Note
  • Introduction
  • PWN
    • __libc_csu_init函数的通用gadget
    • _int_malloc源码分析
    • _IO_FILE利用思路总结
    • C++ 虚表分析
    • Fast_bin笔记
    • house_of_force
    • House_of_Roman
    • Linux_ShellCode
    • Return-to-dl-resolve原理及利用
    • Unlink利用原理
    • Unsorted_Bin_Attack
    • 获取libc方法
    • 利用main_arena泄露libc基址
    • 整数溢出
    • 重写.fini_array函数指针
    • Windows_SEH利用
  • Windows_Operating_System
    • Dll隐藏
    • Dll注入之远程线程注入
    • IAT_HOOK原理实现
    • Windows下通用ShellCode原理
    • 代码注入
    • inline_hook框架
    • 32位程序调用64位函数原理
    • 调试原理
    • Windows异常处理初探
    • Windows_SEH利用
  • Windows_Kernel
    • MSR_HOOK
    • SSDT_HOOK
  • Virus_Analysis
  • Program
    • Dll的生成与使用
  • Miscellaneous
    • ctf笔记
    • 常见算法特征总结
    • ELF文件笔记
  • Linux_Operating_System
    • 系统调用
    • 分页机制
    • 调试原理
    • linux无文件执行elf
    • egg hunter
    • 缺失的动态链接库
  • Linux_Kernel
    • KERNEL_PWN状态切换原理及KPTI绕过
  • IOT
    • IOT调试环境搭建
    • mips_arm汇编学习
    • Cisco RV160W系列路由器漏洞:从1day分析到0day挖掘
  • Symbolic_Execution
    • angr初探
    • angr_进阶
  • Fuzz
    • UAF_overflow_check
    • intel-pin
  • CVE
    • Cisco RV160W系列路由器漏洞:从1day分析到0day挖掘
  • Assembly
    • Junk_Code_Analysis
    • opcode
  • Andriod_Security
Powered by GitBook
On this page
  • 动态库加载顺序
  • LD_PRELOAD与/etc/ld.so.preload
  • 低(高)版本glibc环境下让程序加载高(低)版本的glibc动态库运行

Was this helpful?

  1. Linux_Operating_System

缺失的动态链接库

动态库加载顺序

系统运行程序时根据程序的Dynamic section的NEEDED项 搜索相应的的动态链接库。

Dynamic section at offset 0xda0 contains 27 entries:
  Tag        Type                         Name/Value
 0x0000000000000001 (NEEDED)             Shared library: [libc.so.6]
 0x000000000000000c (INIT)               0x6e8
 .................

接着动态加载器ld-linux/ld.so搜索动态链接库路径的先后顺序如下:

1.编译目标代码时指定的动态库搜索路径; 如果在编译程序时增加参数-Wl,-rpath='.' , 这时生成程序的Dynamic section会新加一个RPATH段

Dynamic section at offset 0x5dd8 contains 29 entries:
  Tag        Type                         Name/Value
 0x0000000000000001 (NEEDED)             Shared library: [libunicorn.so.1]
 0x0000000000000001 (NEEDED)             Shared library: [libpthread.so.0]
 0x0000000000000001 (NEEDED)             Shared library: [libstdc++.so.6]
 0x0000000000000001 (NEEDED)             Shared library: [libgcc_s.so.1]
 0x0000000000000001 (NEEDED)             Shared library: [libc.so.6]
 0x000000000000000f (RPATH)              Library rpath: [/home/b0ldfrev/ctf_lib/./lib]
 0x000000000000000c (INIT)               0x4014e8

当然( 后期也可以用工具patchelf --set-rpath NEWDIRS xxx修改搜索路径 )

2.环境变量LD_LIBRARY_PATH指定的动态库搜索路径; ( 可用export LD_LIBRARY_PATH="NEWDIRS" 命令添加临时环境变量 )

3.配置文件/etc/ld.so.conf中指定的动态库搜索路径;(系统默认情况下未设置)

4.默认的动态库搜索路径/lib;

5.默认的动态库搜索路径/usr/lib;

LD_PRELOAD与/etc/ld.so.preload

linux动态链接库预加载机制: 在linux操作系统的动态链接库加载过程中,动态链接器会读取LD_PRELOAD环境变量的值和默认配置文件/etc/ld.so.preload的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD环境变量和/etc/ld.so.preload配置文件中指定的动态链接库依然会被装载,它们的优先级比LD_LIBRARY_PATH环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。

全局符号介入: 全局符号介入指的是应用程序调用库函数时,调用的库函数如果在多个动态链接库中都存在,即存在同名函数,那么链接器只会保留第一个链接的函数,而忽略后面链接进来的函数,所以只要预加载的全局符号中有和后加载的普通共享库中全局符号重名,那么就会覆盖后装载的共享库以及目标文件里的全局符号。

预装载意味着会它的函数会比其他库文件中的同名函数先于调用, 也就使得库函数可以被阻截或替换掉. 多个共享链接库文件的路径可以用冒号或空格进行区分. 显然不会受到LD_PRELOAD影响的也就只有那些静态链接的程序了.

如何设置LD_PRELOAD?只需要这样运行程序 LD_PRELOAD="./xxx.so" ./xxx,这样只是针对程序某次运行

当然也可以全局的设置。直接导入环境变量export LD_PRELOAD导出环境变量使该环境变量生效,unset LD_PRELOAD 解除设置的LD_PRELOAD环境变量;或者将恶意动态链接库路径写入/etc/ld.so.preload(没有则创建)配置文件中,如echo /tmp/xxxr.so >> /etc/ld.so.preload

低(高)版本glibc环境下让程序加载高(低)版本的glibc动态库运行

必须使用patchelf工具手动改变程序的interpreter为低(高)版本的ld.so,才能去加载低(高)版本的libc.so库

Previousegg hunterNextLinux_Kernel

Last updated 4 years ago

Was this helpful?

可参考我的项目

https://github.com/b0ldfrev/project/tree/master/pwn_glibc/patchelf_lib_ld