glibc动态链接器dl_runtime_resolve简要分析

最新推荐文章于 2024-10-13 21:24:57 发布
最新推荐文章于 2024-10-13 21:24:57 发布
阅读量3.3k 收藏 10
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Pwn C Reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jazrynwong/article/details/89851640
本文简要分析了glibc动态链接器的核心部分——dl_runtime_resolve,包括动态链接过程、plt节的作用、link_map结构分析以及_dl_fixup函数的功能。通过对elf动态段的了解,展示了动态绑定如何在首次调用时完成重定位。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

dl_runtime_resolve简要分析

资料

glibc 2.9 source
linux elf 手册
&各种百度搜索

基于32位elf,64位一些结构会略有不同,新手学习,如果有理解错误,请师傅们帮忙指出。

elf执行时动态绑定简要分析

动态链接的过程

动态链接中起到核心作用的是got节和plt节,链接器为所有共享目标文件(shared object)中未定义的(undef)外部符号生成一个got表,每个got表项存储符号在运行时的实际值(地址),plt表中的每一项实际是一段指令,每个外部函数都有一个对应的plt项他指导系统完成动态链接,或是执行外部函数。

plt节

plt节中一组代码如下所示:

 fgets.plt:
       jmp      fgets.got
       push     fgets.rel offset
       jmp      xxxxx ;plt[0]的地址这里存储的是调用动态链接器的过程指令

如上所示,如果程序调用了fgets函数(代码段中实际调用了fgets.plt的地址),并且fgets使用动态链接方式,linux的延迟绑定机制(直到第一次调用才会完成重定位)会为当前函数调用动态链接器已完成对got表的修改。

由于所有函数在完成绑定之前,他们对应got表的值实际上是对应plt项的第二条指令,即如上push xxxx,该指令会将fgets函数在重定位表中的偏移压入栈上,而后执行jmp plt[0],去执行plt[0]位置的代码。

plt[0]保存的代码如下:

       push  got 1  ;link_map
       jmp   got 2  ;dl_rumtime_resolve

压got[1] (保存了本模块的link_map结构,后文介绍)中保存的值入栈,跳转执行got[2]中的函数,实际上就是动态链接器dl_runtime_resolve的地址。dl_runtime_resolve的实现在glibc源代码中的dl-trampoline.c中,是一段汇编形式的代码,他调用了内部函数 _dl_fixup(struct link_map *__unbounded l, ElfW(Word) reloc_offset)来处理动态链接,刚刚压入栈的值就是作为他的参数。完成链接后,对应got表项中的值会变为实际函数地址,此后对plt表项的调用,将直接跳转到实际got表项的函数内,不会再进行重复绑定。

link_map结构简要分析

有关link_map的定义位于glibc源码的link.h中

r_scope_elem

/* Structure to describe a single list of scope elements.  The lookup
   functions get passed an array
最低0.47元/天 解锁文章

200万优质内容无限畅学
glibc: _dl_addr
mzhan017的博客
08-26 661
文章目录问题分析glibc 调用关系 问题 在调试一个程序的CPU使用率高的案例,发现 _dl_addr 使用比较高; Samples: 895K of event ‘cpu-clock’, Event count (approx.): 223810000000 Children Self Command Shared Object Symbol 40.34% 39.96% manager libc-2.17.so
ret2dl_runtime_resolve实例分析
Hello World.c
05-07 543
dl_runtime_resolve实例分析 IDA静态分析 这里用2019信安国赛的baby_pwn来做演示(就是因为这个做不出来去做了好多功课),实例程序test在文件夹下,hack.py是实现本地攻击的脚本 首先使用checksec查看文件保护状态,由于是partial relo所以并没机会改写动态段的字符串表地址。所以我们直接伪造所有所需要的参数结构。 ida动态段信息如下 d_ta...
_dl_runtime_resolve源码分析
conansonic的博客
01-23 8589
_dl_runtime_resolve 重定位、动态链接、静态连接、延迟绑定
好好说话之ret2_dl_runtime_resolve
hollk’s blog
07-21 3149
当初毕业论文就写了一万五千字,没想到一篇ret2_dl_runtime_resolve博客三万两千字~~我吐了~~ 。由于内容比较详细,无法避免有些知识点会忘记,可以通过目录翻阅忘记的内容 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
_dl_runtime_resolve
farmwang的专栏
06-21 2207
_dl_runtime_resolve是怎么知要查找printf函数的_dl_runtime_resolve找到printf函数地址之后,它怎么知道回填到哪个GOT表项到底_dl_runtime_resolve是什么时候被写到GOT表的 前2个问题,只需要一个信息就可以了知道,这个信息就在藏在在函数对应的xxx@plt表中,以foo@plt为例: 0000000000400590 :
ROP高级用法之ret2_dl_runtime_resolve
热门推荐
钞sir的博客
04-29 1万+
简介 程序想要调用其他动态链接库的函数,必须要在程序加载的时候动态链接;在一个程序运行过程中,可能很多函数在程序执行完时都不会用到,比如一些错误处理函数或者一些用户很少用到的功能模块;所以ELF采用一种叫做延迟绑定(Lazy Binding)的做法,基本思想就是当函数第一次被用到的时候才进行绑定(符号查找、重定位等); 而在linux 中是利用_dl_runtime_resolve(link_ma...
栈溢出0x0D ret2_dl_runtime_resolve
砖家
10-13 839
实际上,dl_runtime_resolve 是通过最后的 字符串 来确定执行那一个函数的,也就是说,可以通过控制这个地址的内容来执行任意函数,比如:system而 reloc_arg 是我们可控的,我们需要控制reloc_arg 间接控制 最后的字符串。为什么要使用ret2dlresolve?因为如果程序中没有类似puts或者printf的输出函数我们没办法泄露libc,那该怎么办?我们急需一种通用技术。
glibc_2.3.4-3.41_amd64.deb
08-17
Ubuntu 18.04.4安装Oracle11.2.0.4,检查依赖关系无法通过,缺少glibc_2.3.4-3.41包,。
glibc-ports-2.5.tar.gz_glibc_glibc-2.2.5_glibc-ports_glibc-ports
09-23
glibc-ports-2.5:Linux操作系统与微处理接口的关键组件》 在Linux操作系统的世界里,Glibc(GNU C Library)是一个至关重要的组成部分,它提供了系统调用的接口和许多C语言的标准库函数。Glibc-ports是Glibc的...
高级ret2_dl_runtime_resolve
Jc
07-02 630
Ret2dl 准备: readelf工具的使用 -h 显示文件的头部信息 -l(program headers),segments 显示程序头(段头)信息(如果有数据的话)。 -S(section headers),sections 显示节头信息(如果有数据的话)(区分大小写) -g(section groups),显示节组信息(如果有数据的话) -t,section-details 显示节的...
Nguyen:OptiROP——ROP gadgets搜寻神
05-29
9月25日,SyScan360 2013国际前瞻信息安全会议在北京国家会议中心举行。安全专家Nguyen Anh Quynh同与会者共同探讨《OptiROP:ROP gadgets搜寻神》这一议题,并现场传授使用OptiROP的方法。
ret2dl_runtime_resolve
SOSKUN的博客
06-17 397
这个链表记录了程序运行时所加载的共享对象的相关信息,包括加载地址、文件名、动态链接信息等。:所有的外部引用变量/函数都将在程序装载时由动态链接解析完成,,全局偏移量表,每个条目是该函数对应的实际地址。表,每个表项的第一条代码是跳转到对应的。结构体,改变各个段或表的基址,最终指向。,过程链接表,每个条目是一段代码,其中。函数解析导入函数的真实地址,并将。表项改写为对应函数的真实地址,从。在利用处写入要劫持的函数字符串,将。中对应字符串的偏移,完成绑定。处的偏移,在目标处伪造一个。的偏移,在偏移所在处伪造。
32位下利用_dl_runtim_resolve函数
zszcr的博客
04-19 650
利用_dl_runtime_resolve来解析特定的函数 这里以这里以XDCTF 2015的pwn200为例 基础前置知识请看这篇文章_dl_runtime_resolve 利用的步骤主要有5步 控制程序的栈转移到我们可以控制的地址 控制程序调用_dl_runtime_resolve函数 ,控制reloc_offset的大小,使reloc项落在我们控制的栈上 伪造reloc项中的内...
死活不懂ret2_dl_runtime_resolve,留着以后学
哒君的博客
07-27 402
https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/advanced-rop-zh/#ret2_dl_runtime_resolve https://bbs.pediy.com/thread-227034.htm https://xz.aliyun.com/t/5122#toc-10 https://www.freebuf.co...
ret2_dl_runtime_resolve学习
m0_51251108的博客
09-23 384
ret2_dl_runtime_resolve
ret2_dl_runtime_resolve高级栈溢出利用思路
a2590035252的博客
10-17 1122
推荐给想和我一样深入理解动态链接过程的pwn师傅
ret2dl-runtime-resolve详细分析(32位&64位)
seaaseesa的博客
02-24 3815
Ret2dl-runtime-resolve技术 在linux下,二进制引用的外部符号加载方式有三种,FULL_RELRO、PARTIAL_RELRO、NO_RELRO,在PARTIAL_RELRO和NO_RELRO的情况下,外部符号的地址延迟加载,并且,在NO_RELRO下,ELF的dynamic段可读写。 ELF有plt表和got表,程序调用外部函数函数时,call的是plt表项,而plt...
runtime 分类结构体_64位ret2_dl_runtime_resolve模版题以及踩坑记录
weixin_39646107的博客
01-02 534
什么是ret2dl攻击当程序在第一次加载某个函数的时候,got表中对应的表项还没有写入真实的地址(因为是第一次调用),所以这个时候就需要调用_dl_runtime_resolve函数将真实的地址写入got表对应的表项中,然后将控制权交还这个函数,此时就完成了第一次的调用,got表中也有了对应的真实地址。整个调用过程梳理_dl_fixup之前当我们第一调用read时,他的跳转过程是read@plt ...
动态链接
qq_32214595的博客
03-08 1424
动态链接属于glibc的一部分, 本文章用glibc2.17分析
安装GLIBC_2.32,GLIBC_2.33,GLIBC_2.34
最新发布
02-21
对于Ubuntu 20.04,默认情况下可能不提供最新的GLIBC版本,如`GLIBC_2.32`, `GLIBC_2.33`, 或者 `GLIBC_2.34`. 若要安装这些更高版本的GLIBC库,可以考虑以下几种方法: #### 方法一:通过源码编译安装指定版本的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值