zs0zrc
zs0zrc

Return-to-dl-resolve

前置知识:
ELF可执行文件由ELF头部,程序头部和其对应的段,节头部表和其对应的节组成。
ELF文件结构如果想深入了解的话可以看下《程序员的自我修养》的第三章 P70
如果一个可执行文件要进行动态链接,它的程序头部表将包含类型为PT_DYNAMIC的段,它包含.dynamic节结构如下

typedef struct {  
    Elf32_Sword d_tag;  
    union {  
        Elf32_Word d_val;  
        Elf32_Addr d_ptr;  
    } d_un;  
} Elf32_Dyn;

其中tag对应着每个节

Return-to-dl-resolve_第1张图片
image.png

JMPREL对应 .rel.plt 用来保存运行时重定位表
SYMTAB对应着符号表.dymsym 它是一个Elf32_Sym结构的数组
STRTAB对应着字符串表.dymstr 用来存放动态链接时需要用到的字符串

ELF中节中包涵目标文件的所有信息,节的结构如下

typedef struct {  
    Elf32_Word sh_name;      // 节头部字符串表节区的索引  
    Elf32_Word sh_type;      // 节类型  
    Elf32_Word sh_flags;     // 节标志,用于描述属性  
    Elf32_Addr sh_addr;      // 节的内存映像  
    Elf32_Off  sh_offset;    // 节的文件偏移  
    Elf32_Word sh_size;      // 节的长度  
    Elf32_Word sh_link;      // 节头部表索引链接  
    Elf32_Word sh_info;      // 附加信息  
    Elf32_Word sh_addralign; // 节对齐约束  
    Elf32_Word sh_entsize;   // 固定大小的节表项的长度  
} Elf32_Shdr;

.rel.plt节是用于函数重定位 ,.rel.dyn节是用于变量重定位

typedef struct {  
    Elf32_Addr r_offset;    // 对于可执行文件,此值为虚拟地址  
    Elf32_Word r_info;      // 符号表索引  
} Elf32_Rel;

.rel.plt 中的offset 对应着r_offset 是函数在.got.plt表中的位置, Info对应着r_info的高24位,Type对应着r_info的低8位

Return-to-dl-resolve_第2张图片
image.png

GOT表是一个简单数组,存放各种绝对地址。
GOT[0] 存放的是动态链接数组_dynamic[]的地址,GOT[1]存放的是一个link_map类型的指针
GOT[2]存放的是动态链接器的解析函数的入口地址

PLT表是由一小段一小段代码组成的(几条控制跳转的汇编语句)

PLT0:  
push GOT[1];  
jmp GOT[2];  
.......  
PLTn:  
jmp GOT[x+n];  
push n; #relocation offset of symbol ,the second argument of _dl_runtime_resolve  
jmp PLT0; call the rtld

程序第一次调用位于.got.plt表中的函数时 ,会跳转回plt表中
然后将参数压入栈中 ,这个参数是reloc_offset 是函数在got表中的偏移
接着会跳转到PLT0,将link_map压入栈中,在调用_dl_runtime_resolve函数来对函数进行重定位
这个函数原型是_dl_runtime_resolve(link_map,reloc_offset)
调用_dl_runtime_resolve函数后
先根据reloc_offest 找到要解析符号的重定位项结构信息reloc

ELF32_Rel *rel_entry = JMPREL + reloc_offset

然后在根据reloc->r-info 找到符号在符号表中的索引

ELF32_Sym *sym_entry = SYMTAB[ELF32_R_SYM(rel_entry->r_info)]
#define ELF32_R_SYM(info) ((info)>>8) #符号在符号表中的索引,占r_offset的高24位

其中还会对重定向符号的类型进行检测

assert (ELFW(R_TYPE)(reloc->r_info) == ELF_MACHINE_JMP_SLOT);
#define ELF32_R_TYPE(info) ((unsigned char)(info))重定位类型 占r_offset的低8位

接着在通过.dynsym项中的st_name找到符号在字符串表.dymstr中的偏移

char *sym_name = STRTAB + sym_entry->st_name

最后通过fixup()函数遍历各个库的符号表 找到函数地址再将地址写入GOT表对应的位置中,当程序第二次调用这个函数时,就会直接调用这个函数

如果想对动态链接更进一步了解的话
可以看《Linux动态链接机制研究及应用》、《程序员的自我修养》

你可能感兴趣的:(Return-to-dl-resolve)

  • XDctf-2015 Return-to-dl-resolve Sadmess
    准备知识相关结构体定义typedefstruct{Elf32_Wordst_name;//Symbolname(stringtblindex)Elf32_Addrst_value;//SymbolvalueElf32_Wordst_size;//Symbolsizeunsignedcharst_info;//Symboltypeandbindingunsignedcharst_other;//Sy
  • Return-to-dl-resolve HAPPYers
    Fromhttp://pwn4.fun/2016/11/09/Return-to-dl-resolve/ROP模块简介https://www.jianshu.com/p/0d45e2025d97利用条件溢出的长度大于等于0x20(包括ebp)实例首先构造一个存在栈溢出的程序#include#include#includevoidvuln(){charbuf[100];setbuf(stdin,bu
  • Return-to-dl-resolve zs0zrc
    前置知识:ELF可执行文件由ELF头部,程序头部和其对应的段,节头部表和其对应的节组成。ELF文件结构如果想深入了解的话可以看下《程序员的自我修养》的第三章P70如果一个可执行文件要进行动态链接,它的程序头部表将包含类型为PT_DYNAMIC的段,它包含.dynamic节结构如下typedefstruct{Elf32_Swordd_tag;union{Elf32_Wordd_val;Elf32_A
  • Return-to-dl-resolve zs0zrc pwn
    前置知识:ELF可执行文件由ELF头部,程序头部和其对应的段,节头部表和其对应的节组成。ELF文件结构如果想深入了解的话可以看下《程序员的自我修养》的第三章P70如果一个可执行文件要进行动态链接,它的程序头部表将包含类型为PT_DYNAMIC的段,它包含.dynamic节结构如下typedefstruct{Elf32_Swordd_tag;union{Elf32_Wordd_val;Elf32_A
  • Return-to-dl-resolve 0xM2R0oT
    预备知识延迟绑定重定位转载!PLT-GOT通用解题目脚本:##考虑到栈空间不足,一般会进行栈迁移到BSS,原理是pop操作用的的是esp寄存器p=process('./yourpro')elf=ELF('./yourpro')bss_base=elf.bss()#BSS基本地址,用来搬迁栈plt_0=0x****##objdump-d-j.plt***查询plt[0]地址,用来EIP指向该处,只用
  • 怎么样才能成为专业的程序员? cocos2d-x小菜 编程PHP
      如何要想成为一名专业的程序员?仅仅会写代码是不够的。从团队合作去解决问题到版本控制,你还得具备其他关键技能的工具包。当我们询问相关的专业开发人员,那些必备的关键技能都是什么的时候,下面是我们了解到的情况。   关于如何学习代码,各种声音很多,然后很多人就被误导为成为专业开发人员懂得一门编程语言就够了?!呵呵,就像其他工作一样,光会一个技能那是远远不够的。如果你想要成为
  • java web开发 高并发处理 BreakingBad javaWeb并发开发处理
    java处理高并发高负载类网站中数据库的设计方法(java教程,java处理大量数据,java高负载数据) 一:高并发高负载类网站关注点之数据库 没错,首先是数据库,这是大多数应用所面临的首个SPOF。尤其是Web2.0的应用,数据库的响应是首先要解决的。 一般来说MySQL是最常用的,可能最初是一个mysql主机,当数据增加到100万以上,那么,MySQL的效能急剧下降。常用的优化措施是M-S(
  • mysql批量更新 ekian mysql
    mysql更新优化: 一版的更新的话都是采用update set的方式,但是如果需要批量更新的话,只能for循环的执行更新。或者采用executeBatch的方式,执行更新。无论哪种方式,性能都不见得多好。 三千多条的更新,需要3分多钟。 查询了批量更新的优化,有说replace into的方式,即: replace into tableName(id,status) values
  • 微软BI(3) 18289753290 微软BI SSIS
    1) Q:该列违反了完整性约束错误;已获得 OLE DB 记录。源:“Microsoft SQL Server Native Client 11.0” Hresult: 0x80004005 说明:“不能将值 NULL 插入列 'FZCHID',表 'JRB_EnterpriseCredit.dbo.QYFZCH';列不允许有 Null 值。INSERT 失败。”。 A:一般这类问题的存在是
  • Java中的List g21121 java
            List是一个有序的 collection(也称为序列)。此接口的用户可以对列表中每个元素的插入位置进行精确地控制。用户可以根据元素的整数索引(在列表中的位置)访问元素,并搜索列表中的元素。         与 set 不同,列表通常允许重复
  • 读书笔记 永夜-极光 读书笔记
       1.  K是一家加工厂,需要采购原材料,有A,B,C,D 4家供应商,其中A给出的价格最低,性价比最高,那么假如你是这家企业的采购经理,你会如何决策?          传统决策: A:100%订单  B,C,D:0%     &nbs
  • centos 安装 Codeblocks 随便小屋 codeblocks
    1.安装gcc,需要c和c++两部分,默认安装下,CentOS不安装编译器的,在终端输入以下命令即可yum install gccyum install gcc-c++   2.安装gtk2-devel,因为默认已经安装了正式产品需要的支持库,但是没有安装开发所需要的文档.yum install gtk2* 3. 安装wxGTK    yum search w
  • 23种设计模式的形象比喻 aijuans 设计模式
    1、ABSTRACT FACTORY—追MM少不了请吃饭了,麦当劳的鸡翅和肯德基的鸡翅都是MM爱吃的东西,虽然口味有所不同,但不管你带MM去麦当劳或肯德基,只管向服务员说“来四个鸡翅”就行了。麦当劳和肯德基就是生产鸡翅的Factory   工厂模式:客户类和工厂类分开。消费者任何时候需要某种产品,只需向工厂请求即可。消费者无须修改就可以接纳新产品。缺点是当产品修改时,工厂类也要做相应的修改。如:
  • 开发管理 CheckLists aoyouzi 开发管理 CheckLists
    开发管理 CheckLists(23) -使项目组度过完整的生命周期 开发管理 CheckLists(22) -组织项目资源 开发管理 CheckLists(21) -控制项目的范围开发管理 CheckLists(20) -项目利益相关者责任开发管理 CheckLists(19) -选择合适的团队成员开发管理 CheckLists(18) -敏捷开发 Scrum Master 工作开发管理 C
  • js实现切换 百合不是茶 JavaScript栏目切换
    js主要功能之一就是实现页面的特效,窗体的切换可以减少页面的大小,被门户网站大量应用思路: 1,先将要显示的设置为display:bisible 否则设为none 2,设置栏目的id ,js获取栏目的id,如果id为Null就设置为显示 3,判断js获取的id名字;再设置是否显示   代码实现:   html代码: <di
  • 周鸿祎在360新员工入职培训上的讲话 bijian1013 感悟项目管理人生职场
            这篇文章也是最近偶尔看到的,考虑到原博客发布者可能将其删除等原因,也更方便个人查找,特将原文拷贝再发布的。“学东西是为自己的,不要整天以混的姿态来跟公司博弈,就算是混,我觉得你要是能在混的时间里,收获一些别的有利于人生发展的东西,也是不错的,看你怎么把握了”,看了之后,对这句话记忆犹新。  &
  • 前端Web开发的页面效果 Bill_chen htmlWebMicrosoft
    1.IE6下png图片的透明显示: <img src="图片地址" border="0" style="Filter.Alpha(Opacity)=数值(100),style=数值(3)"/> 或在<head></head>间加一段JS代码让透明png图片正常显示。 2.<li>标
  • 【JVM五】老年代垃圾回收:并发标记清理GC(CMS GC) bit1129 垃圾回收
      CMS概述 并发标记清理垃圾回收(Concurrent Mark and Sweep GC)算法的主要目标是在GC过程中,减少暂停用户线程的次数以及在不得不暂停用户线程的请夸功能,尽可能短的暂停用户线程的时间。这对于交互式应用,比如web应用来说,是非常重要的。   CMS垃圾回收针对新生代和老年代采用不同的策略。相比同吞吐量垃圾回收,它要复杂的多。吞吐量垃圾回收在执
  • Struts2技术总结 白糖_ struts2
      必备jar文件 早在struts2.0.*的时候,struts2的必备jar包需要如下几个: commons-logging-*.jar   Apache旗下commons项目的log日志包 freemarker-*.jar          
  • Jquery easyui layout应用注意事项 bozch jquery浏览器easyuilayout
    在jquery easyui中提供了easyui-layout布局,他的布局比较局限,类似java中GUI的border布局。下面对其使用注意事项作简要介绍:      如果在现有的工程中前台界面均应用了jquery easyui,那么在布局的时候最好应用jquery eaysui的layout布局,否则在表单页面(编辑、查看、添加等等)在不同的浏览器会出
  • java-拷贝特殊链表:有一个特殊的链表,其中每个节点不但有指向下一个节点的指针pNext,还有一个指向链表中任意节点的指针pRand,如何拷贝这个特殊链表? bylijinnan java
    public class CopySpecialLinkedList { /** * 题目:有一个特殊的链表,其中每个节点不但有指向下一个节点的指针pNext,还有一个指向链表中任意节点的指针pRand,如何拷贝这个特殊链表? 拷贝pNext指针非常容易,所以题目的难点是如何拷贝pRand指针。 假设原来链表为A1 -> A2 ->... -> An,新拷贝
  • color Chen.H JavaScripthtmlcss
    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"  "http://www.w3.org/TR/html4/loose.dtd">    <HTML>    <HEAD>&nbs
  • [信息与战争]移动通讯与网络 comsci 网络
          两个坚持:手机的电池必须可以取下来                光纤不能够入户,只能够到楼宇       建议大家找这本书看看:<&
  • oracle flashback query(闪回查询) daizj oracleflashback queryflashback table
    在Oracle 10g中,Flash back家族分为以下成员: Flashback Database Flashback Drop Flashback Table Flashback Query(分Flashback Query,Flashback Version Query,Flashback Transaction Query) 下面介绍一下Flashback Drop 和Flas
  • zeus持久层DAO单元测试 deng520159 单元测试
    zeus代码测试正紧张进行中,但由于工作比较忙,但速度比较慢.现在已经完成读写分离单元测试了,现在把几种情况单元测试的例子发出来,希望有人能进出意见,让它走下去. 本文是zeus的dao单元测试: 1.单元测试直接上代码   package com.dengliang.zeus.webdemo.test; import org.junit.Test; import o
  • C语言学习三printf函数和scanf函数学习 dcj3sjt126com cprintfscanflanguage
    printf函数 /* 2013年3月10日20:42:32 地点:北京潘家园 功能: 目的: 测试%x %X %#x %#X的用法 */ # include <stdio.h> int main(void) { printf("哈哈!\n"); // \n表示换行 int i = 10; printf
  • 那你为什么小时候不好好读书? dcj3sjt126com life
    dady, 我今天捡到了十块钱, 不过我还给那个人了 good girl! 那个人有没有和你讲thank you啊 没有啦....他拉我的耳朵我才把钱还给他的, 他哪里会和我讲thank you   爸爸, 如果地上有一张5块一张10块你拿哪一张呢.... 当然是拿十块的咯... 爸爸你很笨的, 你不会两张都拿   爸爸为什么上个月那个人来跟你讨钱, 你告诉他没
  • iptables开放端口 Fanyucai linuxiptables端口
    1,找到配置文件 vi /etc/sysconfig/iptables   2,添加端口开放,增加一行,开放18081端口 -A INPUT -m state --state NEW -m tcp -p tcp --dport 18081 -j ACCEPT   3,保存 ESC :wq!   4,重启服务 service iptables
  • Ehcache(05)——缓存的查询 234390216 排序ehcache统计query
    缓存的查询 目录 1.    使Cache可查询 1.1     基于Xml配置 1.2     基于代码的配置 2     指定可搜索的属性 2.1     可查询属性类型 2.2 &
  • 通过hashset找到数组中重复的元素 jackyrong hashset
      如何在hashset中快速找到重复的元素呢?方法很多,下面是其中一个办法: int[] array = {1,1,2,3,4,5,6,7,8,8}; Set<Integer> set = new HashSet<Integer>(); for(int i = 0
  • 使用ajax和window.history.pushState无刷新改变页面内容和地址栏URL lanrikey history
    后退时关闭当前页面 <script type="text/javascript"> jQuery(document).ready(function ($) {         if (window.history && window.history.pushState) {
  • 应用程序的通信成本 netkiller.github.com 虚拟机应用服务器陈景峰netkillerneo
    应用程序的通信成本 什么是通信 一个程序中两个以上功能相互传递信号或数据叫做通信。 什么是成本 这是是指时间成本与空间成本。 时间就是传递数据所花费的时间。空间是指传递过程耗费容量大小。 都有哪些通信方式 全局变量 线程间通信 共享内存 共享文件 管道 Socket 硬件(串口,USB) 等等 全局变量 全局变量是成本最低通信方法,通过设置
  • 一维数组与二维数组的声明与定义 恋洁e生 二维数组一维数组定义声明初始化
    /**  *  */ package test20111005; /**  * @author FlyingFire  * @date:2011-11-18 上午04:33:36  * @author :代码整理  * @introduce :一维数组与二维数组的初始化  *summary:  */ public c
  • Spring Mybatis独立事务配置 toknowme mybatis
    在项目中有很多地方会使用到独立事务,下面以获取主键为例   (1)修改配置文件spring-mybatis.xml  <!-- 开启事务支持 -->  <tx:annotation-driven transaction-manager="transactionManager" />   &n
  • 更新Anadroid SDK Tooks之后,Eclipse提示No update were found xp9802 eclipse
    使用Android SDK Manager 更新了Anadroid SDK Tooks 之后, 打开eclipse提示 This Android SDK requires Android Developer Toolkit version 23.0.0 or above, 点击Check for Updates  检测一会后提示 No update were found 
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他