Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程。
教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会封装在Docker镜像当中,并提供调试用的教学程序,来自历年赛事的原题和带有注释的python脚本。
课程回顾>>
Linux Pwn入门教程第九章:stack canary与绕过的思路
今天i春秋与大家分享的是Linux Pwn入门教程第十章:针对函数重定位流程的相关测试(上),阅读用时约15分钟。
got表、plt表与延迟绑定
在之前的章节中,我们无数次提到过got表和plt表这两个结构。这两个表有什么不同?为什么调用函数要经过这两个表?ret2dl-resolve与这些内容又有什么关系呢?本节我们将通过调试和“考古”来回答这些问题。
我们先选择程序~/XMAN 2016-level3/level3进行实验。这个程序在main函数中和vulnerable_function中都调用了write函数,我们分别在两个call _write和一个call _read上下断点,调试观察发生了什么。
调试启动后程序断在第一个call _write处:
此时我们按F7跟进函数,发现EIP跳到了.plt表上,从旁边的箭头我们可以看到这个jmp指向了后面的push 18h; jmp loc_8048300。
我们继续F7执行到jmp loc_8048300发生跳转,发现这边又是一个push和一个jmp,这段代码也在.plt上。
同样的,我们直接执行到jmp执行完,发现程序跳转到了ld_2.24.so上,这个地址是loc_F7F5D010。
到这里,有些人可能已经发现了不对劲。刚刚的指令明明是jmp ds:off_804a008,这个F7F5D010是从哪里冒出来的呢?其实这行jmp的意思并不是跳转到地址0x0804a008执行代码,而是跳转到地址0x0804a008中保存的地址处。同理,一开始的jmp ds:off_804a018也不是跳转到地址0x0804a018.OK,我们来看一下这两个地址里保存了什么。
回到call _write F7跟进后的那张图,跟进后的第一条指令是jmp ds:off_804a018,这个地址位于.got.plt中。我们看到其保存的内容是loc_8048346,后面还跟着一个DATA XREF:_write↑r. 说明这是一个跟write函数相关的代码引用的这个地址,上面的有一个同样的read也说明了这一点。而jmp ds:0ff_804a008也是跳到了0x0804a008保存的地址loc_F7F5D010处。
回到刚刚的eip,我们继续F8单步往下走,执行到retn 0Ch,继续往下执行就到了write函数的真正地址:
现在我们可以归纳出call write的执行流程如下图:
然后我们F9到断在call _read,发现其流程也和上图差不多,唯一的区别在于addr1和push num中的数字不一样,call _read时push的数字是0。
接下来我们让程序执行到第二个call _write,F7跟进后发现jmp ds:0ff_804a018旁边的箭头不再指向下面的push 18h。
我们查看.got.plt,发现其内容已经直接变成了write函数在内存中的真实地址。
由此我们可以得出一个结论,只有某个库函数第一次被调用时才会经历一系列繁琐的过程,之后的调用会直接跳转到其对应的地址。那么程序为什么要这么设计呢?
要想回答这个问题,首先我们得从动态链接说起。为了减少存储器浪费,现代操作系统支持动态链接特性。即不是在程序编译的时候就把外部的库函数编译进去,而是在运行时再把包含有对应函数的库加载到内存里。由于内存空间有限,选用函数库的组合无限,显然程序不可能在运行之前就知道自己用到的函数会在哪个地址上。比如说对于libc.so来说,我们要求把它加载到地址0x1000处,A程序只引用了libc.so,从理论上来说这个要求不难办到。但是对于用了liba,so, libb.so, libc.so……liby.so, libz.so的B程序来说,0x1000这个地址可能就被liba.so等库占据了。因此,程序在运行时碰到了外部符号,就需要去找到它们真正的内存地址,这个过程被称为重定位。为了安全,现代操作系统的设计要求代码所在的内存必须是不可修改的,那么诸如call read一类的指令即没办法在编译阶段直接指向read函数所在地址,又没办法在运行时修改成read函数所在地址,怎么保证CPU在运行到这行指令时能正确跳到read函数呢?这就需要got表(Global Offset Table,全局偏移表)和plt表(Procedure Linkage Table,过程链接表)进行辅助了。
正如我们刚刚分析过的流程,在延迟加载的情况下,每个外部函数的got表都会被初始化成plt表中对应项的地址。当call指令执行时,EIP直接跳转到plt表的一个jmp,这个jmp直接指向对应的got表地址,从这个地址取值。此时这个jmp会跳到保存好的,plt表中对应项的地址,在这里把每个函数重定位过程中唯一的不同点,即一个数字入栈(本例子中write是18h,read是0,对于单个程序来说,这个数字是不变的),然后push got[1]并跳转到got[2]保存的地址。在这个地址中对函数进行了重定位,并且修改got表为真正的函数地址。当第二次调用同一个函数的时候,call仍然使EIP跳转到plt表的同一个jmp,不同的是这回从got表取值取到的是真正的地址,从而避免重复进行重定位。
符号解析的过程
我们通过调试已经大概搞清楚got表,plt表和重定位的流程了,ret2dl-resolve的核心原理是攻击符号重定位流程,使其解析库中存在的任意函数地址,从而实现got表的劫持。为了完成这一目标,我们就必须得深入符号解析的细节,寻找整个解析流程中的潜在攻击点。我们可以在https://ftp.gnu.org/gnu/glibc/下载到glibc源码,这里我用了glibc-2.27版本的源码。
我们回到程序跳转到ld_2.24.so的部分,这一段的源码是用汇编实现的,源码路径为glibc/sysdeps/i386/dl-trampoline.S(64位把i386改为x86_64),其主要代码如下:
.text
.globl _dl_runtime_resolve
.type _dl_runtime_resolve, @function
cfi_startproc
.align 16
_dl_runtime_resolve:
cfi_adjust_cfa_offset (8)
pushl %eax # Preserve registers otherwise clobbered.
cfi_adjust_cfa_offset (4)
pushl %ecx
cfi_adjust_cfa_offset (4)
pushl %edx
cfi_adjust_cfa_offset (4)
movl 16(%esp), %edx # Copy args pushed by PLT in register. Note
movl 12(%esp), %eax # that `fixup' takes its parameters in regs.
call _dl_fixup # Call resolver.
popl %edx # Get register content back.
cfi_adjust_cfa_offset (-4)
movl (%esp), %ecx
movl %eax, (%esp) # Store the function address.
movl 4(%esp), %eax
ret $12 # Jump to function address.
cfi_endproc
.size _dl_runtime_resolve, .-_dl_runtime_resolve
其采用了GNU风格的语法,可读性比较差,我们对应到IDA中的反汇编结果中修正符号如下:
_dl_fixup的实现位于glibc/elf/dl-runtime.c,我们首先来看一下函数的参数列表:
_dl_fixup (
# ifdef ELF_MACHINE_RUNTIME_FIXUP_ARGS
ELF_MACHINE_RUNTIME_FIXUP_ARGS,
# endif
struct link_map *__unbounded l, ElfW(Word) reloc_arg)
忽略掉宏定义部分,我们可以看到_dl_fixup接收两个参数,link_map类型的指针l对应了push进去的got[1],reloc_arg对应了push进去的数字。由于link_map *都是一样的,不同的函数差别只在于reloc_arg部分。我们继续追踪reloc_arg这个参数的流向。
如果你真的阅读了源码,你会发现这个函数里头找不到reloc_arg,那么这个参数是用不着了吗?不是的,我们往上面看,会看到一个宏定义。
#ifndef reloc_offset
# define reloc_offset reloc_arg
# define reloc_index reloc_arg / sizeof (PLTREL)
#endif
reloc_offset在函数开头声明变量时出现了。
const ElfW(Sym) *const symtab
= (const void *) D_PTR (l, l_info[DT_SYMTAB]);
const char *strtab = (const void *) D_PTR (l, l_info[DT_STRTAB]);
const PLTREL *const reloc
= (const void *) (D_PTR (l, l_info[DT_JMPREL]) + reloc_offset);
const ElfW(Sym) *sym = &symtab[ELFW(R_SYM) (reloc->r_info)];
const ElfW(Sym) *refsym = sym;
void *const rel_addr = (void *)(l->l_addr + reloc->r_offset);
lookup_t result;
DL_FIXUP_VALUE_TYPE value;
D_PTR是一个宏定义,位于glibc/sysdeps/generic/ldsodefs.h中,用于通过link_map结构体寻址。这几行代码分别是寻找并保存symtab, strtab的首地址和利用参数reloc_offset寻找对应的PLTREL结构体项,然后会利用这个结构体项reloc寻找symtab中的项sym和一个rel_addr.我们先来看看这个结构体的定义。这个结构体定义在glibc/elf/elf.h中,32位下该结构体为:
typedef struct
{
Elf32_Addr r_offset; /* Address */
Elf32_Word r_info; /* Relocation type and symbol index */
} Elf32_Rel;
这个结构体中有两个成员变量,其中r_offset参与了初始化变量rel_addr,这个变量在_dl_fixup的最后return处作为函数elf_machine_fixup_plt的参数传入,r_offset实际上就是函数对应的got表项地址。另一个参数r_info参与了初始化变量sym和一些校验,而sym和其成员变量会作为参数传递给函数_dl_lookup_symbol_x和宏DL_FIXUP_MAKE_VALUE中,显然我们必须关注一下它。不过首先我们得看一下reloc->r_info参与的其他部分代码。
首先我们看到这么一行代码:
assert (ELFW(R_TYPE)(reloc->r_info) == ELF_MACHINE_JMP_SLOT);
这行代码用了一大堆宏,ELFW宏用来拼接字符串,在这里实际上是为了自动兼容32和64位,R_TYPE和前面出现过的R_SYM定义如下:
#define ELF32_R_SYM(i) ((i)>>8)
#define ELF32_R_TYPE(i) ((unsigned char)(i))
#define ELF32_R_INFO(s, t) (((s)<<8) + (unsigned char)(t))
所以这一行代码取reloc->r_info的最后一个字节,判断是否为ELF_MACHINE_JMP_SLOT,即7.我们继续往下看
if (l->l_info[VERSYMIDX (DT_VERSYM)] != NULL)
{
const ElfW(Half) *vernum =
(const void *) D_PTR (l, l_info[VERSYMIDX (DT_VERSYM)]);
ElfW(Half) ndx = vernum[ELFW(R_SYM) (reloc->r_info)] & 0x7fff;
version = &l->l_versions[ndx];
if (version->hash == 0)
version = NULL;
}
这段代码使用reloc->r_info最终给version进行了赋值,这里我们可以看出reloc->r_info的高24位异常可能导致ndx数值异常,进而在version = &l->l_versions[ndx]时可能会引起数组越界从而使程序崩溃。
看完了这一段,我们回头看一下变量sym, sym同样使用了ELFW(R_SYM)(reloc->r_info)作为下标进行赋值。
const ElfW(Sym) *sym = &symtab[ELFW(R_SYM) (reloc->r_info)];
Elfw(Sym)会被处理成Elf32_Sym,定义在glibc/elf/elf.h,结构体如下:
typedef struct
{
Elf32_Word st_name; /* Symbol name (string tbl index) */
Elf32_Addr st_value; /* Symbol value */
Elf32_Word st_size; /* Symbol size */
unsigned char st_info; /* Symbol type and binding */
unsigned char st_other; /* Symbol visibility */
Elf32_Section st_shndx; /* Section index */
} Elf32_Sym;
这里面的成员变量st_other和st_name都被用到了。
if (__builtin_expect (ELFW(ST_VISIBILITY) (sym->st_other), 0) == 0)
{
………………
result = _dl_lookup_symbol_x (strtab + sym->st_name, l, &sym, l->l_scope,
version, ELF_RTYPE_CLASS_PLT, flags, NULL);
………………
}
这里省略了部分代码,我们可以从函数名判断出,只有这个if成立,真正进行重定位的函数_dl_lookup_symbol_x才会被执行。ELFW(ST_VISIBILITY)会被解析成宏定义。
define ELF32_ST_VISIBILITY(o) ((o) & 0x03)位于glibc/elf/elf.h,所以我们得知这边的sym->st_other后两位必须为0。
我们可以看到传入_dl_lookup_symbol_x函数的参数中,第一个参数为strtab+sym->st_name,第三个参数是sym指针的引用。strtab在函数的开头已经赋值为strtab的首地址,查阅资料可知strtab是ELF文件中的一个字符串表,内容包括了.symtab和.debug节的符号表等等。
我们根据readelf给出的偏移来看一下这个表。
可以看到这里面是有read、write、__libc_start_main等函数的名字的。那么函数_dl_lookup_symbol_x为什么要接收这个名字呢?我们进入这个函数,发现这个函数的代码有点多。考虑到我们关心的是重定位过程中不同的reloc_arg是如何影响函数的重定位的,我们在此不分析其细节。
_dl_lookup_symbol_x (const char *undef_name, struct link_map *undef_map,
const ElfW(Sym) **ref,
struct r_scope_elem *symbol_scope[],
const struct r_found_version *version,
int type_class, int flags, struct link_map *skip_map)
{
const uint_fast32_t new_hash = dl_new_hash (undef_name);
unsigned long int old_hash = 0xffffffff;
struct sym_val current_value = { NULL, NULL };
.............
/* Search the relevant loaded objects for a definition. */
for (size_t start = i; *scope != NULL; start = 0, ++scope)
{
int res = do_lookup_x (undef_name, new_hash, &old_hash, *ref,
¤t_value, *scope, start, version, flags,
skip_map, type_class, undef_map);
if (res > 0)
break;
if (__glibc_unlikely (res < 0) && skip_map == NULL)
{
/* Oh, oh. The file named in the relocation entry does not
contain the needed symbol. This code is never reached
for unversioned lookups. */
assert (version != NULL);
const char *reference_name = undef_map ? undef_map->l_name : "";
struct dl_exception exception;
/* XXX We cannot translate the message. */
_dl_exception_create_format
(&exception, DSO_FILENAME (reference_name),
"symbol %s version %s not defined in file %s"
" with link time reference%s",
undef_name, version->name, version->filename,
res == -2 ? " (no version symbols)" : "");
_dl_signal_cexception (0, &exception, N_("relocation error"));
_dl_exception_free (&exception);
*ref = NULL;
return 0;
}
...............
}
我们看到函数名字会被计算hash,这个hash会传递给do_lookup_x,从函数名和下面对分支的注释我们可以看出来do_lookup_x才是真正进行重定位的函数,而且其返回值res大于0说明寻找到了函数的地址。我们继续进入do_lookup_x,发现其主要是使用用strtab + sym->st_name计算出来的参数new_hash进行计算,与strtab + sym->st_name,sym等并没有什么关系。对比do_lookup_x的参数列表和传入的参数,我们可以发现其结果保存在current_value中。
do_lookup_x:
static int
__attribute_noinline__
do_lookup_x (const char *undef_name, uint_fast32_t new_hash,
unsigned long int *old_hash, const ElfW(Sym) *ref,
struct sym_val *result, struct r_scope_elem *scope, size_t i,
const struct r_found_version *const version, int flags,
struct link_map *skip, int type_class, struct link_map *undef_map)
_dl_lookup_symbol_x:
int res = do_lookup_x (undef_name, new_hash, &old_hash, *ref,
¤t_value, *scope, start, version, flags,
skip_map, type_class, undef_map);
至此,我们已经分析完了reloc_arg对函数重定位的影响,我们用下面这张图总结一下整个影响过程:
我们以write函数为例进行调试分析,write的reloc_arg是0x18。
使用readelf查看程序信息,找到JMPREL在0x080482b0。
事实上该信息存储在.rel.plt节里。
我们找到这块内存,按照结构体格式解析数据,可知r->offset = 0x0804a018 , r->info=407,与readelf显示的.rel.plt数据吻合。
所以是symtab的第四项,我们可以通过#include<elf.h>导入该结构体后使用sizeof算出Elf32_Sym大小为0x10,通过上面readelf显示的节头信息我们发现symtab并不会映射到内存中,可是重定位是在运行过程中进行的,显然在内存中会有相关数据,这就产生了矛盾。通过查阅资料我们可以得知其实symtab有个子集dymsym,在节头表中显示其位于080481cc。
对照结构体,st_name是0x31,接下来我们去strtab找,同样的,strtab也有个子集dynstr,地址在0804822c.加上0x31后为0804825d。
以上是今天的内容,大家看懂了吗?后面我们将持续更新Linux Pwn入门教程的相关章节,希望大家及时关注。