无法解析的外部符号main_ELF文件格式解析

最新推荐文章于 2023-09-27 16:36:53 发布
最新推荐文章于 2023-09-27 16:36:53 发布
阅读量286 收藏 1
点赞数
文章标签: 无法解析的外部符号main
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39609573/article/details/111383087
版权

76288f09fb5a8d3836d40ddac1f53e1a.png

原创: S3cana 合天智汇

原创投稿活动:https://mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ

ELF文件格式的相关知识是Linux下进行pwn以及reverse的基础,是二进制可执行文件的一种形式,下面我们通过一个ELF文件的生成,并结合其ELF文件结构分析一下一个二进制文件在系统中执行时与权限相关的一些ELF结构知识点。文章内容较为浅显,大佬可略过,文章有不足之处,也恳请批评指正。

ELF文件的生成

一个main.c的文件,在linux系统上,经过gcc编译后可以生成一个可以执行的文件,以hello.c为例

#include<stdio.h>
int main(){
printf("Hello World n");
return 0;
}

一个ELF的生成,最开始是在系统中编写的一个源文件,依次会经过预处理,编译,汇编,链接过程后,会生成一个ELF格式的可以执行的文件。我们往往通过gcc hello.c -o hello即可生成一个文件名为hello的可执行文件,该程序会输出Hello World。

4ef12289203793a34c6f4ae8bdf61641.png

在如上中,我们通过gcc 一条命令将hello.c编译成能够执行的二进制文件,但在这一条命令中,同时包含了预处理,编译,汇编,链接的过程。下面分别来看这几个过程

预处理

主要是处理头文件,预编译主要是处理那些源代码中的以"#"开始的预编译指令,会删除注释

gcc -E hello.c -o hello.i

d51d5e00fdf8ef20aad987843ee817cd.png

编译

编译,经过编译后,可以生成.s的汇编文件

gcc -S hello.i -o hello.s

74344389f8e5cc7aea2d8f766e40a04b.png

汇编

汇编,经过汇编后,生成机器指令

as hello.s -o hello.o
or
gcc -c hello.s -o hello.o

98efeacfc1be51fdb7374884dbfcf81d.png

链接

经过汇编后生成的是目标文件,编译器编译源代码后生成的文件叫目标文件,在目标文件中,其本身是按照ELF文件的格式存储的,但是其中的一些符号以及地址还没有被调整,再经过链接后,其生成的即是hello的二进制的可执行文件。

ld -s -o hello hello.o

ELF文件内容解析

一个标准的ELF文件,是由文件头(ELF Header),程序头(Segment Header),节头(Section Header),符号表( Symbol Table),动态符号表(Dynamic Symbol Table)等组成,我们在010editor中,通过ELF Template来看一下hello的文件格式,如下图

0cf0837b3e603bf7339b237982831f3a.png

ELF Header

在ELF Header中的 file_identification 指明该文件类型为ELF的二进制文件

643c0c0b76b398c36e249d8035b4a60b.png

在ELF File Header中通(e_phoff e_shoff两个变量,我们可以找到Segment Header和 Section Header的位置,从而找到程序头和节表头的位置,在这两个表中,有对各自段以及节的详细的介绍。

7e70d81c39a908033b674125ebd0e1c4.png

在ELF Header中的e_entry_START_ADDRESS中,保存着程序执行的入口,地址0x400430,程序的start的入口地址

f74decd14c830c3abf646a139fad03f7.png

在程序实际中,我们可以看到start的位置也在0x400430的位置处。

1a8a214bfde483dd4f1df8cef09d1b57.png

ELF程序头

ELF程序头,是程序装载不可缺少的一部分,可以分为以下几个段

  • PT_LOAD ,即可以装载到系统中的段
  • PT_DYNAMIC, 动态段时动态链接的文件所必须的,包含着动态链接所需要的信息。
  • PT_NOTE,保存一些系统相关的附加信息
  • PT_INTERP,段只将位置和大小信息存放在一个以null 为终止符的字符串 中,是对程序解释器位置的描述
  • PT_PHDR 段保存了程序头表本身的位置和大小

bd268f890d094163c20d83a9f313e91b.png

其中在段的p_flags中,确定了该段的权限,在后文的节表头中,对相应的表有进一步的权限的确定。

60517e47f50d20319baf67c1f3e3ae9c.png

memsz的值对应的时1788,hex(1788)=0x6fc,所以该段的权限是读和可执行的权限,在0x400238到0x4006fc只有只读权限,这是由于节表中权限的设置导致的。

4964ee34dd1699364e04d3487db4fec2.png

在ELF节表中的权限

0afa6f45545f1897c6938c33629025a4.png

ELF 节表头

ELF中,包含很多的节表,我们可以通过readelf -S hello来查看

d24363fd1cc04d3a322f468a121025db.png

我们可以看到各种节表信息,常用以下几项

  • .text 该节保存了程序代码
  • .bss 该节主要保存
  • .data 保存了初始化的全局变量
  • .plt 包含了动态链接器调用从共享库导入的函数必需的相关的代码
  • .got.plt 保存了全局的偏移表等表,got表位于该节

在ELF 的描述节表的相关的数据结构中,s_flags的标志用于描述该节的权限,不同的数值,分别对应了不同的权限,具体如下图

dce82c86e700ea21fd1823eea9fc2a51.png

攻击相关got表劫持原理

在CTF的pwn相关题目中,我们可以通过栈溢出,以及堆溢出来实现shell权限的获取,获取权限往往可以通过劫持got表来实现,而这个实现的前提需要got表(.got.plt)权限为可写权限。首先看一下什么是plt表和got表

plt表,是过程链接表,程序动态调用的符号在可执行文件中是位置无关的符号,当程序调用时,会通过plt表将符号转移到绝对地址。

got表中保存了ELF文件在共享库中的绝对地址,在程序一开始运行的时候,got表是空的,当符号第一次调用的时候,会动态解析符号的绝对地址并填充到got表中,在第二次调用同一符号的时候,直接通过got表跳转。

62d2cb86d08db2d2d3b852effec303d7.png

这里对程序第一次解析符号的过程不加以详细描述,仅描述第二次调用时的跳转过程,改造源程序hello.c,将断点停在程序执行到第二个printf("Hello")时

#include<stdio.h>
int main(){
    printf("hello world");
    printf("Hello");
    return 0;
}

这里是call <0x400400>

b15245cb24c78bd12a175ed85b03486b.png

我们来看一下0x400400处的汇编代码,这里是跳转,jmp QWORT PTR[rip + 0x200c12]

196e373755b04a3f591cef0e8adffda2.png

可以看到是跳转到0x601018处,在下图中我们可以看到在0x601018处的值为0x00007ffff7a62800

c46cd76a939c8b373f33789483773b68.png

下面我们通过单步调试s跟进程序,可以看到rip指向了0x00007ffff7a62800

d0e429b8222a0ddc8c6544e8d7e9f3c3.png

通过readelf -S hello可以查看到其got表的起始位置0x601000

a9e667d3c80a44a6ae5461fd9f64555b.png

在实际的攻击的过程中,当我们将此处的got表的值更改为我们需要的system函数的时候,再配合传入实际的参数/bin/sh即可实现shell权限的获取。

防御相关

可以通过复写got表,实现got表劫持,当我们设置got表不可写的时候,该攻击也就失效了,RELRO技术可以实现该保护。在程序编译的时候,我们可以通过如下命令,实现got表不可写,需要注意的是,RELRO保护可分为 Partial RELRO 和Full RELRO,当编译的时候,我们指定 Partial RELRO 的时候,其got表仍旧可写

#Partial RELRO,gcc 默认也是Partial RELRO
gcc -z lazy -o test test.c
#Full RELRO
gcc hello.c -o -z now

合天网安实验室相关实验:ELF

实验:ELF(合天网安实验室)

声明:笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关!

weixin_39609573
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TestDwarf_提取变量_elf文件格式_解析器_
10-02
ELF文件格式解析。VS2008开发的。只有源码。
VS报错LNK2019 无法解析外部符号 _main,函数 “int __cdecl invoke_main(void)“ (?invoke_main@@YAHXZ) 中引用了该符号的解决方法
cdtaogang's blog
10-30 2万+
在 Visual Studio 中,确保将定义符号的源文件编译为项目的一部分。检查中间生成输出目录中是否有匹配的 .obj 文件。如果源文件未编译,请右键单击“解决方案资源管理器”中的文件,然后选择“属性”以检查文件的属性。“配置属性”>“常规”页应显示 C/C++ 编译器的项类型。在命令行上,确保编译了包含定义的源文件。原因2在 Visual Studio 中,确保包含符号定义的对象文件或库作为项目的一部分链接。在命令行上,确保要链接的文件列表包含对象文件或库。原因3。
vs error 无法解析外部符号 _main,该符号在函数 “int __cdecl invoke_main
highlighters的博客
05-28 1万+
原因分析 出现这种问题的原因,有很多种,第一种也是最常见的,是你的项目中出现了多个cpp文件,而且里面包含多个main函数。 第二种是你的代码是从qq或其他方式(如记事本)复制而来的代码,这种时候换行符可能会发生变化,看了网上大佬的解释,换行符是有很多个编码的,格式不对就会出问题,这种时候往往会提示要求你将源文件转化为DOS或UNIx格式,出现警告说明你属于这一种情况,你需要在vs的文件菜单里找到高级保存选项(vs高版本需要在设置里调出来,不会的百度搜),然后选择window(CR LF),即window
用二进制数字串生成二维码图片
qq_41704774的博客
04-20 1万+
用二进制数字生成二维码代码细节 打CTF比赛时,遇到题目将flag隐藏到二进制数中,数字的长度为一个整数的平方,以01表示黑白,利用Python3的PIL中的Image库,用二进制生成一个二维码。 找了我半天,主要是写个备忘。。 代码 from PIL import Image MAX = 25 pic = Image.new("RGB",(MAX, ...
C纠错1:LNK2019: 无法解析外部符号 _main或_WINMAIN,该符号在函数 int __cdecl invoke_main(void)“ (?invoke_main@@YAHXZ)
weixin_61015911的博客
12-26 2万+
报错 错误 LNK2019 :无法解析外部符号 _main,函数 “int __cdecl invoke_main(void)” (?invoke_main@@YAHXZ) 中引用了该符号 错误 LNK1120 :1 个无法解析外部命令 原因分析 c语言运行时找不到适当的程序入口函数 1.项目中无入口函数/启动项目中无入口函数 2.项目创建问题 如果是Windows程序,那么WinMain是入口函数,在VS2013中新建项目为“win32项目”,在VS2019中用“windows桌面向导”创建 如果是控
错误LNK2001 无法解析外部符号 main
excelNo1的博客
06-02 7164
前言:在拷贝项目源码的时候,生成代码的时候出现无法解析外部符号 main。记录下问题1.一般常见的无法解析外部符号,都是头文件和lib文件的路径错误导致的。无法解析外部符号main 和头文件及lib文件路径无关。 2.考虑是拷贝代码的格式导致的这个问题。 1.找到VS的高级保存选项,如果没有需要手动调出来。 1.1首先找到工具选项卡->自定义 1.2在自定义选项卡中选择命令->菜单栏选择文件->添加命令(A)… 1.3在添加命令选项卡中,类别选择文件,命令选择高级保存选项。 2.在VS 中使用高
ELF解析工具 v1.7(elf格式解析工具)
11-05
支持全部ELF类型解析。支持32位/64位elf文件自适应解析、可解析elf文件头、程序头、节头、字符表、符号表、...可以解析linux及大部分嵌入式的编译输出文件,如gcc、keil mdk、iar、ccs等编译器的输出文件格式均为ELF
ELF_File_Format.rar_elf_elf文件格式
09-20
详细分析了elf文件的格式,对于理解elf很有帮助
ELF_Format.pdf.rar_ELF_Format.pdf_elf_elf文件格式 pdf
09-20
ELF文件格式,英文版,详细介绍ELF文件格式
ELF文件格式_ELF文件格式_
10-03
ELF文件格式(中文),对于了解ELF文件的加载与执行有一定帮助
ELF文件格式解析
合天网安学院
11-07 361
ELF文件格式的相关知识是Linux下进行pwn以及reverse的基础,是二进制可执行文件的一种形式,下面我们通过一个ELF文件的生成,并结合其ELF文件结构分析一下一个二进制文件在系...
C++错误:无法解析外部符号 main
qq_44811775的博客
09-19 2032
除了常见的窗口和控制台的设置区别。这里我作为一个初学者,在学习中发现,如果创建了多个项目,而没有把当前项目设置为"启动项目",那么在调试该项目中的代码时会报错:LINK2019。具体需要在”解决方案管理器中“,选择目标项目,右击选择”设为启动项目“,可以看到,目标项目的名称字体会变粗,则能正常调试代码。
MSVCRTD.lib(crtexe.obj) : error LNK2019: 无法解析外部符号 _main,该符号在函数 ___tmainCRTStart
热门推荐
tonykk2008的专栏
11-13 2万+
http://blog.sina.com.cn/s/blog_685febef01011bvv.html 无法解析外部符号 _main,该符号在函数 ___tmainCRTStartup 中被引用 在编程时经常遇到“无法解析外部符号 _main,该符号在函数 ___tmainCRTStartup 中被引用”这样的错误,最近看了一些这方面的书籍,现将解决方案大概叙述一下: 连接程序
C/C++报错:无法解析外部符号 _main,该符号在函数 “int __cdecl invoke_main(void)“的处理方法
qq_41043166的博客
09-24 7544
无法解析外部符号main/winmain
VS报错无法解析外部符号.....
最新发布
qq_45615577的博客
09-27 2851
我们在使用VS编译器编写C代码运行时提示:严重性 代码 说明 项目 文件 行 禁止显示状态错误 LNK2019 无法解析外部符号 _main,函数 “int __cdecl invoke_main(void)” (?invoke_main@@YAHXZ) 中引用了该符号 StudyCProject E:\VisualStudioProjects\StudyCProject\StudyCProject\MSVCRTD.lib(exe_main.obj) 1有多种方法会造成此错误。 所有这些方法都涉及引用链接
二进制转二维码
Marco0007的博客
08-23 319
binary_nums = """二进制字符串""".replace('\n', '')
ELF格式
RToax
12-12 270
ELF - OSDev Wikihttps://wiki.osdev.org/ELF ELF (Executable and Linkable Format) was designed by Unix System Laboratories while working with Sun Microsystems on SVR4 (UNIX System V Release 4.0). Consequently, ELF first appeared in Solaris 2.0 (aka SunOS 5.
无法解析外部符号main
qq_42377644的博客
08-29 4674
今天在写程序的时候遇到个问题: 然后就去看了相应的解决方法 发现都不管用: 1.不是文件名.c或.cpp的问题 2.不是没有包含相应头文件的问题 3.不是写的控制台程序而使用的Windows连接程序(Winmain) 最后发现是因为在刚开始打开项目的时候点为了打开文件夹 而后在其中创建了一个CPP文件,写好代码后发现右侧目录不对后又重新以打开项目的方式打开,然后进行编译,就出现了上述错误。 于是我又在项目下重新创了一个新的CPP文件再写入刚才的代码就能编译了 ...
error LNK2019: 无法解析外部符号 _main,函数 “int __cdecl invoke_main(void)“ (?invoke_main@@YAHXZ) 中引用了该符号1>
qq_54870433的博客
04-22 2426
C++编译链接中出现LNK2019错误的原因分析及修改方法
使用C语言解析elf文件,得到elf文件的链接脚本
04-24
为了解析ELF文件并获取链接脚本,您可以使用类似libelf的库。Libelf是一种开放源代码库,可用于访问ELF文件的内容。以下是一个简短的C程序示例,该程序使用libelf解析ELF文件并获取链接脚本: ``` #include <fcntl.h> #include <libelf.h> #include <stdio.h> int main() { //打开ELF文件 int fd = open("path/to/elf", O_RDONLY, 0); if (fd < 0) { perror("open failed"); return 1; } //加载ELF文件 Elf *e = elf_begin(fd, ELF_C_READ, NULL); if (e == NULL) { perror("elf_begin failed"); return 1; } //获取链接脚本的字符串节 size_t shstrndx; if (elf_getshdrstrndx(e, &shstrndx) != 0) { perror("elf_getshdrstrndx failed"); return 1; } Elf_Scn *scn = NULL; while ((scn = elf_nextscn(e, scn)) != NULL) { //获取节头 GElf_Shdr shdr; if (gelf_getshdr(scn, &shdr) != &shdr) { perror("gelf_getshdr failed"); return 1; } //获取节名 char *sec_name = elf_strptr(e, shstrndx, shdr.sh_name); if (sec_name == NULL) { perror("elf_strptr failed"); return 1; } //如果是链接脚本节 if (shdr.sh_type == SHT_PROGBITS && strcmp(sec_name, ".linker_script") == 0) { //获取数据 char *data = (char*)malloc(shdr.sh_size); if (data == NULL) { perror("malloc failed"); return 1; } if (gelf_getdata(scn, data, shdr.sh_size, shdr.sh_offset) == NULL) { perror("gelf_getdata failed"); return 1; } //打印链接脚本数据 printf("%s\n", data); free(data); } } //释放ELF 文件 elf_end(e); close(fd); return 0; } ``` 请注意,这只是一个简单的示例程序。实际上,解析ELF文件可能会更复杂,取决于所需的信息类型。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值