Ret2dlresolve 技术详解<\/h1>

1. ELF 文件格式基础<\/h2>

ELF (Executable and Linkable Format) 是 Linux 和类 Unix 系统上常见的可执行文件和可链接文件格式。ELF 文件主要包含以下几种类型：<\/p>

可执行文件 (ET_EXEC)<\/strong>：可直接执行的程序<\/li>
共享目标文件 (ET_DYN)<\/strong>：动态链接的共享库 (.so)<\/li>
可重定位文件 (ET_REL)<\/strong>：编译器生成的目标文件 (.o)<\/li>

核心转储文件 (ET_CORE)<\/strong>：程序崩溃时生成的核心转储文件<\/li> <\/ul>
ELF 文件结构定义在 \/usr\/include\/elf.h<\/code> 中，有 32 位和 64 位两种版本。<\/p>
1.1 ELF 文件结构<\/h3> ELF 文件主要由以下几部分组成：<\/p> 文件头 (Elf32_Ehdr\/Elf64_Ehdr)<\/strong>：描述文件的基本信息<\/li> 程序头表 (Program Header Table)<\/strong>：描述段(Segment)信息<\/li> 节表 (Section Header Table)<\/strong>：描述节(Section)信息<\/li> 各种节(Section)<\/strong>：包含实际的代码、数据等<\/li> <\/ol> 1.2 段(Segment)与节(Section)的区别<\/h3> 段(Segment)<\/strong>：逻辑组织单位，定义内存中的连续区域，包含多个属性相同的节<\/li> 节(Section)<\/strong>：更细粒度的组织单位，包含特定类型的数据或代码<\/li> <\/ul> 装载程序时，属性相同的节会被合并到一个段中加载到内存。<\/p> 2. 动态链接相关结构<\/h2> 2.1 .interp 段<\/h3> 包含动态链接器的路径字符串，如 \/lib64\/ld-linux-x86-64.so.2<\/code>。<\/p> 2.2 .dynamic 段<\/h3> 动态链接最重要的结构，保存动态链接器需要的基本信息，由 Elf*_Dyn<\/code> 结构体数组组成。<\/p> 重要成员：<\/p> DT_SYMTAB<\/code>：动态符号表(.dynsym)地址<\/li> DT_STRTAB<\/code>：动态字符串表(.dynstr)地址<\/li> DT_JMPREL<\/code>：PLT 重定位表(.rel.plt)地址<\/li> DT_RELENT<\/code>：单个重定位项大小<\/li> DT_SYMENT<\/code>：单个符号表项大小<\/li> <\/ul> 2.3 动态符号表(.dynsym)<\/h3> 保存动态链接相关的符号信息，由 Elf*_Sym<\/code> 结构体数组组成。<\/p> Elf*_Sym<\/code> 结构体成员：<\/p> st_name<\/code>：符号名称在字符串表中的偏移<\/li> st_value<\/code>：符号地址<\/li> st_size<\/code>：符号大小<\/li> st_info<\/code>：符号类型和绑定信息<\/li> st_other<\/code>：通常为0<\/li> st_shndx<\/code>：符号所在节的索引<\/li> <\/ul> 2.4 动态链接重定位表(.rel.plt)<\/h3> 保存函数引用的重定位信息，由 Elf*_Rel<\/code> 结构体数组组成。<\/p> Elf*_Rel<\/code> 结构体成员：<\/p> r_offset<\/code>：需要重定位的位置<\/li> r_info<\/code>：低8位表示重定位类型，高24\/32位表示符号索引<\/li> <\/ul> 2.5 PLT 和 GOT 表<\/h3> PLT (Procedure Linkage Table)<\/strong>：包含跳转到GOT的代码<\/li> GOT (Global Offset Table)<\/strong>：分为 .got<\/code> 和 .got.plt<\/code> .got<\/code>：保存全局变量引用地址<\/li> .got.plt<\/code>：保存函数引用地址，前三项有特殊意义： .dynamic<\/code> 段偏移\/地址<\/li> link_map<\/code> 结构体指针<\/li> _dl_runtime_resolve<\/code> 地址<\/li> <\/ol> <\/li> <\/ul> <\/li> <\/ul> 3. 延迟绑定机制<\/h2> 动态链接采用延迟绑定(Lazy Binding)技术，函数在第一次调用时才进行解析。<\/p> 3.1 第一次调用函数流程<\/h3> 调用 PLT 表中的跳转指令<\/li> 跳转到 GOT 表中保存的下一条指令地址<\/li> 压入重定位表索引并跳转到 PLT0<\/li> 调用 _dl_runtime_resolve<\/code> 进行符号解析<\/li> 解析完成后更新 GOT 表并调用函数<\/li> <\/ol> 3.2 第二次调用函数流程<\/h3> 调用 PLT 表中的跳转指令<\/li> 直接跳转到 GOT 表中保存的函数地址<\/li> <\/ol> 4. ret2dlresolve 技术原理<\/h2> ret2dlresolve 是一种利用动态链接解析过程进行攻击的技术，通过伪造动态链接相关的数据结构来控制程序执行流程。<\/p> 4.1 _dl_runtime_resolve 函数流程<\/h3> 当 ELFW(ST_VISIBILITY)(sym->st_other)<\/code> 为0时的执行流程：<\/p> 用 link_map<\/code> 访问 .dynamic<\/code>，获取 .dynstr<\/code>、.dynsym<\/code>、.rel.plt<\/code> 指针<\/li> .rel.plt<\/code> + 第二个参数得到 Elf*_Rel<\/code> 指针 rel<\/code><\/li> rel->r_info >> 8<\/code> 作为 .dynsym<\/code> 下标，得到 Elf*_Sym<\/code> 指针 sym<\/code><\/li> .dynstr<\/code> + sym->st_name<\/code> 得到符号名字符串指针<\/li> 在动态链接库中查找函数地址并更新 GOT 表<\/li> 调用该函数<\/li> <\/ol> 4.2 攻击思路<\/h3> 根据 RELRO 保护级别的不同，攻击方法也有所不同：<\/p> 4.2.1 NO RELRO 情况<\/h4> .dynamic<\/code> 段可写，可以改写 .dynamic<\/code> 的 DT_STRTAB<\/code> 指针，使其指向伪造的字符串表。<\/p> 攻击步骤：<\/p> 伪造 .dynstr<\/code> 字符串表<\/li> 修改 .dynamic<\/code> 中的 DT_STRTAB<\/code> 指针指向伪造的字符串表<\/li> 调用 _dl_runtime_resolve<\/code> 解析伪造的函数名<\/li> <\/ol> 4.2.2 Partial RELRO 情况<\/h4> .dynamic<\/code> 段不可写，需要操纵 _dl_runtime_resolve<\/code> 的第二个参数，使其访问到可控内存并伪造相关结构。<\/p> 攻击步骤：<\/p> 伪造 Elf*_Rel<\/code> 结构<\/li> 伪造 Elf*_Sym<\/code> 结构<\/li> 伪造 .dynstr<\/code> 字符串<\/li> 控制第二个参数指向伪造的 Elf*_Rel<\/code> 结构<\/li> 调用 _dl_runtime_resolve<\/code><\/li> <\/ol> 4.3 32位与64位的区别<\/h3> 参数传递<\/strong>：<\/p> 32位：通过栈传递参数<\/li> 64位：通过寄存器传递参数<\/li> <\/ul> <\/li> 索引计算<\/strong>：<\/p> 32位：reloc_arg<\/code> 是偏移量<\/li> 64位：reloc_arg<\/code> 是索引<\/li> <\/ul> <\/li> 结构体大小<\/strong>：<\/p> 32位：Elf32_Rel<\/code> 8字节，Elf32_Sym<\/code> 16字节<\/li> 64位：Elf64_Rel<\/code> 16字节，Elf64_Sym<\/code> 24字节<\/li> <\/ul> <\/li> <\/ol> 5. 实际利用示例<\/h2> 5.1 32位 Partial RELRO 利用<\/h3> # 伪造 .dynstr<\/span> <\/span><\/span>fake_dynstr =<\/span> '<\/span>\x00<\/span>libc.so.6<\/span>\x00<\/span>system<\/span>\x00<\/span>'<\/span> <\/span><\/span> <\/span><\/span># 伪造 Elf32_Sym<\/span> <\/span><\/span>fake_sym =<\/span> p32(st_name) +<\/span> p32(0<\/span>) +<\/span> p32(0<\/span>) +<\/span> p32(0x12<\/span>) <\/span><\/span> <\/span><\/span># 伪造 Elf32_Rel<\/span> <\/span><\/span>fake_rel =<\/span> p32(r_offset) +<\/span> p32(r_info) <\/span><\/span> <\/span><\/span># 计算 reloc_arg<\/span> <\/span><\/span>reloc_arg =<\/span> (fake_rel_addr -<\/span> rel_plt_addr) \/\/<\/span> 8<\/span> <\/span><\/span> <\/span><\/span># 调用 _dl_runtime_resolve<\/span> <\/span><\/span>rop.<\/span>raw(plt0) <\/span><\/span>rop.<\/span>raw(reloc_arg) <\/span><\/span>rop.<\/span>raw('aaaa'<\/span>) # 返回地址<\/span> <\/span><\/span>rop.<\/span>raw(binsh_addr) # system参数<\/span> <\/span><\/span><\/code><\/pre>5.2 64位 Partial RELRO 利用<\/h3> # 伪造 link_map<\/span> <\/span><\/span>fake_link_map =<\/span> p64(0<\/span>) # l_addr<\/span> <\/span><\/span>fake_link_map +=<\/span> p64(0<\/span>) # l_name<\/span> <\/span><\/span>fake_link_map +=<\/span> p64(0<\/span>) # l_ld<\/span> <\/span><\/span>fake_link_map +=<\/span> p64(dt_strtab) # l_info[5]<\/span> <\/span><\/span>fake_link_map +=<\/span> p64(dt_symtab) # l_info[6]<\/span> <\/span><\/span>fake_link_map +=<\/span> p64(dt_jmprel) # l_info[23]<\/span> <\/span><\/span> <\/span><\/span># 伪造 Elf64_Rel<\/span> <\/span><\/span>fake_rel =<\/span> p64(r_offset) +<\/span> p64(r_info) <\/span><\/span> <\/span><\/span># 伪造 Elf64_Sym<\/span> <\/span><\/span>fake_sym =<\/span> p32(st_name) +<\/span> p8(0x12<\/span>) +<\/span> p8(0<\/span>) +<\/span> p16(0<\/span>) +<\/span> p64(st_value) <\/span><\/span> <\/span><\/span># 调用 _dl_runtime_resolve<\/span> <\/span><\/span>rop.<\/span>raw(plt0) <\/span><\/span>rop.<\/span>raw(fake_link_map_addr) <\/span><\/span>rop.<\/span>raw(reloc_arg) <\/span><\/span>rop.<\/span>raw(binsh_addr) # system参数<\/span> <\/span><\/span><\/code><\/pre>6. 防御措施<\/h2> RELRO 保护<\/strong>：<\/p> NO RELRO<\/code>：不保护<\/li> Partial RELRO<\/code>：部分保护，.dynamic<\/code> 只读<\/li> Full RELRO<\/code>：完全保护，所有重定位在加载时完成<\/li> <\/ul> <\/li> 其他保护<\/strong>：<\/p> ASLR：地址空间布局随机化<\/li> Stack Canary：栈保护<\/li> NX：数据执行保护<\/li> <\/ul> <\/li> <\/ol> 7. 总结<\/h2> ret2dlresolve 是一种强大的攻击技术，可以在不知道 libc 版本的情况下完成利用。理解 ELF 文件格式、动态链接机制和延迟绑定原理是掌握该技术的关键。根据不同的保护级别，需要采用不同的利用方法，32位和64位环境下的实现也有所不同。<\/p>