries for ELF32.
 struct Elf32_Sym {
   Elf32_Word st_name;     // Symbol name (index into string table)
   Elf32_Addr st_value;    // Value or address associated with the symbol
   Elf32_Word st_size;     // Size of the symbol
   unsigned char st_info;  // Symbol's type and binding attributes
   unsigned char st_other; // Must be zero; reserved
   Elf32_Half st_shndx;    // Which section (header table index) it's defined in
  
   // These accessors and mutators correspond to the ELF32_ST_BIND,
   // ELF32_ST_TYPE, and ELF32_ST_INFO macros defined in the ELF specification:
   unsigned char getBinding() const { return st_info >> 4; }
   unsigned char getType() const { return st_info & 0x0f; }
   void setBinding(unsigned char b) { setBindingAndType(b, getType()); }
   void setType(unsigned char t) { setBindingAndType(getBinding(), t); }
   void setBindingAndType(unsigned char b, unsigned char t) {
     st_info = (b << 4) + (t & 0x0f);
   }
 };

最后 .dynstr段由函数名称字符串构成

作用解析:
其中st_name是.dynstr的偏移, 索引到符号名字符串, st_value存放符号虚拟地址, 符号没导出时为null.
导入符号解析时会进行重定位, 重定位项是一个Elf_Rel结构体的实例, 组成.rel.plt段用于导入函数, 和.rel.dyn段用于导入全局变量. Elf_Rel结构体有两个域, 分别是r_offset, r_info, r_offset保存符号写入内存的绝对地址, r_info前三位作为.dynsym段的无符号下标索引Elf_Sym结构体.

程序导入函数的流程可能不是很简单明了, 但总结起来是4个步骤:

  1. 动态链接器在.dynstr段添加函数名称字符串
  2. 在.dynsym段添加一个指向函数名称字符串的结构体Elf_Sym
  3. 在.rel.plt段添加指向Elf_Sym的Elf_Rel结构体.
  4. Elf_Rel结构体的r_offset构成GOT表, 保存在.got.plt段中.

ret2dl-resolve的核心就是围绕导入函数的延迟绑定机制做文章, 只有调用到函数时才会用PLT表更新GOT表, 索引到函数地址. 根据开启的RELRP保护机制, ret2dl-resolve攻击技术有三种变化.
关闭 RELRO 保护
Partial RELRO 保护: .dynamic 段等会被标识为只读
Full RELRO 保护: 禁用延迟绑定, .got.plt一开始就被完全初始化, 且标为只读.

现在讨论前两种方法
关闭 RELRO 保护
.dynamic段可写, 动态链接器从其中的DT_STRTAB条目获取.dynstr段地址, 攻击者通过修改相应DT_STRTAB条目, 使动态链接器访问.bss段上伪造的字符串表, 最终解析到execve()函数并执行.

Partial RELRO 保护
.dynamic段不可写, _dl_runtime_resolve()函数第二个参数reloc_index是Elf_Rel在.rel.plt的偏移, 如果控制reloc_index很大, 超出.rel.plt的地址然后落在.bss段, 就可以访问伪造的Elf_Rel, 然后化归到关闭 RELRO 保护的情况.

fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
栈溢出利用之return to dl-resolve payload 构造原理(一)
M021的专栏
11-02 3300
时间,学习了return to dl-resolve 方法,并且分别在32位应用和64位应用上实践了一番,现记录下我的学习心得。
ELF文件格式解析
热门推荐
Flass Blog
05-21 4万+
ELF文件格式说明。
程序运行代码动态重定位原理
biao2488890051的博客
06-29 1676
程序编译时候我们会指定一个链接地址(也就是程序定位的运行地址),编译后,cpu的pc指针指向这个地址开始执行,就时没为题的。 但是我们现在想把该程序运行时(没法对该程序进行再次指定地址的编译了)挪动到其它内存区域(程序动态加载功能),要想该代码仍然能正常运行,就需要对该代码进行重定位,而不是简单的拷贝该代码到指定内存区域即可。 ...
Linux动态链接之三:动态链接相关结构
墨篙和小奶猫
12-26 1222
无论是静态链接还是动态链接,初始都是操作系统读取可执行文件的FILE_HEADER,以检查文件格式、操作权限等属性,然后根据表获取各个”segment”的VMA虚拟装载位置、文件地址和操作属性RWXP等,再根据相似属性原则相连原则完成装载,而后将控制权交给文件头结构中e_entry入口地址(ELF程序的入口虚拟地址,可重定位文件不可执行,故而为0,静态链接的可执行文件便是指向运行库main初始化函
剖析ELF文件格式的内容———文件头,表,符号....(第三章)
u012138730的专栏
09-21 6814
目录 1.extern "C" 1.编译阶——取名 2.链接阶——找对应的名 参考: 2.extern变量名 1.extern "C" 在阅读代码的时候,常常会看到下面的代码片: #ifdef __cplusplus extern "C" { #endif // 写例如dll导出函数的定义 #ifdef __cplusplus } #endif 这是一...
ret2dl_resolve解析1
08-08
//一些关于导入符号的信息,我们只关心从第二个字节开始的值((val)>>8),忽略那个07 //1和3是这个导入函数的符号在.dynsym中的下标, //如果
ret2-libc-puts64
最新发布
04-01
ret2-libc-puts64
ret2-libc3-puts
04-01
ret2-libc3-puts
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2dlresolve超详细教程(x86&x64)
qq_51868336的博客
03-10 4487
X86 前置知识 在Linux中,程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。 而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容,从而控制解析的函数。 延迟绑定 第一次调用一个函数时,先是到plt表,然后jmp到got表 此时got表存的地址是在plt表上 其实也就是jmp got的下一条指令,这里先是push一个数字(该函数在rel.plt上的偏移,reloc_arg,后文会讲到),然后jmp到pl
栈溢出之ret2dlresolve
zyxx_wjc的博客
05-07 748
三月份在buuctf上举办的DASCTF上有一道“简单"的栈题——checkin,然而我这个菜鸡拿到题之后直接麻爪了——没有输出咋泄露libc啊(这个Jmp.Cliff他就是逊啦......)......后来学长告诉我,有个技巧叫ret2dlresolve,可以处理这种没有输出的情况,自知基础不牢的我老老实实回到CTF wiki上找到了这个技巧,又参考了网上很多大佬的博客,啃了几天,总算是啃明白了。这两天国赛临近,正积极备赛,突然想到这个有些生疏的知识还未整理,就写个博客记录一下吧。 本文主要围绕64位下
ret2dlresolve(4)
F_Day_的博客
11-15 2323
ret2dlresolve(4) 这次是64位下,开了Partial RELRO保护 这次记录自己的解题过程 先测试一下传入自己构造的reloc_arg看看程序能不能正常运行 elf = ELF('./main64') def debug(): gdb.attach(p) pause() def csu(r12, r13, r14, r15, ret): rbx = 0 rbp = 1 payload = p64(0x400766) payload += p64(1) + p64(rbx
ret2dlresolve(2)
F_Day_的博客
10-25 128
ret2dlresolve(2) 在ret2dlresolve(1)中,关闭了Partial RELRO保护,因此能够对.dynamic进行修改,从而改变dynamic中dynstr的地址,通过伪造一个dynstr来实现将函数write链接到system函数 那么如果打开了Partial RELRO保护,将如何进行 代码还是之前的代码,通过如下方式进行编译 gcc -fno-stack-protector -m32 -z relro -z lazy -no-pie ../../main.c -o mai
uboot解决重定位后链接地址和运行地址不一致的方法
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
07-08 428
uboot解决重定位后链接地址和运行地址不一致的方法
ret2dl_resolve 知识点总结
qq_43189757的博客
07-11 388
ret2dl-resole 是通过伪造到 .rel.plt , .dynsym, .dynstr中表项中的偏移以及伪造这三个中的数据结构来达到调用system 函数的目的 这三个的信息都可以在IDA中 DYNAMIC 中找到 DT_STRTAB -> .dynstr DT_SYMTAB -> .dynsym DT_JMPREL -> .rel.plt...
Android ELF文件中.got .plt .rel.plt .rel.dyn节的区别和联系
beyond702的专栏
08-03 6736
以下暂时做为自己的笔记,不做详细介绍。 首先打印出来Section Header: 可以看到上面.got和.plt节的类型是PROGBITS,也就是代码;而.rel.dyn和.rel.plt是REL,它们是Elf32_Rel类型的结构体数据。这就是为什么用ida查看ELF文件的时候只能看见.got和.plt节的内容,而用readelf查看的时候只列出来.rel.dyn和.rel
[uboot] uboot relocation介绍
09-26 773
转自https://blog.csdn.net/ooonebook/article/details/53047992 以下例子都以project X项目tiny210(s5pv210平台,armv7架构)为例   [uboot] uboot流程系列: [project X] tiny210(s5pv210)上电启动流程(BL0-BL2) [uboot] (第一章)uboot流程——概述 [u...
int ret(int n) { if (n == 1) return 1; if (n == 2) return 2; return ret(n - 1) + ret(n - 2); }这种递归是先调用ret(n-1)还是ret(n-2)
09-25
在递归函数中,先调用 `ret(n-1)` 还是先调用 `ret(n-2)` 取决于函数调用的顺序,它们没有固定的顺序。在这个特定的递归函数中,先调用哪个函数并不影响最终的结果。具体来说,当 `n=3` 时,调用 `ret(2)` 和 `ret(1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值