首页
社区
课程
招聘
[原创]无路远征——GLIBC2.37后时代的IO攻击之道(二)house_of_秦月汉关
发表于: 2023-2-8 17:51 22903

[原创]无路远征——GLIBC2.37后时代的IO攻击之道(二)house_of_秦月汉关

2023-2-8 17:51
22903

此后的2篇文章是为了后面一条链做好铺垫,为了更好的水文,所以废话比较多,老pwn棍可以直接跳到秦月汉关再现这一节。

对于linux操作系统,GOT表与PLT表是绕不开的问题。

GOT表全称Global Offset Table,翻译过来就是全局偏移表,用于记录在 ELF 文件中所用到的共享库中符号的地址。说人话,就是程序中开辟了一块固定位置的内存用来存储数据。大部分时候存储的是函数指针

PLT表全称Procedure Linkage Table,翻译过来就是过程链接表,作用是将位置无关的符号转移到绝对地址。当一个外部符号被调用时,PLT 去引用 GOT 中的其符号对应的绝对地址。具体说就是jmp [got]这种形式来跳到指定位置。

GOT表与PLT表可以算是编译届的老古董,它们的产生可以看作软件发展的必然,目前任何操作系统都在使用他们。

在linux的3环程序中,RELRO (ReLocation Read-Only)保护主要针对的就是GOT表,有3种模式,其中partialnull对GOT表保护相同。

partialnull模式下,在程序刚开始运行时,GOT 表项是空的,当符号第一次被调用时会动态解析符号的绝对地址然后转去执行,并将被解析符号的绝对地址记录在 GOT 中,第二次调用同一符号时,由于 GOT 中已经记录了其绝对地址,直接转去执行即可(不用重新解析)。ret2dlresolve就是针对动态解析过程的一种攻击手段。

full模式下,程序在开始时,在_dl_relocate_object过程中直接将符号表解析, GOT 中已经记录了其绝对地址,直接转去执行即可,并且GOT表被分在了不可写的段中。

程序重定位的需求是GOT表与PLT表的前提,在汇编时代,PIC(position-independent code,地址无关代码)使得程序某些内容必须重定位。x86时代,各路链接器在程序重定位方面也是八仙过海各显其能,以GNU为例,程序重定位是通过__x86.get_pc_thunk.ax这一类函数实现的,这个函数的作用就是利用call在栈中存储的eip,并将其赋值给通用寄存器,在之后的程序中以此通用寄存器进行定位。

x64指令集在升级的同时,发明了RIP寻址,这使得程序重定位工作变得简单了许多,我们对比x86与x64的编译之后的文件就可以明显看出区别。x86程序中要定位data段的字符串需要用到__x86.get_pc_thunk.ax得到当前的ip,然后通过偏移找到字符串地址,而x64系统中只需要使用lea rdi,[rip+0xeac]这一条指令就能找到字符串的地址。

在x86_64架构下的现代操作系统中,因为使用虚拟内存管理,完全可以不使用PIC,但是编译器发展这么久掌握的屠龙之技,不用可惜了,于是就打了个安全的旗号继续使用(说笑)。同样,PIE(position-independent executable,地址无关可执行文件 )只是在PIC基础上更近了一步而已,不用过多赘述。

C库与其他三环程序本质上没有任何区别,而且因为它本身由很多文件编译而成,重定位需求更加强烈,同样也有GOT表与PLT表,只是一般来说C库的都是full relro,GOT不可写。

PLT就是过程链接,对于一个程序而言,任何需要在运行时才确定的内容都是需要过程链接的,例如C++在虚函数展现多态时,虚函数指针就需要在运行时进行链接。同样,在程序处理过程中也需要对一些函数的got表在过程中再进行链接,就会有.got.plt节,这个节由_dl_relocate_object在程序开始时根据运行环境进行解析(主要是字符集,链接器等内容),而这个节为了能适应环境,就设计成可写的。

strlen为例,在libc静态编译中看到的函数如下,这是根据环境信息对参数进行一定的设置。

但实际函数并非如此。因为puts函数在开始时候会调用strlen, 我们跟随puts函数找到真正的strlen。可以看出puts会调用strlen的PLT表,PLT表跳转到一个*ABS*@got.plt>的地方,里面存储的才是真正的strlen函数地址。

其中*ABS*@got.plt>对应的就是.got.plt节。

真正的strlen函数反编译如下,过程还是非常复杂的。

最后说一下,不但有.got.plt这种形式,PLT表也分很多,例如.plt.got.plt.sec等。其中.plt.sec调用的就是.got.plt中的内容。

说明到这个地方,攻击方式就很简单了,就以刚才的puts函数为例,既然它一开始会执行strlen(buf)计算字符串长度,那么如果将其修改成strlen.got.plt中的内容改成system就能够getshell。而且,附近数据非常丰富,fastbin attacktcache attack都可以使用,还可以将其直接修改为one_gadget。在2.34各类hook都不能使用的情况下,如果屏蔽掉exit函数,这是一种很好用的攻击方式。

需要说明的是,除了puts之外,很多函数都会调用.got.plt中的内容,连__libc_message 这种函数都会调用,希望大家可以奋力挖掘。

此篇文章没有专门的板子,因为只是一种攻击思路,主要原因是为后面一条链做好铺垫。

 
 
 
 
full relro(全部开启,got 不可写)
partial relro (部分开启,got 可写)
null relro (不开启,got 可写)
full relro(全部开启,got 不可写)
partial relro (部分开启,got 可写)
null relro (不开启,got 可写)

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2023-2-9 08:12 被我超啊编辑 ,原因:
收藏
免费 4
支持
分享
最新回复 (3)
雪    币: 8548
活跃值: (6643)
能力值: ( LV12,RANK:449 )
在线值:
发帖
回帖
粉丝
2
这个方法很老很老了吧,几年前刚入门就听过这个手段了,当时根本没人管它叫什么秦月汉关,是我记错了还是单纯在抢注.....
2023-2-8 18:59
1
雪    币: 6970
活跃值: (11169)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
3
Tokameine 这个方法很老很老了吧,几年前刚入门就听过这个手段了,当时根本没人管它叫什么秦月汉关,是我记错了还是单纯在抢注.....
确实老方法了,大家一般都叫libc got ,我9月出的buu一道题当时不太严谨被这个非预期了
2023-2-8 22:52
1
雪    币: 6028
活跃值: (3670)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
4
脸皮厚如城墙拐角
2023-2-9 17:09
0
游客
登录 | 注册 方可回帖
返回
//