ret2_dl_runtime_resolve
前置知识:*32位情况下如果return的函数不再使用,便直re + AAAA + 参数,如果需要连续执行的话,就需要用到ROP技术去维持栈平衡(主动清空栈),得以继续运行
下面直接刚一道题来看看:
XDCTF2015的pwn题:bof
查看保护措施,没有栈溢出保护,只有堆栈不可执行保护,爆破出栈大小为112,
这题分为好几步骤:
stage1:
先实现write函数的调用,使用栈迁移的骚操作骗到bss段中去:
发现是可以的:回显成功
接下来stage2:
先使用命令 objdump -d -j .plt bof看看write函数的plt汇编代码:
可以知道先跳到write的got表那里,其实存的是push $0x20的地址(源自程序员的自我修养一书),接着跳到那个plt[0]的地址,就是那个ret2_dl_runtime_resolve函数,那么我们简单修改下第二个payload即可实现:
plt[0] + index_offset相当于执行write函数
可行的操作:回显成功
stage3:
一波操作可以知道两个地址的值,然后我们到ida查看那个rel.plt(重定表)
直接可以知道write函数的got表(尚未有真实地址,0x804a01c)和info(0x607):
这样我们的fake_reloc就出来了:直接got表地址指针+符号表信息(这里是得到write函数的符合表所在地址,这就是write函数的真实调用),根据后面写的payload计算出偏移位置是7,那么占用4*7=28个字节,所以payload:
回显成功
说明我们成功地伪造假的重定位项是OK的,这里理解费劲了一些,重点看plt的重定位表,即那个rel.plt(readelf -S bof)
stage4:
中,我们控制了重定位表项,但是重定位表项的内容与 write 原来的重定位表项一致,这次我们需要构造自己的重定位表项,并且伪造该表项对应的符号。
这里的找到了动态链接符号表和动态链接字符串表:
stage3
接下来
这里我们可以知道,fake_sym_addr的4个参数。由于符号表每一项都是0x10的大小,所以这里要实现对齐操作,具体看payload
:
这样一来一样可以输出/bin/sh
stage5:
这里直接改st_name为我们知道的write即可:
stage6:
最后直接替换write为system即可,然后改相应的参数即可:
最后getshell成功!
最后完整的exp是这样的:
这就是ret2_dl_runtime_resolve的exp,之后遇到类似的题目可以套用这个模板去打~
总的来说就是利用了那个函数,控制字符串名指向我们自己写的字符串,然后就能实现调用,其中包含了elf深层的理解,
自我感觉理解的还不是很透彻感觉,之后慢慢有时间再深入了解下~
SROP介绍:
360春秋杯的一题:smallest
程序开了堆栈不可执行的保护,有栈溢出漏洞,程序真的很简洁,而且可以知道xor rax,rax,rax = 0,系统调用号为0是read函数,所以是read(0,rsp,400)调用, 向栈中读入400个字节,毫无疑问是有栈溢出的,由于程序中并没有 sigreturn 调用,系统调用号为15(rax = 15),其中,32 位的 sigreturn 的调用号为 77,64 位的系统调用号为 15。所以我们得自己构造,正好这里有 read 函数调用,所以我们可以通过 read 函数读取的字节数来设置 rax 的值。重要思路如下:
通过控制 read 读取的字符数来设置 RAX 寄存器的值,从而执行 sigreturn
通过 syscall 执行 execve("/bin/sh",0,0) 来获取 shell,我们知道execve的系统调用号为59。这样这个payload就出来了:
