exit_hook攻击利用技术详解<\/h1>

概述<\/h2>
exit_hook攻击是一种针对glibc动态链接器机制的利用技术，通过劫持程序退出时的处理流程来实现代码执行。本文将详细分析该技术的原理、利用条件、实现方法以及实际案例。<\/p>

适用版本<\/h2>

适用于glibc-2.34之前的版本<\/li>

glibc-2.34及以后版本已失效<\/li> <\/ul>

利用条件<\/h2>

内存写入能力<\/strong>：<\/p>

至少需要一次任意地址写入能力<\/li>
理想情况下需要两次任意地址写入能力<\/li> <\/ul> <\/li>

程序退出条件<\/strong>：<\/p>

程序可以显式触发exit函数<\/li>
或者主函数由libc_start_main启动且可正常退出，从而调用到_dl_fini函数<\/li> <\/ul> <\/li> <\/ol>
技术原理分析<\/h2>
退出流程分析<\/h3>
当程序退出时，会调用exit函数，其执行流程如下：<\/p>

exit函数调用__run_exit_handlers<\/code><\/li>
__run_exit_handlers<\/code>进一步调用_dl_fini<\/code>函数<\/li>
_dl_fini<\/code>函数会访问_rtld_global<\/code>结构体中的两个关键函数指针： rtld_lock_default_lock_recursive<\/code><\/li> rtld_lock_default_unlock_recursive<\/code><\/li> <\/ul> <\/li> <\/ol> 关键数据结构<\/h3> _rtld_global<\/code>结构体（位于ld.so中）包含以下关键字段：<\/p> rtld_lock_default_lock_recursive<\/code> (偏移0xf08)<\/li> rtld_lock_default_unlock_recursive<\/code> (偏移0xf10)<\/li> _dl_load_lock<\/code> (偏移0x908) - 可作为参数存储区<\/li> <\/ul> 攻击方式<\/h3> 一次任意写<\/strong>：<\/p> 直接将rtld_lock_default_lock_recursive<\/code>修改为one_gadget地址<\/li> 成功率取决于one_gadget的约束条件<\/li> <\/ul> <\/li> 两次任意写<\/strong>（更可靠）：<\/p> 第一次写：修改rtld_lock_default_lock_recursive<\/code>为system函数地址<\/li> 第二次写：修改_dl_load_lock<\/code>为"\/bin\/sh\x00"字符串<\/li> 程序退出时会执行system("\/bin\/sh")<\/code><\/li> <\/ul> <\/li> <\/ol> 实际案例分析<\/h2> 案例1：The fastest man<\/h3> 利用步骤<\/strong>：<\/p> 绕过密码验证（发现base64编码中有key）<\/p> <\/li> 获取libc基地址<\/p> <\/li> 计算关键地址：<\/p> ld_base =<\/span> libc_base +<\/span> 0x213000<\/span> <\/span><\/span>_rtld_global =<\/span> ld_base +<\/span> ld.<\/span>sym['_rtld_global'<\/span>] <\/span><\/span>_dl_rtld_lock_recursive =<\/span> _rtld_global +<\/span> 0xf08<\/span> <\/span><\/span><\/code><\/pre><\/li> 将one_gadget写入_dl_rtld_lock_recursive<\/code><\/p> <\/li> <\/ol> EXP关键代码<\/strong>：<\/p> ru('give me a address:'<\/span>) <\/span><\/span>sl(str(_dl_rtld_lock_recursive)) <\/span><\/span>sla('give me a value:'<\/span>,str(ogg)) # ogg为one_gadget地址<\/span> <\/span><\/span><\/code><\/pre>案例2：2023蓝帽杯半决赛-uaf<\/h3> 利用特点<\/strong>：<\/p> 通过UAF漏洞结合程序提供的任意写机会<\/li> 直接修改exit_hook实现利用<\/li> <\/ul> EXP关键代码<\/strong>：<\/p> adm('shu'<\/span>,2<\/span>) # 触发任意写<\/span> <\/span><\/span>_rtld_global =<\/span> libc_base+<\/span>0x226060<\/span> <\/span><\/span>_dl_rtld_lock_recursive =<\/span> _rtld_global +<\/span> 0xf08<\/span> <\/span><\/span>ru('WRITE MODE: '<\/span>) <\/span><\/span>s(p64(_dl_rtld_lock_recursive)) <\/span><\/span>og =<\/span> libc_base +<\/span> 0xe6c7e<\/span> # one_gadget<\/span> <\/span><\/span>s(p64(og)) <\/span><\/span><\/code><\/pre>案例3：WMCTF2023-blindless<\/h3> 特殊场景<\/strong>：<\/p> 无信息泄露，需要爆破3位地址（1\/4096概率）<\/li> 通过mmap分配大内存实现越界写<\/li> <\/ul> 利用步骤<\/strong>：<\/p> 申请超大内存触发mmap<\/li> 计算_rtld_global<\/code>相关地址<\/li> 构造payload写入system和"\/bin\/sh"<\/li> <\/ol> EXP关键代码<\/strong>：<\/p> payload =<\/span> b<\/span>'@'<\/span> +<\/span> p32(argv0 -<\/span> 0x10<\/span>) +<\/span> write(b<\/span>'\/bin\/sh<\/span>\x00<\/span>'<\/span>) <\/span><\/span>payload +=<\/span> b<\/span>'@'<\/span> +<\/span> p32(rtld_lock -<\/span> argv0 -<\/span> 8<\/span>) +<\/span> write(b<\/span>'<\/span>\x90\x02\x46<\/span>'<\/span>) #system<\/span> <\/span><\/span><\/code><\/pre>防御措施<\/h2> 升级到glibc-2.34或更高版本<\/li> 加强内存写保护机制<\/li> 监控关键函数指针的修改行为<\/li> <\/ol> 参考链接<\/h2> exit hook - 狒狒猩橙 - 博客园<\/a><\/li> WMCTF2023 pwn 部分wp - 知乎<\/a><\/li> <\/ol> 总结<\/h2> exit_hook攻击是一种在特定glibc版本下有效的利用技术，特别适合在有任意写能力但缺乏信息泄露的场景。通过深入理解动态链接器的内部机制，攻击者可以绕过多种保护措施实现代码执行。防御方面应及时升级系统库，并加强对关键内存区域的保护。<\/p>

exit_hook攻击利用技术详解<\/h1>

概述<\/h2> exit_hook攻击是一种针对glibc动态链接器机制的利用技术，通过劫持程序退出时的处理流程来实现代码执行。本文将详细分析该技术的原理、利用条件、实现方法以及实际案例。<\/p>

技术原理分析<\/h2>

实际案例分析<\/h2>

概述<\/h2>
exit_hook攻击是一种针对glibc动态链接器机制的利用技术，通过劫持程序退出时的处理流程来实现代码执行。本文将详细分析该技术的原理、利用条件、实现方法以及实际案例。<\/p>