zoukankan      html  css  js  c++  java
  • Advance ROP(高级ROP)

    参考https://bbs.pediy.com/thread-250703.htm

    介绍

    在linux中,有个关于链接库在被链接时的机制叫延迟绑定,即在程序运行时,第一次引用链接库里的函数时,才会链接,跟以往的静态链接不一样,这样可以节省很多内存空间。而在链接过程中,有一个步骤叫重定位,即重新定位函数在程序的位置,而linux中是利用函数_dl_runtime_runtime_resolve(link_map_obj,reloc_index)函数进行重定位的,所以我们可以通过控制相关的参数,就可以控制这个函数去运行我们需要的函数了。在利用之前先做一点前置知识的介绍:

    前置知识

    https://bbs.pediy.com/thread-250703.htm

     

    这个总结的非常好,还有实际操作

    利用步骤

    其实也没什么所谓的步骤,只要我们知道dl_runtime_resolve这个函数的流程,那么,我们在某个可执行可写可读的地方,构造他执行时需要的数据、地址就可以了

    所以利用这个漏洞最重要的就是这个函数的执行流程

    1.该函数通过link_map_obj来访问,该.dynamic,并分别取出.dynstr、.dynsym、.rel.plt这三个地址,这三个地址基本上就是该函数的主要流程了

    2..rel.plt通过参数reloc_index相加后,可以得到当前函数的重定位表象Elf32_Rel的指针,记做rel (所以我们只需要在我们可以控制的地方进行参数index的伪造那么,我们就可以控制住rel这个指针,(当前地址-.rel.plt_addr,这样得出了我们的index))

    3.rel->r_info>>8后,可以得到dynsym地址的相应函数的符号表项Elf32_Sym的指针,记做sym  (通过伪造了rel后,我们知道rel是一个结构体,由于上一步我们用index,把rel指针指向了我们的控制地址,所以我们在我们rel所指向的地方添加函数的got信息和我们要伪造的r_info信息,这样就可以控制住在利用.dynsym时需要的下标,然后在将r_info右移,并且与7做异或)

    4.dynstr+sym这个地址后,可以得到相应的函数名称(当sym被控制住后,我们要如何构造sym呢?我们找到我们要的函数名称,并且把他保存在我们的地址中,然后用这个地址减去.dynstr这个地址即可)

    5.在动态链接库查找这个函数的地址,并且把地址赋值给*rel->r_offset,即GOT表;

    6.最后调用这个函数

  • 相关阅读:
    LeetCode: Reverse Words in a String && Rotate Array
    LeetCode: Maximum Product Subarray && Maximum Subarray &子序列相关
    =new、=null、.clear()、system.gc()的区别
    对象转字符串的效率问题
    Java遍历Map对象的四种方式
    JDK升级
    eclipse的任务列表
    统一修改数据库表名字段大小写
    get传数组
    vue编辑回显问题
  • 原文地址:https://www.cnblogs.com/pppyyyzzz/p/12903980.html
Copyright © 2011-2022 走看看