pwn学习之dl_resolve学习篇
一:首先来了解一下linux下常见的攻击缓解机制:
CANARY:(金丝雀值,指的是矿工曾利用金丝雀来确认是否有气体泄漏,如果金丝雀因为气体泄漏而中毒死亡,可以给矿工预警),类似于windows GS技术,当栈溢出发生时,canary值将在已保存的指令指针被重写前先改变。系统检测这个值是否改变,栈溢出发生了,保存的指令指针可能也被修改了,因此不能安全返回,函数会调用__stack_chk_fail函数。这个函数会丢出一个错误然后退出进程。缺点:仅保护了sip,未保护应用变量,覆写GOT绕过。
FORTIFY:Compile Time Buffer Checks,确定函数执行栈的大小,以避免缓冲区溢出攻击。
NX:No Execute.现代处理器支持一种称为NX的特性使得系统控制各部分的执行的内存。即程序栈不可执行。
PIE:随机化加载程序的内存地址。
RELRO:RELocation Read-Only (RELRO) 重定位只读,它能够保护库函数的调用不受攻击者重定向的影响。
——————–
二.ELF动态装载机制详解:
从栈上执行shellcode到NX,从return2libc到ASLR, 从ROP泄露内存地址RELRO,攻与守的对抗技术在不断升级,进而催生出一种有效的针对没有libc文件和system函数的情况下实施ROP攻击的方法——return to dl-resolve。
一个应用由elf二进制文件和数个动态库构成,它们都是elf格式, ELF符号(函数或全局变量)使用elf_ sym结构体描述,[st_name]为相对.dynstr段开始的偏移,[st _info]为导出后函数的虚拟地址(没导出时为null)elf解析流程如图:
.rel.plt结构体定义:
typedef uint32_t Elf32_Addr;
typedef uint32_t Elf32_Word;
typedef struct
{
Elf32_Addr r_offset; /* Address */
Elf32_Word r_info; /* Relocation type and symbol index */
} Elf32_Rel;
#define ELF32_R_SYM(val) ((val) >> 8)
#define ELF32_R_TYPE(val) ((val) & 0xff) .dynsym结构体定义: typedef struct
{
Elf32_Word st_name; /* Symbol name (string tbl index) */
Elf32_Addr st_value; /* Symbol value */
Elf32_Word st_size; /* Symbol size */
unsigned char st_info; /* Symbol type and binding */
unsigned char st_other; /* Symbol visibility under glibc>=2.2 */
Elf32_Section st_shndx; /* Section index */
} Elf32_Sym;
我们readelf -d 查看JUMPREL(.rel.plt)段的地址如图:
# readelf -d pwn1 Dynamic section at offset 0xf14 contains entries:
标记 类型 名称/值
0x00000001 (NEEDED) 共享库:[libc.so.]
0x0000000c (INIT) 0x804837c
0x0000000d (FINI) 0x80486e4
0x00000019 (INIT_ARRAY) 0x8049f08
0x0000001b (INIT_ARRAYSZ) (bytes)
0x0000001a (FINI_ARRAY) 0x8049f0c
0x0000001c (FINI_ARRAYSZ) (bytes)
0x6ffffef5 (GNU_HASH) 0x80481ac
0x00000005 (STRTAB) 0x8048280
0x00000006 (SYMTAB) 0x80481d0
0x0000000a (STRSZ) (bytes)
0x0000000b (SYMENT) (bytes)
0x00000015 (DEBUG) 0x0
0x00000003 (PLTGOT) 0x804a000
0x00000002 (PLTRELSZ) (bytes)
0x00000014 (PLTREL) REL
0x00000017 (JMPREL) 0x804833c
0x00000011 (REL) 0x804832c
0x00000012 (RELSZ) (bytes)
0x00000013 (RELENT) (bytes)
0x6ffffffe (VERNEED) 0x804830c
0x6fffffff (VERNEEDNUM)
0x6ffffff0 (VERSYM) 0x80482f4
0x00000000 (NULL) 0x0
readelf -S 查看rel节的信息:
# readelf -S pwn1
共有 30 个节头,从偏移量 0x1160 开始:
节头:
[Nr] Name Type Addr Off Size ES Flg Lk Inf Al
[ ] NULL
[ ] .interp PROGBITS A
[ ] .note.ABI-tag NOTE A
[ ] .note.gnu.build-i NOTE A
[ ] .gnu.hash GNU_HASH 080481ac 0001ac A
[ ] .dynsym DYNSYM 080481d0 0001d0 0000b0 A
[ ] .dynstr STRTAB A
[ ] .gnu.version VERSYM 080482f4 0002f4 A
[ ] .gnu.version_r VERNEED 0804830c 00030c A
[ ] .rel.dyn REL 0804832c 00032c A
[] .rel.plt REL 0804833c 00033c A
[] .init PROGBITS 0804837c 00037c AX
[] .plt PROGBITS 080483a0 0003a0 AX
[] .text PROGBITS 0002b2 AX
[] .fini PROGBITS 080486e4 0006e4 AX
[] .rodata PROGBITS 080486f8 0006f8 A
[] .eh_frame_hdr PROGBITS 00002c A
[] .eh_frame PROGBITS 0000c0 A
[] .init_array INIT_ARRAY 08049f08 000f08 WA
[] .fini_array FINI_ARRAY 08049f0c 000f0c WA
[] .jcr PROGBITS 08049f10 000f10 WA
[] .dynamic DYNAMIC 08049f14 000f14 0000e8 WA
[] .got PROGBITS 08049ffc 000ffc WA
[] .got.plt PROGBITS 0804a000 00002c WA
[] .data PROGBITS 0804a02c 00102c WA
[] .bss NOBITS 0804a040 WA
...
readelf -r 查看程序的链接库函数:
readelf -r pwn1
重定位节 '.rel.dyn' 位于偏移量 0x32c 含有 2 个条目:
Offset Info Type Sym.Value Sym. Name
08049ffc R_386_GLOB_DAT __gmon_start__
0804a040 R_386_COPY 0804a040 stdout
重定位节 '.rel.plt' 位于偏移量 0x33c 含有 8 个条目: Offset Info Type Sym.Value Sym. Name 0804a00c 00000107 R_386_JUMP_SLOT 00000000 read 0804a010 00000207 R_386_JUMP_SLOT 00000000 __gmon_start__ 0804a014 00000307 R_386_JUMP_SLOT 00000000 strchr 0804a018 00000407 R_386_JUMP_SLOT 00000000 __libc_start_main 0804a01c 00000507 R_386_JUMP_SLOT 00000000 write 0804a020 00000607 R_386_JUMP_SLOT 00000000 setvbuf 0804a024 00000707 R_386_JUMP_SLOT 00000000 atoi 0804a028 00000807 R_386_JUMP_SLOT 00000000 shutdown
readelf -s 查看.dynsym(运行时所需)和.symtab(编译时的符号信息)节区信息:
# readelf -s pwn1 Symbol table '.dynsym' contains entries:
Num: Value Size Type Bind Vis Ndx Name
: NOTYPE LOCAL DEFAULT UND
: FUNC GLOBAL DEFAULT UND read@GLIBC_2. ()
: NOTYPE WEAK DEFAULT UND __gmon_start__
: FUNC GLOBAL DEFAULT UND strchr@GLIBC_2. ()
: FUNC GLOBAL DEFAULT UND __libc_start_main@GLIBC_2. ()
: FUNC GLOBAL DEFAULT UND write@GLIBC_2. ()
: FUNC GLOBAL DEFAULT UND setvbuf@GLIBC_2. ()
: FUNC GLOBAL DEFAULT UND atoi@GLIBC_2. ()
: FUNC GLOBAL DEFAULT UND shutdown@GLIBC_2. ()
: 0804a040 OBJECT GLOBAL DEFAULT stdout@GLIBC_2. ()
: 080486fc OBJECT GLOBAL DEFAULT _IO_stdin_used
Symbol table '.symtab' contains entries:
Num: Value Size Type Bind Vis Ndx Name
: NOTYPE LOCAL DEFAULT UND
: SECTION LOCAL DEFAULT
...
下面看下重定位过程:.symtab(编译时符号地址)+RELSZ对应于.dynsym(运行时符号地址)的偏移,.dynstr中的st_name的地址对应于STRTAB+.dynsym中的偏移:
gdb-peda$ x/x 0x80481d0(SYMTAB)+
0x80481e0: 0x0000001a
gdb-peda$ x/s 0x8048280(STRTAB)+0x1a
0x804829a: "read"
查看.rel.plt的read函数汇编:
gdb-peda$ x/5i read
0x80483b0 <read@plt>: jmp DWORD PTR ds:0x804a00c
0x80483b6 <read@plt+>: push 0x0
0x80483bb <read@plt+>: jmp 0x80483a0
0x80483c0 <__gmon_start__@plt>: jmp DWORD PTR ds:0x804a010
0x80483c6 <__gmon_start__@plt+>: push 0x8
gdb-peda$ x/wx 0x804a00c
0x804a00c <read@got.plt>: 0x080483b6
由于延迟绑定的机制,第一次调用read函数时寻找真正位置进行绑定。当我们第一次调用read时,其对应的GOT表里并没有存放read的真实地址,而是下一条指令的地址。第二、三行,把reloc_arg=0x0作为参数推入栈中,跳到0x80483a0继续执行。跟随:
gdb-peda$ x/10i 0x80483a0
0x80483a0: push DWORD PTR ds:0x804a004
0x80483a6: jmp DWORD PTR ds:0x804a008
0x80483a0把(link map = *(GOT+4))压栈,*(GOT+8)保存着 _dl runtime _resolve函数的地址,该函数将真实read地址写入GOT,随后将控制权转交read函数
_dl_runtime_resolve(link_map, rel_offset);
根据rel_offset找到rel _entry:
Elf32_Rel * rel_entry = JMPREL + rel_offset;
由rel_entry->r_info定位符号信息
Elf32_Sym *sym_entry = SYMTAB[ELF32_R_SYM(rel_entry->r_info)];
再定位符号信息中的符号名:
char *sym_name = STRTAB + sym_entry->st_name;
根据得到的符号名搜索动态库,找到地址后填充至.got.plt对应位置。
三.攻击过程分析
逆向思维:
1.控制*sym_name(改为system)需要控制*sym_entry;
2.再前面就是控制*rel_entry;
正向思维:
1.通过将eip覆盖为.rel.plt地址,传递一个可控的rel _offset,使rel_entry落在可控区域;
2.伪造rel_entry使sym_entry落在可控区域,伪造sym_entry使sym_name落在可控区域;
3.伪造sym_name为‘system’
参考文献:
1. http://www.freebuf.com/author/fubeerf
2.https://fedoraproject.org/wiki/Security_Features?rd=Security/Features
3. http://www.inforsec.org/wp/?p=389
4. http://rk700.github.io/article/2015/08/09/return-to-dl-resolve
5. http://drops.wooyun.org/binary/14360
pwn学习之dl_resolve学习篇的更多相关文章
- 从零开始学习jQuery (一) 入门篇
本系列文章导航 从零开始学习jQuery (一) 入门篇 一.摘要 本系列文章将带您进入jQuery的精彩世界, 其中有很多作者具体的使用经验和解决方案, 即使你会使用jQuery也能在阅读中发现些 ...
- RabbitMQ学习总结 第三篇:工作队列Work Queue
目录 RabbitMQ学习总结 第一篇:理论篇 RabbitMQ学习总结 第二篇:快速入门HelloWorld RabbitMQ学习总结 第三篇:工作队列Work Queue RabbitMQ学习总结 ...
- XMPP学习记录之实战篇
在学习iOS以来一直想要研究即时聊天方面的技术,因工作原因此计划一直搁浅,近日偷得时闲开始着手与XMPP的学习.在学习之前我一直认为XMPP对我来说是一个很有难度的挑战,在了解了协议的具体形式后,才发 ...
- [原]零基础学习视频解码之android篇系列文章
截止今天,<零基础学习视频解码系列文章>.<零基础学习在Android进行SDL开发系列文章>以及<零基础学习视频解码之android篇>系列文章基本算是告一段落了 ...
- RabbitMQ学习总结 第四篇:发布/订阅 Publish/Subscribe
目录 RabbitMQ学习总结 第一篇:理论篇 RabbitMQ学习总结 第二篇:快速入门HelloWorld RabbitMQ学习总结 第三篇:工作队列Work Queue RabbitMQ学习总结 ...
- RabbitMQ学习总结 第五篇:路由Routing
目录 RabbitMQ学习总结 第一篇:理论篇 RabbitMQ学习总结 第二篇:快速入门HelloWorld RabbitMQ学习总结 第三篇:工作队列Work Queue RabbitMQ学习总结 ...
- RabbitMQ学习总结 第六篇:Topic类型的exchange
目录 RabbitMQ学习总结 第一篇:理论篇 RabbitMQ学习总结 第二篇:快速入门HelloWorld RabbitMQ学习总结 第三篇:工作队列Work Queue RabbitMQ学习总结 ...
- 学习KnockOut第三篇之List
学习KnockOut第三篇之List 欲看此篇---------------------------------------------可先看上篇. 第一步,先搭建一个大概的框架起来 ...
- Noah的学习笔记之Python篇:命令行解析
Noah的学习笔记之Python篇: 1.装饰器 2.函数“可变长参数” 3.命令行解析 注:本文全原创,作者:Noah Zhang (http://www.cnblogs.com/noahzn/) ...
随机推荐
- Arcgis android - Installation error: INSTALL_FAILED_INSUFFICIENT_STORAGE
报错: Installation error: INSTALL_FAILED_INSUFFICIENT_STORAGE Please check logcat output for more deta ...
- Swift语言 代码添加文本输入框 和 占位文本
//懒加载文本输入框 private lazy var textView: UITextView = { let textView = UITextView() textView.font = UIF ...
- zepto源码研究 - fx_methods.js
简要:依赖fx.js,主要是针对show,hide,fadeIn,fadeOut的封装. 源码如下: // Zepto.js // (c) 2010-2015 Thomas Fuchs // Zept ...
- ContentProvider URI的组成
ContentProvider URI由哪几部分组成 ContentProvider URI与HTTP URI类似,由以下4部分组成: 1.content:// 相当于HTTP URI中的http ...
- DEDE常见问题(转)
问题1. 把数据保存到数据库附加表 `dede_addonvisa` 时出错,请把相关信息提交给DedeCms官方.Unknown column 'redirecturl' in 'field lis ...
- HashMap HashTable HashSet区别剖析
HashMap.HashSet.HashTable之间的区别是Java程序员的一个常见面试题目,在此仅以此博客记录,并深入源代码进行分析: 在分析之前,先将其区别列于下面 1:HashSet底层采用的 ...
- hadoop+spark+mongodb+mysql+c#
一.前言 从20世纪90年代数字化医院概念提出到至今的20多年时间,数字化医院(Digital Hospital)在国内各大医院飞速的普及推广发展,并取得骄人成绩.不但有数字化医院管理信息系统(HIS ...
- Sicily shortest path in unweighted graph
题目介绍: 输入一个无向图,指定一个顶点s开始bfs遍历,求出s到图中每个点的最短距离. 如果不存在s到t的路径,则记s到t的距离为-1. Input 输入的第一行包含两个整数n和m,n是图的顶点 ...
- uva 714 Copying Books(二分法求最大值最小化)
题目连接:714 - Copying Books 题目大意:将一个个数为n的序列分割成m份,要求这m份中的每份中值(该份中的元素和)最大值最小, 输出切割方式,有多种情况输出使得越前面越小的情况. 解 ...
- 在QLabel上点击获得的效果
一般说只在button中点击获得事件,作出相应的反应.而往往需要在QLabel上作出点击和触碰的效果. 我用qlabel做出了一个效果,当鼠标碰到label区域,label底下出现一条线,离开后线条消 ...