栈溢出利用之return to dl-resolve payload 构造原理(一)

最新推荐文章于 2024-09-24 18:00:58 发布
最新推荐文章于 2024-09-24 18:00:58 发布
阅读量3.3k 收藏 6
点赞数
分类专栏: PWN 文章标签: 栈溢出 延迟绑定
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/guiguzi5512407/article/details/53012878
版权
本文介绍了return to dl-resolve这种栈溢出攻击技术,重点解析了Linux glibc的延迟绑定原理,包括过程链接表(PLT)、重定位表、全局偏移表、动态链接符号表等关键概念,详细阐述了函数在动态链接过程中的解析流程,以及32位和64位应用中的差异。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00. 写在前面

Return to dl-resolve是一种新的rop攻击方式,出自USENIX Security 2015上的一篇论文How the ELF Ruined Christmas。前段时间,学习了return to dl-resolve 方法,并且分别在32位应用和64位应用上实践了一番。网上有很多文章讲解return to dl-resolve的原理,现记录下我的学习心得,如有不对的地方,欢迎斧正。

0x01. dl-resolve解析原理

return to dl-resolve 主要是利用Linux glibc的延迟绑定技术(Lazy binding)。Linux下glibc库函数在第一次被调用的时候,才会去寻找函数的真正地址然后进行绑定。在这一过程中,主要由过程链接表(PLT)提供跳转到解析函数的胶水代码,然后将函数的真正地址回填到函数的全局偏移表中,再将控制权交给需要解析的函数。

首先,了解一下在动态链接过程中需要的辅助信息:重定位表(.rel.plt和.rel.dyn)、全局偏移表(.got和.got.plt)、动态链接符号表(.dyn.sym)、动态链接字符串表(.dyn.str)。

1) 重定位表
重定位表中.rel.plt用于函数重定位,.rel.dyn用于变量重定位。函数重定位表的主要作用是提供函数在动态链接符号表以及全局偏移表中的位置。具体的,函数重定位表表项为地址解析函数提供一个参数(r_info的前24位),定位需要解析的函数;为重定位入口提供一个偏移地址,定位函数地址的保存位置(r_offset),即函数的全局偏移表值(.got.plt)。重定位表的定义如下:

typedef struct
{
  Elf32_Addr    r_offset;       /* Address */
  Elf32_Word    r_info;         /* Relocation type and symbol index */
} Elf32_Rel;

typedef struct
{
  Elf64_Addr    r_offset;       /* Address */
  Elf64_Xword   r_info;         /* Relocation type and symbol index */
  Elf64_Sxword  r_addend;       /* Addend */
} Elf64_Rela;

2) 全局偏移表
全局偏移表中.got 保存全局变量偏移表,.got.plt 保存全局函数偏移表。全局函数偏移表主要保存了函数在内存中的实际地址,刚开始全局函数便宜表中存放的是:过程链接表PLT中该函数胶水代码中的第二条指令地址。在函数解析之后,才存放了函数的真正地址。以XMAN中32位ELF level4中的read@plt为例:

~/workspace/pwn/jarvisoj/xman$ objdump -d -j.plt level4
level4:     file format elf32-i386
Disassembly of section .plt:
08048300 <read@plt-0x10>:
08048300:   ff 35 04 a0 04 08       pushl  0x804a004
08048306:   ff 25 08 a0 04 08       jmp    *0x804a008
0804830c:   00 00                   add    %al,(%eax)
   ...
08048310 <read@plt>:
08048310:   ff 25 0c a0 04 08       jmp    *0x804a00c
08048316:   68 00 00 00 00          push   $
最低0.47元/天 解锁文章
ret2dlresolve以及srop
2301_81031055的博客
02-22 642
linux在加载ELF可执行文件的时候,包含的动态链接文件里的符号,并不会直接把这些符号的实际地址加载到内存中,而是会使用PLT + GOT 表来实现延迟绑定,简单说就是在第次用到动态链接文件里的符号的时候才会去寻找符号的实际位置然后保存下来,下次使用的时候就可以直接访问了。所以我们就会想到用srop去解题,首先需要伪造栈帧信息,通过执行sigreturn(也就是syscall系统调用),还原出我们伪造的栈帧信息,来达到控制寄存器的目的 ,上面的网站有详细的讲解呦!这里我们可以直接通过脚本去获取权限。
栈溢出利用return to dl-resolve payload 构造原理()
M021的专栏
11-03 2169
return to dl-resolve payload构造原理
路由器漏洞挖掘之栈溢出 - 反弹shell的payload构造
abc380620175的博客
03-22 1002
前言 前篇讲到了 ROP 链的构造,最后直接使用调用 execve 函数的 shellcode 就可以直接 getshell,但是实际路由器溢出的情况下都不会那么简单。 这里再看道 DVRF 的题,这道题是 pwnable/ShellCode_Required 下的 socket_bof。 漏洞分析 直接查看源码: #include <sys/types.h> #incl...
ret2dl_resolve
最新发布
GalaxySpaceX的博客
09-24 904
ret2dl_resolve
ret2dl-resolve
fa1c4的blog
04-19 412
最早是2015年在篇论文中提出的攻击技术. How the ELF Ruined Christmas 因为通常漏洞利用包含两个阶段 信息泄露, 得知内存布局 通过已知内存布局, 利用漏洞 但由于不是常常能够得知内存信息, 所以ret2dl-resolve种仅仅利用ELF文件格式和动态装载器弱点进行漏洞利用的方法. 符号解析图示 .rel.plt段由Elf_Rel结构体构成 Elf_Rel结构体 struct Elf32_Rel { Elf32_Addr r_offset; // Loca
缓冲区栈溢出利用 Exploit 形成完整攻击链完全攻略(含有 PayLoad
CuiXY's Blog
05-19 535
0x01 前言
栈溢出利用return to dl-resolve实例
M021的专栏
10-07 3579
最近学习了下漏洞原理利用,学习到栈溢出漏洞利用些技巧,记录下自己的学习心得。关于return to dl-resolve原理,网上有许多的文章已经写的很清楚了,就不赘述。本文主要是根据return to dl-resolve原理,实现32位和64位环境下的漏洞利用
从0ctf2018 babystack学习return to dl-resolve
极目楚天舒的博客
05-06 1894
0x01程序分析首先查看main函数,比较简单,调用了alarm和sub_80483B,进入sub_80483B看看。sub_80483B的作用是读取0x40个字节到ebp-40处,这里显然存在栈溢出漏洞。发现只开了个栈不可执行,于是想构造rop链。但是整个文件搜索下来也没有发现什么有价值的gadget。0x02  return to dl-resolve知识学习玩过pwn的赛棍都知道,pwn题...
栈溢出漏洞利用小结
M021的专栏
10-07 3186
总结栈溢出漏洞利用的技巧。在分析个可执行文件前,需要先利用file命令判断是32bit还是64bit,注意函数传参时栈平衡。然后看看开启了什么防护,比如:NX、PIE、RELRO、FORTIRY、CANARY。如果开启了CANARY,就不是栈溢出利用那么简单了。
浅析ret2dl_reslove
2301_79327647的博客
08-04 1184
/Dynamic entry type(动态段标识号)union} d_un;//动态段起始地址//表示重定位所作用的虚拟地址或got表处的真实地址//这是个复合值,包括了重定位类型和符号表下标其中我们需要记住r_info是个复合值,其高32位表示该重定位项在动态链接符号表.dynsym中对应项的下标,低32位表示该重定位项的重定向类型。/* 符号名,符号在字符串表STRTAB中的偏移 *//* 符号类型及绑定属性 */
【pwn学习】- ret2dlresolve
Morphy_Amo的博客
04-12 3731
ret2dlreslove
Ret2dl_resolve学习笔记
sopora的博客
06-17 895
ret2dl_resolve原理: 动态链接相关函数_dl_runtime_resolve(link_map_obj, reloc_index) 功能:在第次调用某函数时运行,绑定其地址到对应的GOT表项 第个参数link_map_obj恒为GOT[1]的地址 第二个参数reloc_index为被绑定函数在.rel.plt段中的相对偏移 原理: 调用_dl_runtime_...
ret2dl_resolve 知识点总结
qq_43189757的博客
07-11 463
ret2dl-resole 是通过伪造到 .rel.plt , .dynsym, .dynstr中表项中的偏移以及伪造这三个段中的数据结构来达到调用system 函数的目的 这三个段的信息都可以在IDA中 DYNAMIC 段中找到 DT_STRTAB -> .dynstr DT_SYMTAB -> .dynsym DT_JMPREL -> .rel.plt...
栈溢出之ret2dlresolve
zyxx_wjc的博客
05-07 1032
三月份在buuctf上举办的DASCTF上有道“简单"的栈题——checkin,然而我这个菜鸡拿到题之后直接麻爪了——没有输出咋泄露libc啊(这个Jmp.Cliff他就是逊啦......)......后来学长告诉我,有个技巧叫ret2dlresolve,可以处理这种没有输出的情况,自知基础不牢的我老老实实回到CTF wiki上找到了这个技巧,又参考了网上很多大佬的博客,啃了几天,总算是啃明白了。这两天国赛临近,正积极备赛,突然想到这个有些生疏的知识还未整理,就写个博客记录下吧。 本文主要围绕64位下
ret2_dl_resolve原理和案例分析
蚁景网安学院
02-27 647
个简单程序说起在只有个二进制程序 dl_resolve 的情况下, 先侦查下程序file 看dl_resolveELF 32-bit LSB executable, Inte...
ret2dlresolve归纳
am_03的博客
09-02 365
ret2dl_resolve原理: 动态链接相关函数_dl_runtime_resolve(link_map_obj, reloc_index) 功能:在第次调用某函数时运行,绑定其地址到对应的GOT表项 第个参数link_map_obj直为GOT[1]的地址 第二个参数reloc_index为被绑定函数在.rel.plt段里的相对偏移 原理: 1.调用_dl_runtime_resolve,修改reloc_index,令其指向伪造在栈里的重定向表表项 2.- 伪造重定向表表项,修改第二项里符号表索
Return-to-dl-resolve
zszcr的博客
04-19 523
前置知识:ELF可执行文件由ELF头部,程序头部和其对应的段,节头部表和其对应的节组成。ELF文件结构如果想深入了解的话可以看下《程序员的自我修养》的第三章 P70如果个可执行文件要进行动态链接,它的程序头部表将包含类型为PT_DYNAMIC的段,它包含.dynamic节结构如下typedef struct { Elf32_Sword d_tag; union { ...
ret2dlresolve利用方法
九层台
05-10 2451
使用场景: 遍运行(延迟绑定技术,只有在第次调用该函数时才会调用_dll_runtime_resolve函数) 没有输出,没有system函数。 需要: 1.向个固定地址写入数据(bss段) 2.能够劫持程序执行流 linux下c函数是放在libc库里面的 ldd pwn01 linux-gate.so.1 => (0xf7ef2000) libc.s...
从o开始的pwn学习之超详细ret2dl_resolve
jzc020121的博客
05-01 3072
文章目录从o开始的pwn学习之超详细ret2dl_resolve前置知识需要用到的节_dll_runtime_resolve函数延迟绑定机制_dl_fixup()函数RELROFull RELRONO RELROPartial RELRO_dll_runtime_resolve干了什么实践调用库函数实例插个有意思的小点,关于低地址gdb无法断点调试这件事call指令的诞生与消亡栈迁移ret2dl_resolvelevel1EXP1level2目标计算 relloc_argEXP2level3思路EXP3l
ember-cli-resolve-asset插件:资产管理与路径解析指南
资源摘要信息:"ember-cli-resolve-asset 是个 Ember.js 插件,它用于解析资产路径,并将其转换为带有指纹识别的对应路径。指纹识别是种技术,它通过添加段独无二的标识符(通常是基于文件内容的哈希值)到...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值