[【通过】] 栈溢出漏洞攻击之ret2resolve

[复制链接]
7o8v 发表于 2017-8-21 10:11:10 | 显示全部楼层 |阅读模式

正式成员|主题 |帖子 |积分 6

本帖最后由 7o8v 于 2017-8-21 10:29 编辑

0x00 前言
在CTF中一般的栈溢出题目会给出程序对应的libc,这样我们在泄漏一个libc地址之后就能根据偏移量去计算libc的其他地址,比如system/bin/sh或是libc基址。
那如果题目中没有给出libc,我们就无法得知题目所用的libc版本。这个时候如果我们要计算system函数的地址的话,可以利用泄露出的libc地址去http://libcdb.com搜索对应的libc版本,因为一个libc函数地址的低三位在对应的libc版本中总是不变的。(当然你也可能搜不到)
今天要介绍的这项技术就是"Return_to_dl_resolve"。
理论上来讲,它能在不泄露libc地址、不需要知道libc版本的情况下完成任意libc函数的调用。(包括system
在正式介绍这项技术之前,先了解一下相关知识。
0x01 背景知识
我们应该知道Linux glibc函数在第一次被调用的时候才会去寻找真正的函数地址并进行绑定(不了解这块知识可以百度“PLT 延迟绑定”),而解析函数地址的工作由函数dl_runtime_resolve来完成。
0.png
上面一张图片简单描述了第一次调用函数的流程。而要说到dl_runtime_resolve如何解析函数,那就不得不提到ELF文件中几个关键的节区了。见下图框起来的部分。
1.png

2.png
上面第一张图的STRTABSYMTABJMPREL分别就是第二张图的dynstrdynsymrel.plt , 上图也提供了如何查看这些信息的命令。
要谈到这些节区的关系,我们先从dl_runtime_resolve函数的参数说起。
注意到我给的函数第一次调用流程图中有两个push指令,两个push分别将参数link_mapreloc_arg压入栈中,图中我写的rel_off也就是参数reloc_arg,另一个就是link_map。
rel_off即为需要重定位的函数在rel_plt节中的偏移,该节查看如下
3.png

上面是重定位变量,下面是重定位函数,我们主要看下面的部分。
比如第一个函数setbuf,在表中占第一位,那么它的rel_off就为0,第二个函数read的偏移就为8.第n个函数的偏移为n*len_of_elfRel,在32位程序中len_of_elfRel大小为8.
elfRel为保存每个重定位函数信息的数据结构
结构如下
typedef struct {
Elf32_Addr r_offset;
Elf32_Word r_info;      // 符号表索引
} Elf32_Rel;
r_offset就是该函数在got表的位置,r_info用来检索函数其他信息在节区dynsym中的位置。
ELF32_R_SYM(Elf32_Rel->r_info) = (Elf32_Rel->r_info) >> 8
dynsym节区中每个存储函数信息的数据结构如下:
typedef struct{
Elf32_Word st_name;     // Symbol name(string tbl index)   
Elf32_Addr st_value;    // Symbol value   
Elf32_Word st_size;     // Symbol size   
unsigned char st_info;  // Symbol type and binding   
unsigned char st_other; // Symbol visibility under glibc>=2.2   
Elf32_Section st_shndx; // Section index
} Elf32_Sym;
查看内存的话一般看到的是下面这个样子的:
4.png
前四个字节的值是函数的名称在dynstr表中的偏移,dynstr基址加上这个偏移就是对应函数名称所在的位置。
5.png
dynstr表中装有需要重定位的函数和变量名称的字符串。
前面提到过,函数的解析工作是由dl_runtime_reslove函数完成的。
该函数是用汇编语言实现的,而在其中会首先调用一个函数 dl_fixup,参数由寄存器传递。
我们关注一些关键部分即可:
6.png
那么我们的漏洞利用思路就比较清晰了
0x02 思路
  • 伪造一个很大的rel_off参数,使reloc落在我们可控的范围。
  • 将参数压栈,控制eip跳到plt[0]
  • 伪造reloc内容,第一个为需要覆写的GOT表地址,一个是dynsym的索引值。伪造索引值可以使得sym落在我们可控范围内。
  • 伪造sym中的st_name所代表的偏移值,可以使得str落在我们可控范围内。
  • 伪造str的值,比如system
我在上次写到的NSCTF的wp中有说到那两道题目都可以通过ret2resolve完成攻击,那么这次我就一其中一题作为例子来做演示。
0x03 EXP(PWN1)

8.png
这就是修改过的exp。
中间我用虚线分割的部分是一些构造ROP的地址,上面提到的三个节区的地址,以及伪造的地址及信息。
data部分是从bss段开始的,我留出了880个字节当作dl_runtime_resolve函数调用所需的栈空间,得益于这是一片可写区域。之后的空间就是我放置伪造信息的区域了。
0x04 参考文章0x05 写在最后
这种攻击方式相较ret2libc来讲较为复杂,操作起来也比较麻烦,而且在开了PIERELRO FULL时不好利用,慎用。
在此给出示例程序:http://pan.baidu.com/s/1hrE1M6K 密码:nzwp



评分

参与人数 1酒票 +5 收起 理由
管理05 + 5 欢迎加入90!

查看全部评分

 楼主 7o8v 发表于 2017-8-21 10:11:59 | 显示全部楼层

正式成员|主题 |帖子 |积分 6

我擦 = =  没有图片 , 可以删帖吗?
管理05 发表于 2017-8-21 10:12:43 | 显示全部楼层

管理|主题 |帖子 |积分 936

RE: 栈溢出漏洞攻击之ret2resolve

7o8v 发表于 2017-8-21 10:11
我擦 = =  没有图片 , 可以删帖吗?

可以编辑上传
 楼主 7o8v 发表于 2017-8-21 10:25:31 | 显示全部楼层

正式成员|主题 |帖子 |积分 6

RE: 栈溢出漏洞攻击之ret2resolve


终于弄好了,谢谢.
快速回复 返回顶部 返回列表