栈溢出利用之Return to dl-resolve

0x00 前言

在CTF中一般的栈溢出题目会给出程序对应的libc，这样我们在泄漏一个libc地址之后就能根据偏移量去计算libc的其他地址，比如system、/bin/sh或是libc基址。 那如果题目中没有给出libc，我们就无法得知题目所用的libc版本。这个时候如果我们要计算system函数的地址的话，可以利用泄露出的libc地址去http://libcdb.com搜索对应的libc版本，因为一个libc函数地址的低三位在对应的libc版本中总是不变的。（当然你也可能搜不到） 今天要介绍的这项技术就是"Return_to_dl_resolve"。 理论上来讲，它能在不泄露libc地址、不需要知道libc版本的情况下完成任意libc函数的调用。（包括system） 在正式介绍这项技术之前，先了解一下相关知识。

0x01 背景知识

我们应该知道Linux glibc函数在第一次被调用的时候才会去寻找真正的函数地址并进行绑定（不了解这块知识可以百度“PLT 延迟绑定”），而解析函数地址的工作由函数dl_runtime_resolve来完成。

上面一张图片简单描述了第一次调用函数的流程。而要说到dl_runtime_resolve如何解析函数，那就不得不提到ELF文件中几个关键的节区了。见下图框起来的部分。

上面第一张图的STRTAB、SYMTAB、JMPREL分别就是第二张图的dynstr、dynsym、rel.plt , 上图也提供了如何查看这些信息的命令。

要谈到这些节区的关系，我们先从dl_runtime_resolve函数的参数说起。

注意到我给的函数第一次调用流程图中有两个push指令，两个push分别将参数link_map和reloc_arg压入栈中，图中我写的rel_off也就是参数reloc_arg,另一个就是link_map。 rel_off即为需要重定位的函数在rel_plt节中的偏移，该节查看如下

上面是重定位变量，下面是重定位函数，我们主要看下面的部分。 比如第一个函数setbuf，在表中占第一位，那么它的rel_off就为0，第二个函数read的偏移就为8.第n个函数的偏移为n*len_of_elfRel，在32位程序中len_of_elfRel大小为8. elfRel为保存每个重定位函数信息的数据结构 结构如下

typedef struct {
Elf32_Addr r_offset;    
Elf32_Word r_info;      // 符号表索引
} Elf32_Rel;

r_offset就是该函数在got表的位置，r_info用来检索函数其他信息在节区dynsym中的位置。

ELF32_R_SYM(Elf32_Rel->r_info) = (Elf32_Rel->r_info) >> 8  

dynsym节区中每个存储函数信息的数据结构如下：

typedef struct
{
    Elf32_Word st_name;     // Symbol name(string tbl index)
    Elf32_Addr st_value;    // Symbol value
    Elf32_Word st_size;     // Symbol size
    unsigned char st_info;  // Symbol type and binding
    unsigned char st_other; // Symbol visibility under glibc>=2.2
    Elf32_Section st_shndx; // Section index
} Elf32_Sym;

查看内存的话一般看到的是下面这个样子的：

前四个字节的值是函数的名称在dynstr表中的偏移，dynstr基址加上这个偏移就是对应函数名称所在的位置。

dynstr表中装有需要重定位的函数和变量名称的字符串。

前面提到过，函数的解析工作是由dl_runtime_reslove函数完成的。

该函数使用汇编语言实现的，而在其中会首先调用一个函数 dl_fixup，传输由寄存器传递。

我们关注一些关键部分即可：

那么我们的漏洞利用思路就比较清晰了

0x02 思路

1. 伪造一个很大的rel_off参数，使reloc落在我们可控的范围。
2. 将参数压栈，控制eip跳到PLT[0]
3. 伪造reloc内容，第一个为需要覆写的GOT表地址，一个是dynsym的索引值。伪造索引值可以使得sym落在我们可控范围内。
4. 伪造sym中的st_name所代表的偏移值，可以使得str落在我们可控范围内。
5. 伪造str的值，比如system。

我在上次写到的NSCTF的wp中有说到那两道题目都可以通过ret2resolve完成攻击，那么这次我就一其中一题作为例子来做演示。

0x03 EXP(pwn1)

这就是修改过的exp。 中间我用虚线分割的部分是一些构造ROP的地址，上面提到的三个节区的地址，以及伪造的地址及信息。 data部分是从bss段开始的，我留出了880个字节当作dl_runtime_resolve函数调用所需的栈空间，得益于这是一片可写区域。之后的空间就是我放置伪造信息的区域了。

0x04 注意事项

1. 伪造的dynsym表的首地址需要和真正的表的首地址对齐，alignment为16个字节。
2. 伪造的reloc信息中的r_info部分，最低位必须为7，因为会有函数专门check这个值。所以r_info部分的构造就是：将伪dynsym表与真表的偏移乘以0x10，再加上一个7。

0x05 参考文章

【Return-to-dl-resolve】http://http://pwn4.fun/2016/11/09/Return-to-dl-resolve/

总结

这种攻击方式相较ret2libc来讲较为复杂，操作起来也比较麻烦，而且在开了PIE和RELRO FULL时不好利用，慎用。