• CTF丨Linux Pwn入门教程:针对函数重定位流程的相关测试(上)


    Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程。

    教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会封装在Docker镜像当中,并提供调试用的教学程序,来自历年赛事的原题和带有注释的python脚本。

    课程回顾>>

    Linux Pwn入门教程第一章:环境配置

    Linux Pwn入门教程第二章:栈溢出基础

    Linux Pwn入门教程第三章:ShellCode

    Linux Pwn入门教程第四章:ROP技术(上)

    Linux Pwn入门教程第四章:ROP技术(下)

    Linux Pwn入门教程第五章:调整栈帧的技巧

    Linux Pwn入门教程第六章:利用漏洞获取libc

    Linux Pwn入门教程第七章:格式化字符串漏洞

    Linux Pwn入门教程第八章:PIE与bypass思路

    Linux Pwn入门教程第九章:stack canary与绕过的思路

     

    今天i春秋与大家分享的是Linux Pwn入门教程第十章:针对函数重定位流程的相关测试(上),阅读用时约15分钟。

    got表、plt表与延迟绑定

    在之前的章节中,我们无数次提到过got表和plt表这两个结构。这两个表有什么不同?为什么调用函数要经过这两个表?ret2dl-resolve与这些内容又有什么关系呢?本节我们将通过调试和“考古”来回答这些问题。

    我们先选择程序~/XMAN 2016-level3/level3进行实验。这个程序在main函数中和vulnerable_function中都调用了write函数,我们分别在两个call _write和一个call _read上下断点,调试观察发生了什么。

    调试启动后程序断在第一个call _write处:

     

    此时我们按F7跟进函数,发现EIP跳到了.plt表上,从旁边的箭头我们可以看到这个jmp指向了后面的push 18h; jmp loc_8048300。

     

    我们继续F7执行到jmp loc_8048300发生跳转,发现这边又是一个push和一个jmp,这段代码也在.plt上。

     

    同样的,我们直接执行到jmp执行完,发现程序跳转到了ld_2.24.so上,这个地址是loc_F7F5D010。

     

    到这里,有些人可能已经发现了不对劲。刚刚的指令明明是jmp ds:off_804a008,这个F7F5D010是从哪里冒出来的呢?其实这行jmp的意思并不是跳转到地址0x0804a008执行代码,而是跳转到地址0x0804a008中保存的地址处。同理,一开始的jmp ds:off_804a018也不是跳转到地址0x0804a018.OK,我们来看一下这两个地址里保存了什么。

     

     

    回到call _write F7跟进后的那张图,跟进后的第一条指令是jmp ds:off_804a018,这个地址位于.got.plt中。我们看到其保存的内容是loc_8048346,后面还跟着一个DATA XREF:_write↑r. 说明这是一个跟write函数相关的代码引用的这个地址,上面的有一个同样的read也说明了这一点。而jmp ds:0ff_804a008也是跳到了0x0804a008保存的地址loc_F7F5D010处。

    回到刚刚的eip,我们继续F8单步往下走,执行到retn 0Ch,继续往下执行就到了write函数的真正地址:

     

    现在我们可以归纳出call write的执行流程如下图:

     

     

    然后我们F9到断在call _read,发现其流程也和上图差不多,唯一的区别在于addr1和push num中的数字不一样,call _read时push的数字是0。

     

    接下来我们让程序执行到第二个call _write,F7跟进后发现jmp ds:0ff_804a018旁边的箭头不再指向下面的push 18h。

     

    我们查看.got.plt,发现其内容已经直接变成了write函数在内存中的真实地址。

     

     

    由此我们可以得出一个结论,只有某个库函数第一次被调用时才会经历一系列繁琐的过程,之后的调用会直接跳转到其对应的地址。那么程序为什么要这么设计呢?

    要想回答这个问题,首先我们得从动态链接说起。为了减少存储器浪费,现代操作系统支持动态链接特性。即不是在程序编译的时候就把外部的库函数编译进去,而是在运行时再把包含有对应函数的库加载到内存里。由于内存空间有限,选用函数库的组合无限,显然程序不可能在运行之前就知道自己用到的函数会在哪个地址上。比如说对于libc.so来说,我们要求把它加载到地址0x1000处,A程序只引用了libc.so,从理论上来说这个要求不难办到。但是对于用了liba,so, libb.so, libc.so……liby.so, libz.so的B程序来说,0x1000这个地址可能就被liba.so等库占据了。因此,程序在运行时碰到了外部符号,就需要去找到它们真正的内存地址,这个过程被称为重定位。为了安全,现代操作系统的设计要求代码所在的内存必须是不可修改的,那么诸如call read一类的指令即没办法在编译阶段直接指向read函数所在地址,又没办法在运行时修改成read函数所在地址,怎么保证CPU在运行到这行指令时能正确跳到read函数呢?这就需要got表(Global Offset Table,全局偏移表)和plt表(Procedure Linkage Table,过程链接表)进行辅助了。

    正如我们刚刚分析过的流程,在延迟加载的情况下,每个外部函数的got表都会被初始化成plt表中对应项的地址。当call指令执行时,EIP直接跳转到plt表的一个jmp,这个jmp直接指向对应的got表地址,从这个地址取值。此时这个jmp会跳到保存好的,plt表中对应项的地址,在这里把每个函数重定位过程中唯一的不同点,即一个数字入栈(本例子中write是18h,read是0,对于单个程序来说,这个数字是不变的),然后push got[1]并跳转到got[2]保存的地址。在这个地址中对函数进行了重定位,并且修改got表为真正的函数地址。当第二次调用同一个函数的时候,call仍然使EIP跳转到plt表的同一个jmp,不同的是这回从got表取值取到的是真正的地址,从而避免重复进行重定位。

    符号解析的过程

    我们通过调试已经大概搞清楚got表,plt表和重定位的流程了,ret2dl-resolve的核心原理是攻击符号重定位流程,使其解析库中存在的任意函数地址,从而实现got表的劫持。为了完成这一目标,我们就必须得深入符号解析的细节,寻找整个解析流程中的潜在攻击点。我们可以在https://ftp.gnu.org/gnu/glibc/下载到glibc源码,这里我用了glibc-2.27版本的源码。

    我们回到程序跳转到ld_2.24.so的部分,这一段的源码是用汇编实现的,源码路径为glibc/sysdeps/i386/dl-trampoline.S(64位把i386改为x86_64),其主要代码如下:

     .text
     .globl _dl_runtime_resolve
     .type _dl_runtime_resolve, @function
     cfi_startproc
     .align 16
     _dl_runtime_resolve:
     cfi_adjust_cfa_offset (8)
     pushl %eax # Preserve registers otherwise clobbered.
     cfi_adjust_cfa_offset (4)
     pushl %ecx
     cfi_adjust_cfa_offset (4)
     pushl %edx
     cfi_adjust_cfa_offset (4)
     movl 16(%esp), %edx # Copy args pushed by PLT in register. Note
     movl 12(%esp), %eax # that `fixup' takes its parameters in regs.
     call _dl_fixup # Call resolver.
     popl %edx # Get register content back.
     cfi_adjust_cfa_offset (-4)
     movl (%esp), %ecx
     movl %eax, (%esp) # Store the function address.
     movl 4(%esp), %eax
     ret $12 # Jump to function address.
     cfi_endproc
     .size _dl_runtime_resolve, .-_dl_runtime_resolve
    

    其采用了GNU风格的语法,可读性比较差,我们对应到IDA中的反汇编结果中修正符号如下:

     

     

    _dl_fixup的实现位于glibc/elf/dl-runtime.c,我们首先来看一下函数的参数列表:

    _dl_fixup (
    # ifdef ELF_MACHINE_RUNTIME_FIXUP_ARGS
     ELF_MACHINE_RUNTIME_FIXUP_ARGS,
    # endif
     struct link_map *__unbounded l, ElfW(Word) reloc_arg)
    

    忽略掉宏定义部分,我们可以看到_dl_fixup接收两个参数,link_map类型的指针l对应了push进去的got[1],reloc_arg对应了push进去的数字。由于link_map *都是一样的,不同的函数差别只在于reloc_arg部分。我们继续追踪reloc_arg这个参数的流向。

    如果你真的阅读了源码,你会发现这个函数里头找不到reloc_arg,那么这个参数是用不着了吗?不是的,我们往上面看,会看到一个宏定义。

    #ifndef reloc_offset
    # define reloc_offset reloc_arg
    # define reloc_index reloc_arg / sizeof (PLTREL)
    #endif
    reloc_offset在函数开头声明变量时出现了。
     const ElfW(Sym) *const symtab
     = (const void *) D_PTR (l, l_info[DT_SYMTAB]);
     const char *strtab = (const void *) D_PTR (l, l_info[DT_STRTAB]);
     const PLTREL *const reloc
     = (const void *) (D_PTR (l, l_info[DT_JMPREL]) + reloc_offset);
     const ElfW(Sym) *sym = &symtab[ELFW(R_SYM) (reloc->r_info)];
     const ElfW(Sym) *refsym = sym;
     void *const rel_addr = (void *)(l->l_addr + reloc->r_offset);
     lookup_t result;
     DL_FIXUP_VALUE_TYPE value;
    

    D_PTR是一个宏定义,位于glibc/sysdeps/generic/ldsodefs.h中,用于通过link_map结构体寻址。这几行代码分别是寻找并保存symtab, strtab的首地址和利用参数reloc_offset寻找对应的PLTREL结构体项,然后会利用这个结构体项reloc寻找symtab中的项sym和一个rel_addr.我们先来看看这个结构体的定义。这个结构体定义在glibc/elf/elf.h中,32位下该结构体为:

    typedef struct
    {
     Elf32_Addr r_offset; /* Address */
     Elf32_Word r_info; /* Relocation type and symbol index */
    } Elf32_Rel;
    

    这个结构体中有两个成员变量,其中r_offset参与了初始化变量rel_addr,这个变量在_dl_fixup的最后return处作为函数elf_machine_fixup_plt的参数传入,r_offset实际上就是函数对应的got表项地址。另一个参数r_info参与了初始化变量sym和一些校验,而sym和其成员变量会作为参数传递给函数_dl_lookup_symbol_x和宏DL_FIXUP_MAKE_VALUE中,显然我们必须关注一下它。不过首先我们得看一下reloc->r_info参与的其他部分代码。

    首先我们看到这么一行代码:

     assert (ELFW(R_TYPE)(reloc->r_info) == ELF_MACHINE_JMP_SLOT);
    

    这行代码用了一大堆宏,ELFW宏用来拼接字符串,在这里实际上是为了自动兼容32和64位,R_TYPE和前面出现过的R_SYM定义如下:

    #define ELF32_R_SYM(i) ((i)>>8)
    #define ELF32_R_TYPE(i) ((unsigned char)(i))
    #define ELF32_R_INFO(s, t) (((s)<<8) + (unsigned char)(t))
    所以这一行代码取reloc->r_info的最后一个字节,判断是否为ELF_MACHINE_JMP_SLOT,即7.我们继续往下看
     if (l->l_info[VERSYMIDX (DT_VERSYM)] != NULL)
     {
     const ElfW(Half) *vernum =
     (const void *) D_PTR (l, l_info[VERSYMIDX (DT_VERSYM)]);
     ElfW(Half) ndx = vernum[ELFW(R_SYM) (reloc->r_info)] & 0x7fff;
     version = &l->l_versions[ndx];
     if (version->hash == 0)
     version = NULL;
     }
    

    这段代码使用reloc->r_info最终给version进行了赋值,这里我们可以看出reloc->r_info的高24位异常可能导致ndx数值异常,进而在version = &l->l_versions[ndx]时可能会引起数组越界从而使程序崩溃。

    看完了这一段,我们回头看一下变量sym, sym同样使用了ELFW(R_SYM)(reloc->r_info)作为下标进行赋值。

    const ElfW(Sym) *sym = &symtab[ELFW(R_SYM) (reloc->r_info)];
    

    Elfw(Sym)会被处理成Elf32_Sym,定义在glibc/elf/elf.h,结构体如下:

    typedef struct
    {
     Elf32_Word st_name; /* Symbol name (string tbl index) */
     Elf32_Addr st_value; /* Symbol value */
     Elf32_Word st_size; /* Symbol size */
     unsigned char st_info; /* Symbol type and binding */
     unsigned char st_other; /* Symbol visibility */
     Elf32_Section st_shndx; /* Section index */
    } Elf32_Sym;
    

    这里面的成员变量st_other和st_name都被用到了。

     if (__builtin_expect (ELFW(ST_VISIBILITY) (sym->st_other), 0) == 0)
     {
     ………………
     result = _dl_lookup_symbol_x (strtab + sym->st_name, l, &sym, l->l_scope,
     version, ELF_RTYPE_CLASS_PLT, flags, NULL);
     ………………
    }
    

    这里省略了部分代码,我们可以从函数名判断出,只有这个if成立,真正进行重定位的函数_dl_lookup_symbol_x才会被执行。ELFW(ST_VISIBILITY)会被解析成宏定义。

    define ELF32_ST_VISIBILITY(o) ((o) & 0x03)位于glibc/elf/elf.h,所以我们得知这边的sym->st_other后两位必须为0。

    我们可以看到传入_dl_lookup_symbol_x函数的参数中,第一个参数为strtab+sym->st_name,第三个参数是sym指针的引用。strtab在函数的开头已经赋值为strtab的首地址,查阅资料可知strtab是ELF文件中的一个字符串表,内容包括了.symtab和.debug节的符号表等等。

    我们根据readelf给出的偏移来看一下这个表。

     

     

    可以看到这里面是有read、write、__libc_start_main等函数的名字的。那么函数_dl_lookup_symbol_x为什么要接收这个名字呢?我们进入这个函数,发现这个函数的代码有点多。考虑到我们关心的是重定位过程中不同的reloc_arg是如何影响函数的重定位的,我们在此不分析其细节。

    _dl_lookup_symbol_x (const char *undef_name, struct link_map *undef_map,
     const ElfW(Sym) **ref,
     struct r_scope_elem *symbol_scope[],
     const struct r_found_version *version,
     int type_class, int flags, struct link_map *skip_map)
    {
     const uint_fast32_t new_hash = dl_new_hash (undef_name);
     unsigned long int old_hash = 0xffffffff;
     struct sym_val current_value = { NULL, NULL };
     .............
     /* Search the relevant loaded objects for a definition. */
     for (size_t start = i; *scope != NULL; start = 0, ++scope)
     {
     int res = do_lookup_x (undef_name, new_hash, &old_hash, *ref,
     ¤t_value, *scope, start, version, flags,
     skip_map, type_class, undef_map);
     if (res > 0)
     break;
     if (__glibc_unlikely (res < 0) && skip_map == NULL)
     {
     /* Oh, oh. The file named in the relocation entry does not
     contain the needed symbol. This code is never reached
     for unversioned lookups. */
     assert (version != NULL);
     const char *reference_name = undef_map ? undef_map->l_name : "";
     struct dl_exception exception;
     /* XXX We cannot translate the message. */
     _dl_exception_create_format
     (&exception, DSO_FILENAME (reference_name),
     "symbol %s version %s not defined in file %s"
     " with link time reference%s",
     undef_name, version->name, version->filename,
     res == -2 ? " (no version symbols)" : "");
     _dl_signal_cexception (0, &exception, N_("relocation error"));
     _dl_exception_free (&exception);
     *ref = NULL;
     return 0;
     }
     ...............
    }
    

    我们看到函数名字会被计算hash,这个hash会传递给do_lookup_x,从函数名和下面对分支的注释我们可以看出来do_lookup_x才是真正进行重定位的函数,而且其返回值res大于0说明寻找到了函数的地址。我们继续进入do_lookup_x,发现其主要是使用用strtab + sym->st_name计算出来的参数new_hash进行计算,与strtab + sym->st_name,sym等并没有什么关系。对比do_lookup_x的参数列表和传入的参数,我们可以发现其结果保存在current_value中。

    do_lookup_x:
    static int
    __attribute_noinline__
    do_lookup_x (const char *undef_name, uint_fast32_t new_hash,
     unsigned long int *old_hash, const ElfW(Sym) *ref,
     struct sym_val *result, struct r_scope_elem *scope, size_t i,
     const struct r_found_version *const version, int flags,
     struct link_map *skip, int type_class, struct link_map *undef_map)
    _dl_lookup_symbol_x:
    int res = do_lookup_x (undef_name, new_hash, &old_hash, *ref,
     ¤t_value, *scope, start, version, flags,
     skip_map, type_class, undef_map);
    

    至此,我们已经分析完了reloc_arg对函数重定位的影响,我们用下面这张图总结一下整个影响过程:

     

     

    我们以write函数为例进行调试分析,write的reloc_arg是0x18。

     

     

    使用readelf查看程序信息,找到JMPREL在0x080482b0。

     

     

    事实上该信息存储在.rel.plt节里。

     

     

    我们找到这块内存,按照结构体格式解析数据,可知r->offset = 0x0804a018 , r->info=407,与readelf显示的.rel.plt数据吻合。

     

     

    所以是symtab的第四项,我们可以通过#include<elf.h>导入该结构体后使用sizeof算出Elf32_Sym大小为0x10,通过上面readelf显示的节头信息我们发现symtab并不会映射到内存中,可是重定位是在运行过程中进行的,显然在内存中会有相关数据,这就产生了矛盾。通过查阅资料我们可以得知其实symtab有个子集dymsym,在节头表中显示其位于080481cc。

     

     

    对照结构体,st_name是0x31,接下来我们去strtab找,同样的,strtab也有个子集dynstr,地址在0804822c.加上0x31后为0804825d。

     

     

    以上是今天的内容,大家看懂了吗?后面我们将持续更新Linux Pwn入门教程的相关章节,希望大家及时关注。

  • 相关阅读:
    2019年4月18日 查询功能 2
    bzoj3601
    bzoj2693
    bzoj2440
    bzoj3529
    bzoj2820
    BZOJ2813
    BZOJ4515
    AtCoder Grand Contest 001 题解
    BZOJ2757
  • 原文地址:https://www.cnblogs.com/ichunqiu/p/11690691.html
Copyright © 2020-2023  润新知