Return-to-dl-resolve

最新推荐文章于 2022-04-09 10:34:53 发布
最新推荐文章于 2022-04-09 10:34:53 发布
阅读量478 收藏 2
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszcr/article/details/79969423
版权

前置知识:

ELF可执行文件由ELF头部,程序头部和其对应的段,节头部表和其对应的节组成。

ELF文件结构如果想深入了解的话可以看下《程序员的自我修养》的第三章 P70

如果一个可执行文件要进行动态链接,它的程序头部表将包含类型为PT_DYNAMIC的段,它包含.dynamic节结构如下

typedef struct {
    Elf32_Sword d_tag;
    union {
        Elf32_Word d_val;
        Elf32_Addr d_ptr;
    } d_un;
} Elf32_Dyn;

其中tag对应着每个节 


JMPREL对应 .rel.plt 用来保存运行时重定位表

SYMTAB对应着符号表.dymsym  它是一个Elf32_Sym结构的数组 

STRTAB对应着字符串表.dymstr 用来存放动态链接时需要用到的字符串


ELF中节中包涵目标文件的所有信息,节的结构如下

typedef struct {
    Elf32_Word sh_name;      // 节头部字符串表节区的索引
    Elf32_Word sh_type;      // 节类型
    Elf32_Word sh_flags;     // 节标志,用于描述属性
    Elf32_Addr sh_addr;      // 节的内存映像
    Elf32_Off  sh_offset;    // 节的文件偏移
    Elf32_Word sh_size;      // 节的长度
    Elf32_Word sh_link;      // 节头部表索引链接
    Elf32_Word sh_info;      // 附加信息
    Elf32_Word sh_addralign; // 节对齐约束
    Elf32_Word sh_entsize;   // 固定大小的节表项的长度
} Elf32_Shdr;


.rel.plt节是用于函数重定位 ,.rel.dyn节是用于变量重定位

typedef struct {
    Elf32_Addr r_offset;    // 对于可执行文件,此值为虚拟地址
    Elf32_Word r_info;      // 符号表索引
} Elf32_Rel;

#define ELF32_R_SYM(info) ((info)>>8) #符号在符号表中的索引,占r_offset的高24位
#define ELF32_R_TYPE(info) ((unsigned char)(info))重定位类型 占r_offset的低8位
#define ELF32_R_INFO(sym, type) (((sym)<<8)+(unsigned char)(type))

.rel.plt 中的offset 对应着r_offset 是函数在.got.plt表中的位置, Info对应着r_info的高24位,Type对应着r_info的低8位 



GOT表是一个简单数组,存放各种绝对地址。

GOT[0] 存放的是动态链接数组_dynamic[]的地址,GOT[1]存放的是一个link_map类型的指针

GOT[2]存放的是动态链接器的解析函数<dl_runtime_resolve>的入口地址


PLT表是由一小段一小段代码组成的(几条控制跳转的汇编语句)

PLT0:

push GOT[1];

jmp GOT[2];

.......

PLTn:

jmp GOT[x+n];

push n; #relocation offset of symbol ,the second argument of _dl_runtime_resolve

jmp PLT0; call the rtld


程序第一次调用位于.got.plt表中的函数时 ,会跳转回plt表中

然后将参数压入栈中 ,这个参数是reloc_offset 是函数在got表中的偏移

接着会跳转到PLT0,将link_map压入栈中,在调用_dl_runtime_resolve函数来对函数进行重定位

这个函数原型是_dl_runtime_resolve(link_map,reloc_offset)

调用_dl_runtime_resolve函数后

先根据reloc_offest 找到要解析符号的重定位项结构信息reloc

ELF32_Rel *rel_entry = JMPREL + reloc_offset

然后在根据reloc->r-info 找到符号在符号表中的索引

ELF32_Sym *sym_entry = SYMTAB[ELF32_R_SYM(rel_entry->r_info)]

其中还会对重定向符号的类型进行检测

 assert (ELFW(R_TYPE)(reloc->r_info) == ELF_MACHINE_JMP_SLOT);

接着在通过.dymsym项中的st_name找到符号在字符串表.dymstr中的偏移

char *sym_name = STRTAB + sym_entry->st_name

最后通过fixup()函数遍历各个库的符号表 找到函数地址再将地址写入GOT表对应的位置中

当程序第二次调用这个函数时,就会直接调用这个函数


如果想对动态链接更进一步了解的话

可以看《Linux动态链接机制研究及应用》、《程序员的自我修养》

zs0zrc
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
栈溢出利用之return to dl-resolve payload 构造原理(二)
M021的专栏
11-03 2088
return to dl-resolve payload构造原理
栈溢出利用之return to dl-resolve实例
M021的专栏
10-07 3525
最近学习了一下漏洞原理与利用,学习到栈溢出漏洞利用的一些技巧,记录下自己的学习心得。关于return to dl-resolve的原理,网上有许多的文章已经写的很清楚了,就不赘述。本文主要是根据return to dl-resolve的原理,实现32位和64位环境下的漏洞利用。
栈溢出利用之Return to dl-resolve
hl1293348082的专栏
04-09 197
0x00 前言 在CTF中一般的栈溢出题目会给出程序对应的libc,这样我们在泄漏一个libc地址之后就能根据偏移量去计算libc的其他地址,比如system、/bin/sh或是libc基址。 那如果题目中没有给出libc,我们就无法得知题目所用的libc版本。这个时候如果我们要计算system函数的地址的话,可以利用泄露出的libc地址去http://libcdb.com搜索对应的libc版本,因为一个libc函数地址的低三位在对应的libc版本中总是不变的。(当然你也可能搜不到) 今天要介绍的这项技术
Return-to-dl-resolve浅析
weixin_30338743的博客
05-05 134
本文介绍一种CTF中的高级rop技巧-Return-to-dl-resolve,不久前的0CTF中的babystack和blackhole就用到了这个技巧。 预备知识 在开始本文前希望大家能预先了解一下什么叫延迟绑定 好了,我们开始 假设存在以下程序: //gcc x86.c -fno-stack-protector -m32 -o x86 #include <unistd.h> #i...
从0ctf2018 babystack学习return to dl-resolve
极目楚天舒的博客
05-06 1846
0x01程序分析首先查看main函数,比较简单,调用了alarm和sub_80483B,进入sub_80483B看看。sub_80483B的作用是读取0x40个字节到ebp-40处,这里显然存在栈溢出漏洞。发现只开了一个栈不可执行,于是想构造rop链。但是整个文件搜索下来也没有发现什么有价值的gadget。0x02  return to dl-resolve知识学习玩过pwn的赛棍都知道,pwn题...
栈溢出利用之return to dl-resolve payload 构造原理(一)
M021的专栏
11-02 3336
前段时间,学习了return to dl-resolve 方法,并且分别在32位应用和64位应用上实践了一番,现记录下我的学习心得。
基于符号执行的Return_to_省略_esolve利用代码自动生成方法_方皓1
08-03
【标题】: "基于符号执行的Return-to-dl-resolve利用代码自动生成方法_方皓1" 【描述】: "Return-to-dl-resolve是一种通用的漏洞利用技术,能够突破复杂的防护机制,目前主要依赖手工实现,需要研究人员深入理解ELF...
linux 栈溢出学习之return_to_dl-resolve
jmp esp
12-16 1296
符号动态解析原理符号解析一个可执行文件可能会包含外部符号,可以简单的理解为包含“库函数”。这些函数(符号),在运行的时候必须得知道他们的地址,一个可执行文件在装载的时候,即使其本身装载的位置是固定的,其“库函数”所在的文件的装载位置是不定的,但是又必须知道其精确地址才可以进行运行。所以,符号解析,即将外部符号的具体地址找到,包含两种方法: 静态解析:在编译之后的链接过程中,将外部符号所在的共享库的整
Linux pwn 之 ret2_dl_resolve
蚁景网安学院
12-27 416
点击置顶链接上合天lab玩转CTF!了解re2_dl_resolve,首先要弄清楚基础的got表和plt表got表 和 plt表plt表,过程链接表,过程链接表的作用是将位置无关的符号转...
pwn学习之dl_resolve学习篇
04-28 293
一:首先来了解一下linux下常见的攻击缓解机制: CANARY:(金丝雀值,指的是矿工曾利用金丝雀来确认是否有气体泄漏,如果金丝雀因为气体泄漏而中毒死亡,可以给矿工预警),类似于windows GS技术,当栈溢出发生时,canary值将在已保存的指令指针被重写前先改变。系统检测这个值是否改变,栈溢出发生了,保存的指令指针可能也被修改了,因此不能安全返回,函数...
ROP攻击初试 Return2PLT
lingyuexueai的博客
08-05 588
具体内容在http://netsecurity.51cto.com/art/201703/534647.htm,这里摘取操作步骤,原理有待以后补充 关于PLT的介绍来自http://pwdme.cc/2017/09/26/lazy-binding-in-detail/ 最后解释了一下为什么写入数据字节数是28个A Procedural Linkage Table,也就是PLT是过程链接表,为...
绿盟杯NSCTF(CCTF)2017 pwn writeup
jmp esp
07-22 6060
前言比赛有无数值得吐槽的地方,其中最主要的是,题目给了pwn的libc,然而,特么是错的,也就是说虽然给了libc,但是其实还是靠运气/当做没有libc解,顺手记录一下这两个水题。pwn1分析mainint __cdecl main() { alarm(0x1u); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); p
相对定向绝对定向 MFC 实现 CSU摄影测量学
一青的博客
08-02 4211
相对定向绝对定向 MFC 实现 CSU摄影测量学 摄影测量学基础 一、 实验目的 二、实验内容与要求 三、设计与实现: 3.1设计思路 3.1.1 基本框架: 3.1.2 成员关系: 3.2 界面设计及属性: 3.3 主要代码: 3.3.1 文件:Matrix.h 3.3.2文件:Math.cpp 3.3.3文件:Data.h 3.3.4文件:Data.cpp 3.3.5文件:Support.h 3.3.6文件:Support.cpp 3.3.7文件:< RS_110_Z_O
ROPEmporium通关全解(八)
Yale的博客
12-24 427
前言 这次会用到Blackhat2018议题(return to csu) 操作 来到第八关 题目提示 没有合适的rop gadgets,该如何在没有pop rdx的情况下写入rdx呢 先看一下基本信息 载入r2 main没有什么值得注意的地方,我们直接看 pwnme的 可以看到要求rdx必须是指定的字符串 和ret2win的 我们先看看ropgadget 可以看到和rdx相关的只有 没有pop...
return-to-libc攻击实验
stonesharp的专栏
08-06 5025
第一部分 实验背景        缓冲区溢出的常用攻击方法是用shellcode的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中shellcode。于是为了阻止这种类型的攻击,一些操作系统(比如Fedora)使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的shellcode就会崩溃,从而阻止了攻击。        不幸的是上面的保护方式并不是完全有效
Linux64位程序中的漏洞利用
weixin_34121304的博客
04-15 537
之前在栈溢出漏洞的利用和缓解中介绍了栈溢出漏洞和一些常见的漏洞缓解 技术的原理和绕过方法, 不过当时主要针对32位程序(ELF32). 秉承着能用就不改的态度, IPv4还依然是互联网的主导, 更何况应用程序. 所以理解32位环境也是有必要的. 不过, 现在毕竟已经是2018年了, 64位程序也逐渐成为主流, 尤其是在Linux环境中. 因此本篇就来说说64位下的利用与32位下的利用和缓解绕过方法...
通过ELF动态装载构造ROP链 ( Return-to-dl-resolve
weixin_33885676的博客
03-08 238
Bigtang · 2016/04/08 10:550x00 前言玩CTF的赛棍都知道,PWN类型的漏洞题目一般会提供一个可执行程序,同时会提供程序运行动态链接的libc库。通过libc.so可以得到库函数的偏移地址,再结合泄露GOT表中libc函数的地址,计算出进程中实际函数的地址,以绕过ASLR。这种手法叫return-to-libc。本文将介绍一种不依赖libc的手法。以XDCTF2015-...
curl命令 --resolve
最新发布
09-15
--resolve ``` 其中,`<host>`表示主机名,`<port>`表示端口号,`<address>`表示要绑定的IP地址。 例如,要将主机名example.com解析为IP地址192.168.0.1,并将其绑定到端口80上,可以使用以下命令: ``` curl --...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值