虽然我在实习「前端」,但是离毕业还早,做安全的心也始终没有灭,今天看到了一篇文章彻底帮我把 PLT 和 GOT 表之间的区别搞通了。注意:下面的内容,大部分来自这篇文章。
0X00 准备工作
一定要去使用 pwndbg,为啥呢?不要再习惯用啥 peda 了,请看它文档里面的这样一句话:
Pwndbg exists not only to replace all of its predecessors
大致意思就是:我 Pwndbg 存在的最基本意义就是为了打败所有的前辈
如何使用 Pwndbg 请看这位博主写的 文章
0X01 基础知识
我知道使人迷惑的远远不止这两个节(.plt 和 .got),还有 .plt.got 和 .got.plt 这两个节,下面我将大概讲讲这四个节的含义:
- .got
GOT(Global Offset Table)全局偏移表。这是「链接器」为「外部符号」填充的实际偏移表。
- .plt
PLT(Procedure Linkage Table)程序链接表。它有两个功能,要么在 .got.plt 节中拿到地址,并跳转。要么当 .got.plt 没有所需地址的时,触发「链接器」去找到所需地址
- .got.plt
这个是 GOT 专门为 PLT 专门准备的节。说白了,.got.plt 中的值是 GOT 的一部分。它包含上述 PLT 表所需地址(已经找到的和需要去触发的)
- .plt.got
这个表。。。好吧,我也不知道它有什么用,如果你知道的话,你一定要告诉我啊
0X02 跟着我左手右手一个慢动作
为了分析这些表的作用,我写了这样一段代码:
// gcc -m32 -no-pie -g -o plt plt.c
#include <stdio.h>
#include <stdlib.h>
int main(int argc, char **argv)
{
puts("Hello world!");
exit(0);
}
我们使用 objdump -h plt(查看所有节)并节选所需内容
Name Size VMA
.plt 00000040 080482f0
.plt.got 00000008 08048330
.got 00000004 08049ffc
.got.plt 00000018 0804a000
打开我们的神器 gdb (gdb plt)开始分析:
- 首先我们跳到 puts 函数上
我们用 disass main 搞到 call put 的地址并用 b *0x804847a 跳到目标函数
用 si 命令进入 puts 函数
- 在 puts@plt 中第一条指令是跳转
记住 0x804a00c 这个值,这个值是什么呢?我们看到我们一开始用 objdump 查看 .got.plt 的虚拟地址。0x804a00c 正好在这里面,也就是说,puts@plt 的第一步是去 .got.plt 找地址
- 再按一个
si看看
居然直接到下一条指令了!原因就是:我们之前没有调用过 puts@plt 函数,.got.plt 里面没有我们的值,所以按照之前说的,现在要触发链接器找到 puts 函数的地址了
- 多按几个
si
pwndbg> si
pwndbg> si
pwndbg> x/2i $pc
=> 0x80482f0: push DWORD PTR ds:0x804a004
0x80482f6: jmp DWORD PTR ds:0x804a008
看上面的图(这两张图应该水平拼接起来看),我们来具体看看 0x804a004 这个地址存着什么
pwndbg> x/2wx 0x804a004
0x804a004: 0xf7ffd918 0xf7fedf40
0xf7ffd918:指向 ld.so 的数据段
0xf7fedf40:指向可执行区域
简而言之,触发了链接器/加载器。在这里把链接器/加载器当做黑盒,我们用多个 ni 指令跳过它,最后真的进入了 puts 函数
- 输入
finish跳出 puts 函数
- 这个时候我们再看 0x804a00c(puts@plt 的第一条指令) 这个里面的值
pwndbg> x/wx 0x804a00c
0x804a00c: 0xf7e12b40
现在不会跳转到下一条指令了!而 0xf7e12b40 正好是 puts 函数的地址
0X03 总结
如果你跟着做下来应该能够理解,如果还是不能理解 PLT 和 GOT 之间的区别的话欢迎联系我。
在 0X02 中,主要涉及到两个节。.plt 和 .got.plt。
- .plt 的作用简而言之就是先去 .got.plt 里面找地址,如果找的到,就去执行函数,如果是下一条指令的地址,说明没有,就会去触发链接器找到地址
- .got.plt 显而易见用来存储地址,.got.plt 确实是 GOT 的一部分
