重写.fini_array函数指针

大多数可执行文件是通过链接 libc 来进行编译的，因此 gcc 会将 glibc 初始化代码放入编译好的可执行文件和共享库中。 .init_array和 .fini_array 节（早期版本被称为 .ctors和 .dtors ）中存放了指向初始化代码和终止代码的函数指针。 .init_array 函数指针会在 main() 函数调用之前触发。这就意味着，可以通过重写某个指向正确地址的指针来将控制流指向病毒或者寄生代码。 .fini_array 函数指针在 main() 函数执行完之后才被触发，在某些场景下这一点会非常有用。例如，特定的堆溢出漏（如曾经的 http://phrack.org/issues/57/9.html ）会允许攻击者在任意位置写4个字节，攻击者通常会使用一个指向 shellcode 地址的函数指针来重写.fini_array 函数指针。对于大多数病毒或者恶意软件作者来说， .init_array 函数指针是最常被攻击的目标，因为它通常可以使得寄生代码在程序的其他部分执行之前就能够先运行。
0x01 test
我们看一个程序
#include <stdio.h>
#include <stdlib.h>
​
static void start(void) __attribute__ ((constructor));
static void stop(void) __attribute__ ((destructor));
​
int main(int argc, char *argv[])
{
printf("start == %p\n", start);
printf("stop == %p\n", stop);
return 0;
}
​
void
start(void)
{
printf("hello world!\n");
}
​
void
stop(void)
{
printf("goodbye world!\n");
}
gcc为函数提供了几种类型的属性，其中两个是我们特别感兴趣的：构造函数(constructors)和析构函数(destructors)。程序员应当使用类似下面的方式来指定这些属性：
static void start(void) __attribute__ ((constructor));
static void stop(void) __attribute__ ((destructor));
带有"构造函数"属性的函数将在main()函数之前被执行，而声明为"析构函数"属性的函数则将在_after_ main()退出时执行。
程序运行结果如下：
现在我们试试 objdump -h ./test
[email protected]:~$ objdump -h test
​
test:     file format elf64-x86-64
​
Sections:
Idx Name          Size      VMA               LMA               File off  Algn
​
 17 .init_array   00000010  0000000000600e00  0000000000600e00  00000e00  2**3
                  CONTENTS, ALLOC, LOAD, DATA
 18 .fini_array   00000010  0000000000600e10  0000000000600e10  00000e10  2**3
                  CONTENTS, ALLOC, LOAD, DATA
可以看到.init_array的地址为 0x600e00 , .fini_array的地址为 0x600e10
在gdb中分别对这两个地址跟踪一下
pwndbg> x/2xg 0x600e00 
0x600e00:    0x0000000000400550    0x00000000004005bb
pwndbg> x/2xg 0x600e10
0x600e10:    0x0000000000400530    0x00000000004005cb
分析一下结果，这里我只分析.fini_array，我们可以看到 0x600e10 中存了 0x0000000000400530 与 0x00000000004005cb
明显0x00000000004005cb是stop函数的函数指针，0x0000000000400530 同样也是一个函数指针 我们后面再讨论。
0x02 test2
下面我们就着重讨论一下0x0000000000400530，其实它指向一个函数__do_global_dtors_aux，这里我就直接说结果了 :
在程序结束时，__do_global_dtors_aux也就是0x0000000000400530这个函数指针会被实现
我们再看一个例子,其实就是前面的test程序函数少了属性，我把它定义成静态函数：
#include <stdio.h>
#include <stdlib.h>
​
static void start(void);
static void stop(void);
​
int
main(int argc, char *argv[])
{
printf("start == %p\n", start);
printf("stop == %p\n", stop);
​
return 0;
}
​
void
start(void)
{
printf("hello world!\n");
}
​
void
stop(void)
{
printf("goodbye world!\n");
}
同样编译和运行：
[email protected]:~$ gcc -o test2 test2.c
[email protected]:~$ ./test2
start == 0x4005bb
stop == 0x4005cb
函数地址并没有变化，但是因为start/stop函数未设定析构与构造属性，所以没有在开始和结束时被调用。
我们试试 objdump -h ./test2
[email protected]:~$ objdump -h test2
​
test:     file format elf64-x86-64
​
Sections:
Idx Name          Size      VMA               LMA               File off  Algn
​
17 .init_array   00000008  0000000000600e10  0000000000600e10  00000e10  2**3
                  CONTENTS, ALLOC, LOAD, DATA
18 .fini_array   00000008  0000000000600e18  0000000000600e18  00000e18  2**3
                  CONTENTS, ALLOC, LOAD, DATA
可以看到.init_array的地址为 0x600e10 , .fini_array的地址为 0x600e18，和test程序有点偏差。
现在我用gdb跟踪一波，查看一下.fini_array
pwndbg> x/2xg 0x600e18
0x600e18:    0x0000000000400530    0x0000000000000000
明显0x0000000000400530后面的函数指针没有被填充 是0x0000000000000000，所以程序结束后不会执行stop函数
现在我们控制程序执行流程，怎么控制呢？我把.fini_array的函数指针0x0000000000400530覆盖成stop函数的地址
pwndbg> set {int}0x600e18=0x4005cb
pwndbg> x/2xg 0x600e18 
0x600e18:    0x00000000004005cb    0x0000000000000000
输入c继续执行程序
pwndbg> c
Continuing.
start == 0x4005bb
stop == 0x4005cb
goodbye world!
[Inferior 1 (process 3920) exited normally]
bingo，成功执行了stop函数，如果stop函数是一段shellcode我们就可以直接拿下shell
0x03 分析与总结
我们来关心一下，上面的stop在什么地方被调用。
栈回溯跟踪看一下
► 0x4005cb <stop>                 push   rbp
   0x4005cc <stop+1>               mov    rbp, rsp
   0x4005cf <stop+4>               mov    edi, 0x40068a
   0x4005d4 <stop+9>               call   [email protected] <0x400450>
​
   0x4005d9 <stop+14>              pop    rbp
   0x4005da <stop+15>              ret    
​
   0x4005db                        nop    dword ptr [rax + rax]
   0x4005e0 <__libc_csu_init>      push   r15
   0x4005e2 <__libc_csu_init+2>    mov    r15d, edi
   0x4005e5 <__libc_csu_init+5>    push   r14
   0x4005e7 <__libc_csu_init+7>    mov    r14, rsi
──────────────────────────────────────────────────────────────────────────────────────────────────[ STACK ]──────────────────────────────────────────────────────────────────────────────────────────────────
00:0000│ rsp     0x7fffffffdcd8 —▸ 0x7ffff7dea7da (_dl_fini+474) ◂— test   r14d, r14d
01:0008│ r8 r15  0x7fffffffdce0 —▸ 0x7ffff7ffe1c8 ◂— 0x0
02:0010│         0x7fffffffdce8 —▸ 0x7ffff7ffe760 —▸ 0x7ffff7ffa000 ◂— jg     0x7ffff7ffa047
03:0018│         0x7fffffffdcf0 —▸ 0x7ffff7fe0000 —▸ 0x7ffff7a11000 ◂— jg     0x7ffff7a11047
04:0020│         0x7fffffffdcf8 —▸ 0x7ffff7ffd9f8 (_rtld_global+2456) —▸ 0x7ffff7dda000 ◂— jg     0x7ffff7dda047
05:0028│         0x7fffffffdd00 ◂— 0x1
06:0030│         0x7fffffffdd08 —▸ 0x7ffff7dea68d (_dl_fini+141) ◂— mov    rax, qword ptr [rbp - 0x40]
07:0038│         0x7fffffffdd10 ◂— 0x0
────────────────────────────────────────────────────────────────────────────────────────────────[ BACKTRACE ]────────────────────────────────────────────────────────────────────────────────────────────────
 ► f 0           4005cb stop
   f 1     7ffff7dea7da _dl_fini+474
   f 2     7ffff7a4d1a9 __run_exit_handlers+217
   f 3     7ffff7a4d1f5
   f 4     7ffff7a32f4c __libc_start_main+252
   f 5           4004b9 _start+41
Breakpoint *0x4005cb
看到返回地址在_dl_fini+474，所以可以得出结论，.fini_array区节的第一个函数指针在程序结束时，由_dl_fini函数调用，所以我们可加以利用。在未开启PIE的情况下，只需实现一个任意地址写，将.fini_array区节的第一个函数指针改写成后门地址或者one_gadgets，在程序结束时便能控制流程
整数溢出
Windows_SEH利用
Last updated 9 months ago