HackTricksELF 基本信息
Reading time: 24 minutes
tip
学习和实践 AWS 黑客技术:
HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:
HackTricks Training GCP Red Team Expert (GRTE)
学习和实践 Azure 黑客技术:
HackTricks Training Azure Red Team Expert (AzRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。
程序头
描述加载器如何将 ELF 加载到内存中:
readelf -lW lnstat
Elf file type is DYN (Position-Independent Executable file)
Entry point 0x1c00
There are 9 program headers, starting at offset 64
Program Headers:
Type Offset VirtAddr PhysAddr FileSiz MemSiz Flg Align
PHDR 0x000040 0x0000000000000040 0x0000000000000040 0x0001f8 0x0001f8 R 0x8
INTERP 0x000238 0x0000000000000238 0x0000000000000238 0x00001b 0x00001b R 0x1
[Requesting program interpreter: /lib/ld-linux-aarch64.so.1]
LOAD 0x000000 0x0000000000000000 0x0000000000000000 0x003f7c 0x003f7c R E 0x10000
LOAD 0x00fc48 0x000000000001fc48 0x000000000001fc48 0x000528 0x001190 RW 0x10000
DYNAMIC 0x00fc58 0x000000000001fc58 0x000000000001fc58 0x000200 0x000200 RW 0x8
NOTE 0x000254 0x0000000000000254 0x0000000000000254 0x0000e0 0x0000e0 R 0x4
GNU_EH_FRAME 0x003610 0x0000000000003610 0x0000000000003610 0x0001b4 0x0001b4 R 0x4
GNU_STACK 0x000000 0x0000000000000000 0x0000000000000000 0x000000 0x000000 RW 0x10
GNU_RELRO 0x00fc48 0x000000000001fc48 0x000000000001fc48 0x0003b8 0x0003b8 R 0x1
Section to Segment mapping:
Segment Sections...
00
01 .interp
02 .interp .note.gnu.build-id .note.ABI-tag .note.package .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
03 .init_array .fini_array .dynamic .got .data .bss
04 .dynamic
05 .note.gnu.build-id .note.ABI-tag .note.package
06 .eh_frame_hdr
07
08 .init_array .fini_array .dynamic .got
之前的程序有9个程序头,然后,段映射指示每个节的位置在哪个程序头中(从00到08)。
PHDR - 程序头
包含程序头表和元数据本身。
INTERP
指示用于将二进制文件加载到内存中的加载器的路径。
提示:静态链接或静态-PIE二进制文件将没有
INTERP条目。在这些情况下,没有动态加载器参与,这会禁用依赖于它的技术(例如,ret2dlresolve)。
LOAD
这些头用于指示如何将二进制文件加载到内存中。
每个LOAD头指示一个内存区域(大小、权限和对齐),并指示要复制到该区域的ELF 二进制文件的字节。
例如,第二个的大小为0x1190,应该位于0x1fc48,具有读写权限,并将从偏移量0xfc48填充0x528(它并没有填满所有的保留空间)。此内存将包含节.init_array .fini_array .dynamic .got .data .bss。
DYNAMIC
此头有助于将程序链接到其库依赖项并应用重定位。检查**.dynamic**节。
NOTE
此处存储有关二进制文件的供应商元数据信息。
- 在x86-64上,
readelf -n将显示.note.gnu.property中的GNU_PROPERTY_X86_FEATURE_1_*标志。如果您看到IBT和/或SHSTK,则该二进制文件是使用CET(间接分支跟踪和/或阴影栈)构建的。这会影响ROP/JOP,因为间接分支目标必须以ENDBR64指令开始,并且返回会根据阴影栈进行检查。有关详细信息和绕过说明,请参见CET页面。
GNU_EH_FRAME
定义堆栈展开表的位置,供调试器和C++异常处理运行时函数使用。
GNU_STACK
包含堆栈执行防护的配置。如果启用,二进制文件将无法从堆栈执行代码。
- 使用
readelf -l ./bin | grep GNU_STACK检查。要在测试期间强制切换,可以使用execstack -s|-c ./bin。
GNU_RELRO
指示二进制文件的RELRO(重定位只读)配置。此保护将在程序加载后和开始运行之前,将内存的某些节(如GOT或init和fini表)标记为只读。
在前面的示例中,它将0x3b8字节复制到0x1fc48作为只读,影响节.init_array .fini_array .dynamic .got .data .bss。
请注意,RELRO可以是部分或完整,部分版本不保护节**.plt.got,该节用于延迟绑定**,并需要此内存空间具有写权限以在第一次搜索其位置时写入库的地址。
有关利用技术和最新的绕过说明,请查看专门页面:
TLS
定义一个TLS条目表,存储有关线程局部变量的信息。
节头
节头提供了ELF二进制文件的更详细视图。
objdump lnstat -h
lnstat: file format elf64-littleaarch64
Sections:
Idx Name Size VMA LMA File off Algn
0 .interp 0000001b 0000000000000238 0000000000000238 00000238 2**0
CONTENTS, ALLOC, LOAD, READONLY, DATA
1 .note.gnu.build-id 00000024 0000000000000254 0000000000000254 00000254 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
2 .note.ABI-tag 00000020 0000000000000278 0000000000000278 00000278 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
3 .note.package 0000009c 0000000000000298 0000000000000298 00000298 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
4 .gnu.hash 0000001c 0000000000000338 0000000000000338 00000338 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
5 .dynsym 00000498 0000000000000358 0000000000000358 00000358 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
6 .dynstr 000001fe 00000000000007f0 00000000000007f0 000007f0 2**0
CONTENTS, ALLOC, LOAD, READONLY, DATA
7 .gnu.version 00000062 00000000000009ee 00000000000009ee 000009ee 2**1
CONTENTS, ALLOC, LOAD, READONLY, DATA
8 .gnu.version_r 00000050 0000000000000a50 0000000000000a50 00000a50 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
9 .rela.dyn 00000228 0000000000000aa0 0000000000000aa0 00000aa0 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
10 .rela.plt 000003c0 0000000000000cc8 0000000000000cc8 00000cc8 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
11 .init 00000018 0000000000001088 0000000000001088 00001088 2**2
CONTENTS, ALLOC, LOAD, READONLY, CODE
12 .plt 000002a0 00000000000010a0 00000000000010a0 000010a0 2**4
CONTENTS, ALLOC, LOAD, READONLY, CODE
13 .text 00001c34 0000000000001340 0000000000001340 00001340 2**6
CONTENTS, ALLOC, LOAD, READONLY, CODE
14 .fini 00000014 0000000000002f74 0000000000002f74 00002f74 2**2
CONTENTS, ALLOC, LOAD, READONLY, CODE
15 .rodata 00000686 0000000000002f88 0000000000002f88 00002f88 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
16 .eh_frame_hdr 000001b4 0000000000003610 0000000000003610 00003610 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
17 .eh_frame 000007b4 00000000000037c8 00000000000037c8 000037c8 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
18 .init_array 00000008 000000000001fc48 000000000001fc48 0000fc48 2**3
CONTENTS, ALLOC, LOAD, DATA
19 .fini_array 00000008 000000000001fc50 000000000001fc50 0000fc50 2**3
CONTENTS, ALLOC, LOAD, DATA
20 .dynamic 00000200 000000000001fc58 000000000001fc58 0000fc58 2**3
CONTENTS, ALLOC, LOAD, DATA
21 .got 000001a8 000000000001fe58 000000000001fe58 0000fe58 2**3
CONTENTS, ALLOC, LOAD, DATA
22 .data 00000170 0000000000020000 0000000000020000 00010000 2**3
CONTENTS, ALLOC, LOAD, DATA
23 .bss 00000c68 0000000000020170 0000000000020170 00010170 2**3
ALLOC
24 .gnu_debugaltlink 00000049 0000000000000000 0000000000000000 00010170 2**0
CONTENTS, READONLY
25 .gnu_debuglink 00000034 0000000000000000 0000000000000000 000101bc 2**2
CONTENTS, READONLY
它还指示了位置、偏移量、权限以及该部分的数据类型。
元部分
- 字符串表:它包含 ELF 文件所需的所有字符串(但不包括程序实际使用的字符串)。例如,它包含像
.text或.data这样的部分名称。如果.text在字符串表中的偏移量为 45,它将在名称字段中使用数字 45。 - 为了找到字符串表的位置,ELF 包含一个指向字符串表的指针。
- 符号表:它包含有关符号的信息,如名称(在字符串表中的偏移量)、地址、大小以及有关符号的更多元数据。
主要部分
.text:要运行的程序指令。.data:在程序中具有定义值的全局变量。.bss:未初始化的全局变量(或初始化为零)。这里的变量会自动初始化为零,从而防止无用的零被添加到二进制文件中。.rodata:常量全局变量(只读部分)。.tdata和.tbss:当使用线程局部变量时,类似于 .data 和 .bss(C++ 中的__thread_local或 C 中的__thread)。.dynamic:见下文。
符号
符号是程序中的一个命名位置,可以是一个函数、一个全局数据对象、线程局部变量等。
readelf -s lnstat
Symbol table '.dynsym' contains 49 entries:
Num: Value Size Type Bind Vis Ndx Name
0: 0000000000000000 0 NOTYPE LOCAL DEFAULT UND
1: 0000000000001088 0 SECTION LOCAL DEFAULT 12 .init
2: 0000000000020000 0 SECTION LOCAL DEFAULT 23 .data
3: 0000000000000000 0 FUNC GLOBAL DEFAULT UND strtok@GLIBC_2.17 (2)
4: 0000000000000000 0 FUNC GLOBAL DEFAULT UND s[...]@GLIBC_2.17 (2)
5: 0000000000000000 0 FUNC GLOBAL DEFAULT UND strlen@GLIBC_2.17 (2)
6: 0000000000000000 0 FUNC GLOBAL DEFAULT UND fputs@GLIBC_2.17 (2)
7: 0000000000000000 0 FUNC GLOBAL DEFAULT UND exit@GLIBC_2.17 (2)
8: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _[...]@GLIBC_2.34 (3)
9: 0000000000000000 0 FUNC GLOBAL DEFAULT UND perror@GLIBC_2.17 (2)
10: 0000000000000000 0 NOTYPE WEAK DEFAULT UND _ITM_deregisterT[...]
11: 0000000000000000 0 FUNC WEAK DEFAULT UND _[...]@GLIBC_2.17 (2)
12: 0000000000000000 0 FUNC GLOBAL DEFAULT UND putc@GLIBC_2.17 (2)
[...]
每个符号条目包含:
- 名称
- 绑定属性(弱、局部或全局):局部符号只能被程序本身访问,而全局符号则在程序外部共享。弱对象例如是可以被不同函数覆盖的函数。
- 类型:NOTYPE(未指定类型)、OBJECT(全局数据变量)、FUNC(函数)、SECTION(节)、FILE(调试器的源代码文件)、TLS(线程局部变量)、GNU_IFUNC(用于重定位的间接函数)
- 节:其所在的索引
- 值(内存中的地址)
- 大小
GNU符号版本控制(dynsym/dynstr/gnu.version)
现代glibc使用符号版本。您将在.gnu.version和.gnu.version_r中看到条目,以及像strlen@GLIBC_2.17这样的符号名称。动态链接器在解析符号时可能需要特定版本。当手动制作重定位(例如ret2dlresolve)时,您必须提供正确的版本索引,否则解析将失败。
动态节
readelf -d lnstat
Dynamic section at offset 0xfc58 contains 28 entries:
Tag Type Name/Value
0x0000000000000001 (NEEDED) Shared library: [libc.so.6]
0x0000000000000001 (NEEDED) Shared library: [ld-linux-aarch64.so.1]
0x000000000000000c (INIT) 0x1088
0x000000000000000d (FINI) 0x2f74
0x0000000000000019 (INIT_ARRAY) 0x1fc48
0x000000000000001b (INIT_ARRAYSZ) 8 (bytes)
0x000000000000001a (FINI_ARRAY) 0x1fc50
0x000000000000001c (FINI_ARRAYSZ) 8 (bytes)
0x000000006ffffef5 (GNU_HASH) 0x338
0x0000000000000005 (STRTAB) 0x7f0
0x0000000000000006 (SYMTAB) 0x358
0x000000000000000a (STRSZ) 510 (bytes)
0x000000000000000b (SYMENT) 24 (bytes)
0x0000000000000015 (DEBUG) 0x0
0x0000000000000003 (PLTGOT) 0x1fe58
0x0000000000000002 (PLTRELSZ) 960 (bytes)
0x0000000000000014 (PLTREL) RELA
0x0000000000000017 (JMPREL) 0xcc8
0x0000000000000007 (RELA) 0xaa0
0x0000000000000008 (RELASZ) 552 (bytes)
0x0000000000000009 (RELAENT) 24 (bytes)
0x000000000000001e (FLAGS) BIND_NOW
0x000000006ffffffb (FLAGS_1) Flags: NOW PIE
0x000000006ffffffe (VERNEED) 0xa50
0x000000006fffffff (VERNEEDNUM) 2
0x000000006ffffff0 (VERSYM) 0x9ee
0x000000006ffffff9 (RELACOUNT) 15
0x0000000000000000 (NULL) 0x0
The NEEDED directory indicates that the program 需要加载提到的库以继续。NEEDED目录在共享库完全操作并准备好使用后完成。
动态加载器搜索顺序 (RPATH/RUNPATH, $ORIGIN)
条目DT_RPATH(已弃用)和/或DT_RUNPATH影响动态加载器搜索依赖项的位置。大致顺序:
LD_LIBRARY_PATH(对于setuid/sgid或其他“安全执行”程序被忽略)DT_RPATH(仅在DT_RUNPATH缺失时)DT_RUNPATHld.so.cache- 默认目录如
/lib64、/usr/lib64等。
$ORIGIN可以在RPATH/RUNPATH中使用,以引用主对象的目录。从攻击者的角度来看,当你控制文件系统布局或环境时,这一点很重要。对于加固的二进制文件(AT_SECURE),大多数环境变量会被加载器忽略。
- 检查命令:
readelf -d ./bin | egrep -i 'r(path|unpath)' - 快速测试:
LD_DEBUG=libs ./bin 2>&1 | grep -i find(显示搜索路径决策)
Priv-esc提示:优先利用可写的RUNPATH或由你拥有的配置错误的
$ORIGIN相对路径。在安全执行(setuid)上下文中,LD_PRELOAD/LD_AUDIT会被忽略。
重定位
加载器在加载依赖项后还必须重定位它们。这些重定位在重定位表中以REL或RELA格式指示,重定位的数量在动态部分RELSZ或RELASZ中给出。
readelf -r lnstat
Relocation section '.rela.dyn' at offset 0xaa0 contains 23 entries:
Offset Info Type Sym. Value Sym. Name + Addend
00000001fc48 000000000403 R_AARCH64_RELATIV 1d10
00000001fc50 000000000403 R_AARCH64_RELATIV 1cc0
00000001fff0 000000000403 R_AARCH64_RELATIV 1340
000000020008 000000000403 R_AARCH64_RELATIV 20008
000000020010 000000000403 R_AARCH64_RELATIV 3330
000000020030 000000000403 R_AARCH64_RELATIV 3338
000000020050 000000000403 R_AARCH64_RELATIV 3340
000000020070 000000000403 R_AARCH64_RELATIV 3348
000000020090 000000000403 R_AARCH64_RELATIV 3350
0000000200b0 000000000403 R_AARCH64_RELATIV 3358
0000000200d0 000000000403 R_AARCH64_RELATIV 3360
0000000200f0 000000000403 R_AARCH64_RELATIV 3370
000000020110 000000000403 R_AARCH64_RELATIV 3378
000000020130 000000000403 R_AARCH64_RELATIV 3380
000000020150 000000000403 R_AARCH64_RELATIV 3388
00000001ffb8 000a00000401 R_AARCH64_GLOB_DA 0000000000000000 _ITM_deregisterTM[...] + 0
00000001ffc0 000b00000401 R_AARCH64_GLOB_DA 0000000000000000 __cxa_finalize@GLIBC_2.17 + 0
00000001ffc8 000f00000401 R_AARCH64_GLOB_DA 0000000000000000 stderr@GLIBC_2.17 + 0
00000001ffd0 001000000401 R_AARCH64_GLOB_DA 0000000000000000 optarg@GLIBC_2.17 + 0
00000001ffd8 001400000401 R_AARCH64_GLOB_DA 0000000000000000 stdout@GLIBC_2.17 + 0
00000001ffe0 001e00000401 R_AARCH64_GLOB_DA 0000000000000000 __gmon_start__ + 0
00000001ffe8 001f00000401 R_AARCH64_GLOB_DA 0000000000000000 __stack_chk_guard@GLIBC_2.17 + 0
00000001fff8 002e00000401 R_AARCH64_GLOB_DA 0000000000000000 _ITM_registerTMCl[...] + 0
Relocation section '.rela.plt' at offset 0xcc8 contains 40 entries:
Offset Info Type Sym. Value Sym. Name + Addend
00000001fe70 000300000402 R_AARCH64_JUMP_SL 0000000000000000 strtok@GLIBC_2.17 + 0
00000001fe78 000400000402 R_AARCH64_JUMP_SL 0000000000000000 strtoul@GLIBC_2.17 + 0
00000001fe80 000500000402 R_AARCH64_JUMP_SL 0000000000000000 strlen@GLIBC_2.17 + 0
00000001fe88 000600000402 R_AARCH64_JUMP_SL 0000000000000000 fputs@GLIBC_2.17 + 0
00000001fe90 000700000402 R_AARCH64_JUMP_SL 0000000000000000 exit@GLIBC_2.17 + 0
00000001fe98 000800000402 R_AARCH64_JUMP_SL 0000000000000000 __libc_start_main@GLIBC_2.34 + 0
00000001fea0 000900000402 R_AARCH64_JUMP_SL 0000000000000000 perror@GLIBC_2.17 + 0
00000001fea8 000b00000402 R_AARCH64_JUMP_SL 0000000000000000 __cxa_finalize@GLIBC_2.17 + 0
00000001feb0 000c00000402 R_AARCH64_JUMP_SL 0000000000000000 putc@GLIBC_2.17 + 0
00000001fec0 000e00000402 R_AARCH64_JUMP_SL 0000000000000000 fputc@GLIBC_2.17 + 0
00000001fec8 001100000402 R_AARCH64_JUMP_SL 0000000000000000 snprintf@GLIBC_2.17 + 0
00000001fed0 001200000402 R_AARCH64_JUMP_SL 0000000000000000 __snprintf_chk@GLIBC_2.17 + 0
00000001fed8 001300000402 R_AARCH64_JUMP_SL 0000000000000000 malloc@GLIBC_2.17 + 0
00000001fee0 001500000402 R_AARCH64_JUMP_SL 0000000000000000 gettimeofday@GLIBC_2.17 + 0
00000001fee8 001600000402 R_AARCH64_JUMP_SL 0000000000000000 sleep@GLIBC_2.17 + 0
00000001fef0 001700000402 R_AARCH64_JUMP_SL 0000000000000000 __vfprintf_chk@GLIBC_2.17 + 0
00000001fef8 001800000402 R_AARCH64_JUMP_SL 0000000000000000 calloc@GLIBC_2.17 + 0
00000001ff00 001900000402 R_AARCH64_JUMP_SL 0000000000000000 rewind@GLIBC_2.17 + 0
00000001ff08 001a00000402 R_AARCH64_JUMP_SL 0000000000000000 strdup@GLIBC_2.17 + 0
00000001ff10 001b00000402 R_AARCH64_JUMP_SL 0000000000000000 closedir@GLIBC_2.17 + 0
00000001ff18 001c00000402 R_AARCH64_JUMP_SL 0000000000000000 __stack_chk_fail@GLIBC_2.17 + 0
00000001ff20 001d00000402 R_AARCH64_JUMP_SL 0000000000000000 strrchr@GLIBC_2.17 + 0
00000001ff28 001e00000402 R_AARCH64_JUMP_SL 0000000000000000 __gmon_start__ + 0
00000001ff30 002000000402 R_AARCH64_JUMP_SL 0000000000000000 abort@GLIBC_2.17 + 0
00000001ff38 002100000402 R_AARCH64_JUMP_SL 0000000000000000 feof@GLIBC_2.17 + 0
00000001ff40 002200000402 R_AARCH64_JUMP_SL 0000000000000000 getopt_long@GLIBC_2.17 + 0
00000001ff48 002300000402 R_AARCH64_JUMP_SL 0000000000000000 __fprintf_chk@GLIBC_2.17 + 0
00000001ff50 002400000402 R_AARCH64_JUMP_SL 0000000000000000 strcmp@GLIBC_2.17 + 0
00000001ff58 002500000402 R_AARCH64_JUMP_SL 0000000000000000 free@GLIBC_2.17 + 0
00000001ff60 002600000402 R_AARCH64_JUMP_SL 0000000000000000 readdir64@GLIBC_2.17 + 0
00000001ff68 002700000402 R_AARCH64_JUMP_SL 0000000000000000 strndup@GLIBC_2.17 + 0
00000001ff70 002800000402 R_AARCH64_JUMP_SL 0000000000000000 strchr@GLIBC_2.17 + 0
00000001ff78 002900000402 R_AARCH64_JUMP_SL 0000000000000000 fwrite@GLIBC_2.17 + 0
00000001ff80 002a00000402 R_AARCH64_JUMP_SL 0000000000000000 fflush@GLIBC_2.17 + 0
00000001ff88 002b00000402 R_AARCH64_JUMP_SL 0000000000000000 fopen64@GLIBC_2.17 + 0
00000001ff90 002c00000402 R_AARCH64_JUMP_SL 0000000000000000 __isoc99_sscanf@GLIBC_2.17 + 0
00000001ff98 002d00000402 R_AARCH64_JUMP_SL 0000000000000000 strncpy@GLIBC_2.17 + 0
00000001ffa0 002f00000402 R_AARCH64_JUMP_SL 0000000000000000 __assert_fail@GLIBC_2.17 + 0
00000001ffa8 003000000402 R_AARCH64_JUMP_SL 0000000000000000 fgets@GLIBC_2.17 + 0
静态重定位
如果程序加载的位置不同于首选地址(通常是0x400000),因为该地址已被使用或由于ASLR或其他原因,静态重定位修正指针,这些指针的值期望二进制文件加载在首选地址。
例如,任何类型为R_AARCH64_RELATIV的节应该在重定位偏移量加上附加值的基础上修改地址。
动态重定位和GOT
重定位也可以引用外部符号(如依赖项中的函数)。例如,libC中的malloc函数。然后,加载器在加载libC时检查malloc函数加载的位置,它会将此地址写入GOT(全局偏移表)(在重定位表中指示)中,malloc的地址应该在此处指定。
过程链接表
PLT节允许执行懒绑定,这意味着函数位置的解析将在第一次访问时进行。
因此,当程序调用malloc时,它实际上调用的是PLT中malloc的相应位置(malloc@plt)。第一次调用时,它解析malloc的地址并存储,以便下次调用malloc时,使用该地址而不是PLT代码。
影响利用的现代链接行为
-z now(完全RELRO)禁用懒绑定;PLT条目仍然存在,但GOT/PLT被映射为只读,因此像GOT覆盖和ret2dlresolve这样的技术将无法对主二进制文件生效(库可能仍然部分RELRO)。见:
-
-fno-plt使编译器通过GOT条目直接调用外部函数,而不是通过PLT存根。你会看到调用序列如mov reg, [got]; call reg,而不是call func@plt。这减少了投机执行滥用,并稍微改变了围绕PLT存根的ROP小工具搜索。
-
PIE与静态-PIE:PIE(ET_DYN带INTERP)需要动态加载器并支持通常的PLT/GOT机制。静态-PIE(ET_DYN不带INTERP)由内核加载器应用重定位,没有ld.so;期望在运行时没有PLT解析。
如果GOT/PLT不是选项,请转向其他可写代码指针或使用经典ROP/SROP进入libc。
程序初始化
在程序加载后,是时候运行它了。然而,运行的第一段代码并不总是main函数。这是因为例如在C++中,如果全局变量是一个类的对象,则该对象必须在main运行之前初始化,如:
#include <stdio.h>
// g++ autoinit.cpp -o autoinit
class AutoInit {
public:
AutoInit() {
printf("Hello AutoInit!\n");
}
~AutoInit() {
printf("Goodbye AutoInit!\n");
}
};
AutoInit autoInit;
int main() {
printf("Main\n");
return 0;
}
注意,这些全局变量位于 .data 或 .bss 中,但在 __CTOR_LIST__ 和 __DTOR_LIST__ 列表中,初始化和析构的对象按顺序存储,以便跟踪它们。
从 C 代码中,可以使用 GNU 扩展获得相同的结果:
__attributte__((constructor)) //Add a constructor to execute before
__attributte__((destructor)) //Add to the destructor list
从编译器的角度来看,要在 main 函数执行之前和之后执行这些操作,可以创建一个 init 函数和一个 fini 函数,这些函数将在动态部分中被引用为 INIT 和 FIN,并被放置在 ELF 的 init 和 fini 部分中。
另一个选项,如前所述,是在动态部分的 INIT_ARRAY 和 FINI_ARRAY 条目中引用列表 __CTOR_LIST__ 和 __DTOR_LIST__,这些的长度由 INIT_ARRAYSZ 和 FINI_ARRAYSZ 指示。每个条目都是一个函数指针,将在没有参数的情况下被调用。
此外,还可以有一个 PREINIT_ARRAY,其中包含将在 INIT_ARRAY 指针之前执行的 指针。
利用注意事项
-
在部分 RELRO 下,这些数组位于在
ld.so将PT_GNU_RELRO切换为只读之前仍然可写的页面中。如果你能在足够早的时候进行任意写入,或者可以针对库的可写数组,你可以通过用你选择的函数覆盖一个条目来劫持控制流。在完全 RELRO 下,它们在运行时是只读的。 -
有关动态链接器的惰性绑定滥用以在运行时解析任意符号,请参见专门页面:
初始化顺序
- 程序被加载到内存中,静态全局变量在
.data中初始化,未初始化的变量在.bss中被置为零。 - 程序或库的所有 依赖项 被 初始化,并执行 动态链接。
- 执行
PREINIT_ARRAY函数。 - 执行
INIT_ARRAY函数。 - 如果有
INIT条目,则调用它。 - 如果是库,dlopen 在此结束;如果是程序,则是时候调用 真实入口点(
main函数)。
线程局部存储 (TLS)
它们在 C++ 中使用关键字 __thread_local 或 GNU 扩展 __thread 定义。
每个线程将为此变量维护一个唯一的位置,因此只有该线程可以访问其变量。
使用此功能时,ELF 中将使用 .tdata 和 .tbss 部分。这些部分类似于 .data(已初始化)和 .bss(未初始化),但用于 TLS。
每个变量将在 TLS 头中有一个条目,指定大小和 TLS 偏移量,即它将在线程的本地数据区域中使用的偏移量。
__TLS_MODULE_BASE 是一个符号,用于引用线程局部存储的基地址,并指向内存中包含模块所有线程局部数据的区域。
辅助向量 (auxv) 和 vDSO
Linux 内核向进程传递一个辅助向量,包含运行时的有用地址和标志:
AT_RANDOM:指向 16 个随机字节,glibc 用于栈金丝雀和其他 PRNG 种子。AT_SYSINFO_EHDR:vDSO 映射的基地址(方便查找__kernel_*系统调用和小工具)。AT_EXECFN、AT_BASE、AT_PAGESZ等。
作为攻击者,如果你可以读取 /proc 下的内存或文件,你通常可以在目标进程中泄露这些信息,而无需信息泄露:
# Show the auxv of a running process
cat /proc/$(pidof target)/auxv | xxd
# From your own process (helper snippet)
#include <sys/auxv.h>
#include <stdio.h>
int main(){
printf("AT_RANDOM=%p\n", (void*)getauxval(AT_RANDOM));
printf("AT_SYSINFO_EHDR=%p\n", (void*)getauxval(AT_SYSINFO_EHDR));
}
泄露 AT_RANDOM 如果你能解引用那个指针,会给你 canary 值;AT_SYSINFO_EHDR 给你一个 vDSO 基址,可以挖掘 gadgets 或直接调用快速系统调用。
References
- ld.so(8) – 动态加载器搜索顺序,RPATH/RUNPATH,安全执行规则 (AT_SECURE): https://man7.org/linux/man-pages/man8/ld.so.8.html
- getauxval(3) – 辅助向量和 AT_* 常量: https://man7.org/linux/man-pages/man3/getauxval.3.html
tip
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。