前提条件：

经典的基于堆栈的缓冲区溢出

虚拟机安装：Ubuntu 12.04（x86）

在以前的帖子中，我们看到了攻击者需要知道下面两样事情

      堆栈地址（跳转到shellcode）

      libc基地址（成功绕过NX bit）

   为了利用漏洞代码。 为了阻止攻击者的行为，安全研究人员提出了一个称为“ASLR”的漏洞利用。

什么是 ASLR?

地址空间布局随机化（ASLR）是随机化的利用缓解技术:

       堆栈地址

       堆地址

       共享库地址

一旦上述地址被随机化，特别是当共享库地址被随机化时，我们采取的绕过NX bit的方法不会生效，因为攻击者需要知道libc基地址。但这种缓解技术并不完全是万无一失的，因此在这篇文章中我们可以看到如何绕过共享库地址随机化！

我们已经知道从前一篇文章的exp.py libc函数地址计算如下：

其中

   因为随机化被关闭，所以libc基址是常量（0xb7e22000 - 对于我们的“vuln”二进制文件）。

   函数偏移也是不变的（从“readelf -s libc.so.6 | grep”获得）

现在当我们打开完全随机化（使用下面的命令）

libc基地址将被随机化。

注意：只有libc基地址是随机的，特定功能的偏移与其基地址始终保持不变！因此，如果我们可以绕过共享库基地址随机化，即使打开ASLR，也可以成功利用易受攻击的程序（使用三种技术）。

       Return-to-plt (这章)

       Brute force (第二部分)

        GOT overwrite and GOT dereference (第三部分)

 什么是return-to-plt?

在这种技术中，而不是返回到libc函数（其地址是随机的）攻击者返回到一个函数的PLT（其地址不是随机的-其地址在执行之前已知）。由于'function@PLT'不是随机的，所以攻击者不再需要预测libc的基地址，而是可以简单地返回到“function@PLT”来调用“function”。

什么是PLT，如何通过调用“function@PLT”来调用“函数”？

要了解过程链接表(PLT)，先让我简要介绍一下共享库！

与静态库不同，共享库代码段在多个进程之间共享，而其数据段对于每个进程是唯一的。这有助于减少内存和磁盘空间。由于代码段在多个进程之间共享，所以应该只有read和execute权限，因此动态链接器不能重新定位代码段中存在的数据符号或函数地址（因为它没有写权限）。那么动态链接如何在运行时重新定位共享库符号而不修改其代码段?它使用PIC完成！

什么是PIC？

位置无关代码（PIC）是为了解决这个问题而开发的 - 它确保共享库代码段在多个进程之间共享，尽管在加载时执行重定位。PIC通过一级间接寻址实现这一点-共享库代码段不包含绝对虚拟地址来代替全局符号和函数引用，而是指向数据段中的特定表。该表是全局符号和函数绝对虚拟地址的占位符。动态链接器作为重定位的一部分来填充此表。因此，只有重定位数据段被修改，代码段保持不变！

   动态链接器以两种不同的方式重新定位PIC中发现的全局符号和函数，如下所述：

     全局偏移表（GOT）：

     全局偏移表包含每个全局变量的4字节条目，其中4字节条目包含全局变量的地址。当代码段中的指令引用全局变量时，而不是全局变量的绝对虚拟地址，指令指向GOT中条目。当加载共享库时，GOT条目由动态链接器重新定位。因此，PIC使用该表来重新定位具有单个间接级别的全局符号。

     过程链接表（PLT）： 过程链接表包含每个全局函数的存根代码。代码段中的调用指令不直接调用函数（'function'），而是调用存根代码（function @ PLT）。这个存根代码在动态链接器的帮助下解析了函数地址并将其复制到GOT（GOT [n]）。这次解析仅在函数（'function'）的第一次调用期间发生，稍后当代码段中的调用指令调用存根代码（function @PLT）时，而不是调用动态链接器来解析函数地址（'function'）存根代码直接从GOT（GOT [n]）获取功能地址并跳转到它。因此，PIC使用这个表来重新定位具有两级间接的功能地址。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课