单字节延迟绑定实现ROP攻击技术详解<\/h1>

1. 题目背景与保护措施分析<\/h2>
题目提供了一个有趣的挑战场景：在只能写入单个字节<\/strong>的情况下，利用延迟绑定机制实现完整的ROP攻击链，最终获取shell或实现ORW(Open-Read-Write)操作。<\/p>

1.1 程序保护机制<\/h3>

程序启用了常规保护措施<\/li>
GOT表可写<\/li>
无RELRO保护（Partial或No RELRO）<\/li> <\/ul>
1.2 程序关键特点<\/h3>

main函数中仅包含exit调用<\/li>
漏洞函数在init函数中被调用<\/li>
init函数位于start函数中，在main函数之前执行<\/li> <\/ul>
2. 漏洞利用基础：ret2dl_resolve技术<\/h2>
2.1 延迟绑定机制概述<\/h3>
当程序第一次调用动态链接函数时：<\/p>

通过PLT表跳转到GOT表<\/li>
GOT表会寻找函数真实地址并回填<\/li>
后续调用直接从PLT跳转到GOT再到真实地址<\/li> <\/ol>
2.2 关键结构体<\/h3>

Dyn结构体<\/strong>：描述动态链接信息<\/p>

d_tag<\/code>：标记值，指明结构体类型<\/li>
d_un<\/code>：联合体，存储不同类型信息<\/li> <\/ul> <\/li>
Sym结构体<\/strong>：描述ELF符号信息<\/p> st_name<\/code>：字符串表索引<\/li> st_info<\/code>：符号类型信息<\/li> st_other<\/code>：决定link_map参数有效性<\/li> st_value<\/code>：符号地址偏移<\/li> <\/ul> <\/li> Rel结构体<\/strong>：描述重定位信息<\/p> r_offset<\/code>：加上link_map->l_addr等于GOT表地址<\/li> r_info<\/code>：符号索引和类型信息<\/li> <\/ul> <\/li> link_map结构体<\/strong>：存储目标函数查询结果<\/p> l_addr<\/code>：目标函数所在lib的基址<\/li> l_info<\/code>：Dyn结构体指针数组<\/li> <\/ul> <\/li> <\/ul> 2.3 _dl_fixup函数关键逻辑<\/h3> if<\/span> (__builtin_expect(ELFW(ST_VISIBILITY)(sym-><\/span>st_other), 0<\/span>) ==<\/span> 0<\/span>) { <\/span><\/span> \/\/ 重定位策略 <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>2.4 攻击方式<\/h3> 改写.dynamic的DT_STRTAB<\/strong>（仅NO RELRO可行）<\/p> 修改.dynamic中字符串表指针到可控内存<\/li> 伪造函数名实现任意函数调用<\/li> <\/ul> <\/li> 操纵第二个参数指向伪造的Rel<\/strong><\/p> 利用_dl_runtime_resolve无越界检查的特性<\/li> 伪造.rel.plt、.dynsym和.dynstr<\/li> 最终调用目标函数<\/li> <\/ul> <\/li> <\/ol> 3. 单字节利用技术详解<\/h2> 3.1 初始条件利用<\/h3> 程序循环调用漏洞函数<\/li> write函数未被正确填写，每次都会执行延迟绑定<\/li> 通过单字节修改实现循环写入<\/li> <\/ul> 3.2 改写exit GOT表<\/h3> 找到link_map相对于libc的偏移量<\/p> 位于ld文件中<\/li> 在_rtld_global中查找ns_loaded段<\/li> <\/ul> <\/li> 修改link_map->l_addr<\/p> 计算exit GOT表与write GOT表的偏移<\/li> 写入link_map偏移位置<\/li> <\/ul> <\/li> <\/ol> 3.3 泄露libc地址<\/h3> 修改stdout的flag字段和write指针<\/p> flag字段改为0xfbad3887<\/li> IO_write_ptr改为0xff<\/li> <\/ul> <\/li> 触发IO刷新<\/p> 修改l_info[DT_SYMTAB]的LSB指向DT_DEBUG<\/li> 在DT_DEBUG区域伪造"_IO_flush_all"字符串<\/li> <\/ul> <\/li> 关键步骤：<\/p> # 修改l_info[DT_SYMTAB]指向DT_DEBUG<\/span> <\/span><\/span>write(l_info_DT_SYMTAB_addr, 0xB8<\/span>) # 单字节修改<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 3.4 伪造IO结构体<\/h3> 恢复write函数GOT表<\/p> write(0x2C9338<\/span>, 0x78<\/span>) # 恢复原始值<\/span> <\/span><\/span><\/code><\/pre><\/li> 伪造IO_FILE结构体<\/p> 直接修改现有结构体<\/li> 设置vtable指针等关键字段<\/li> <\/ul> <\/li> 修改io_list_all指针<\/p> 指向可控堆块<\/li> 构造完整攻击链<\/li> <\/ul> <\/li> <\/ol> 4. 完整利用步骤<\/h2> 利用单字节写入修改link_map->l_addr<\/li> 将write的解析重定向到exit<\/li> 构造循环写入条件<\/li> 修改l_info[DT_SYMTAB]指向DT_DEBUG<\/li> 在DT_DEBUG区域伪造"_IO_flush_all"<\/li> 设置stdout的flag和write指针<\/li> 触发IO刷新泄露libc地址<\/li> 恢复write函数GOT表<\/li> 伪造IO_FILE结构体<\/li> 修改io_list_all指针<\/li> 最终获取shell或实现ORW<\/li> <\/ol> 5. 关键调试技巧<\/h2> 查找link_map偏移：<\/p> p\/x ((struct r_debug *)0x7ffff7ffe118)->r_map p\/x ((struct link_map *)0x7ffff7ffe2d0)->l_info[5] <\/code><\/pre> <\/li> 查找DT_DEBUG地址：<\/p> 在.dynamic段中搜索d_tag为0x15的条目<\/li> <\/ul> <\/li> 验证修改效果：<\/p> 检查_dl_lookup_symbol_x函数的rdi参数<\/li> 确认解析的函数名是否正确<\/li> <\/ul> <\/li> <\/ol> 6. 防御措施<\/h2> 启用FULL RELRO保护<\/li> 限制动态链接器的可写内存区域<\/li> 对_dl_runtime_resolve添加边界检查<\/li> 保护link_map关键数据结构<\/li> <\/ol> 7. 扩展思考<\/h2> 在更严格保护下的利用可能性<\/li> 其他单字节写入的利用场景<\/li> 结合堆漏洞的复合利用方式<\/li> 不同glibc版本间的差异处理<\/li> <\/ol> 通过这种精妙的单字节利用技术，即使在极端受限的条件下，也能构建完整的攻击链，展示了二进制漏洞利用的艺术性和技术深度。<\/p>

单字节延迟绑定实现ROP攻击技术详解<\/h1>

1. 题目背景与保护措施分析<\/h2> 题目提供了一个有趣的挑战场景：在只能写入单个字节<\/strong>的情况下，利用延迟绑定机制实现完整的ROP攻击链，最终获取shell或实现ORW(Open-Read-Write)操作。<\/p>

2. 漏洞利用基础：ret2dl_resolve技术<\/h2>

3. 单字节利用技术详解<\/h2>

1. 题目背景与保护措施分析<\/h2>
题目提供了一个有趣的挑战场景：在只能写入单个字节<\/strong>的情况下，利用延迟绑定机制实现完整的ROP攻击链，最终获取shell或实现ORW(Open-Read-Write)操作。<\/p>