glibc动态链接器dl_runtime_resolve简要分析

最新推荐文章于 2024-06-17 22:00:00 发布
最新推荐文章于 2024-06-17 22:00:00 发布
阅读量3.3k 收藏 10
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Pwn C Reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jazrynwong/article/details/89851640
本文简要分析了glibc动态链接器的核心部分——dl_runtime_resolve,包括动态链接过程、plt节的作用、link_map结构分析以及_dl_fixup函数的功能。通过对elf动态段的了解,展示了动态绑定如何在首次调用时完成重定位。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

dl_runtime_resolve简要分析

资料

glibc 2.9 source
linux elf 手册
&各种百度搜索

基于32位elf,64位一些结构会略有不同,新手学习,如果有理解错误,请师傅们帮忙指出。

elf执行时动态绑定简要分析

动态链接的过程

动态链接中起到核心作用的是got节和plt节,链接器为所有共享目标文件(shared object)中未定义的(undef)外部符号生成一个got表,每个got表项存储符号在运行时的实际值(地址),plt表中的每一项实际是一段指令,每个外部函数都有一个对应的plt项他指导系统完成动态链接,或是执行外部函数。

plt节

plt节中一组代码如下所示:

 fgets.plt:
       jmp      fgets.got
       push     fgets.rel offset
       jmp      xxxxx ;plt[0]的地址这里存储的是调用动态链接器的过程指令

如上所示,如果程序调用了fgets函数(代码段中实际调用了fgets.plt的地址),并且fgets使用动态链接方式,linux的延迟绑定机制(直到第一次调用才会完成重定位)会为当前函数调用动态链接器已完成对got表的修改。

由于所有函数在完成绑定之前,他们对应got表的值实际上是对应plt项的第二条指令,即如上push xxxx,该指令会将fgets函数在重定位表中的偏移压入栈上,而后执行jmp plt[0],去执行plt[0]位置的代码。

plt[0]保存的代码如下:

       push  got 1  ;link_map
       jmp   got 2  ;dl_rumtime_resolve

压got[1] (保存了本模块的link_map结构,后文介绍)中保存的值入栈,跳转执行got[2]中的函数,实际上就是动态链接器dl_runtime_resolve的地址。dl_runtime_resolve的实现在glibc源代码中的dl-trampoline.c中,是一段汇编形式的代码,他调用了内部函数 _dl_fixup(struct link_map *__unbounded l, ElfW(Word) reloc_offset)来处理动态链接,刚刚压入栈的值就是作为他的参数。完成链接后,对应got表项中的值会变为实际函数地址,此后对plt表项的调用,将直接跳转到实际got表项的函数内,不会再进行重复绑定。

link_map结构简要分析

有关link_map的定义位于glibc源码的link.h中

r_scope_elem

/* Structure to describe a single list of scope elements.  The lookup
   functions get passed an array
最低0.47元/天 解锁文章

200万优质内容无限畅学
ret2dl_runtime_resolve实例分析
Hello World.c
05-07 540
dl_runtime_resolve实例分析 IDA静态分析 这里用2019信安国赛的baby_pwn来做演示(就是因为这个做不出来去做了好多功课),实例程序test在文件夹下,hack.py是实现本地攻击的脚本 首先使用checksec查看文件保护状态,由于是partial relo所以并没机会改写动态段的字符串表地址。所以我们直接伪造所有所需要的参数结构。 ida动态段信息如下 d_ta...
CS:APP 计算机系统 课程大作业
ForceLab
05-21 651
学号:120L022004 目 录 第1章 概述... - 4 - 1.1 Hello简介... - 4 - 1.2 环境与工具... - 4 - 1.3 中间结果... - 5 - 1.4 本章小结... - 5 - 第2章 预处理... - 6 - 2.1 预处理的概念与作用... - 6 - 2.2在Ubuntu下预处理的命令... - 6 - 2.3 Hello的预处理结果解析... - 6 - 2.4 本章小结... - 7 - 第3章 编译... - 8 - 3..
_dl_runtime_resolve源码分析
conansonic的博客
01-23 8578
_dl_runtime_resolve 重定位、动态链接、静态连接、延迟绑定
好好说话之ret2_dl_runtime_resolve
hollk’s blog
07-21 3130
当初毕业论文就写了一万五千字,没想到一篇ret2_dl_runtime_resolve博客三万两千字~~我吐了~~ 。由于内容比较详细,无法避免有些知识点会忘记,可以通过目录翻阅忘记的内容 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
_dl_runtime_resolve
farmwang的专栏
06-21 2203
_dl_runtime_resolve是怎么知要查找printf函数的_dl_runtime_resolve找到printf函数地址之后,它怎么知道回填到哪个GOT表项到底_dl_runtime_resolve是什么时候被写到GOT表的 前2个问题,只需要一个信息就可以了知道,这个信息就在藏在在函数对应的xxx@plt表中,以foo@plt为例: 0000000000400590 :
ROP高级用法之ret2_dl_runtime_resolve
热门推荐
钞sir的博客
04-29 1万+
简介 程序想要调用其他动态链接库的函数,必须要在程序加载的时候动态链接;在一个程序运行过程中,可能很多函数在程序执行完时都不会用到,比如一些错误处理函数或者一些用户很少用到的功能模块;所以ELF采用一种叫做延迟绑定(Lazy Binding)的做法,基本思想就是当函数第一次被用到的时候才进行绑定(符号查找、重定位等); 而在linux 中是利用_dl_runtime_resolve(link_ma...
高级ret2_dl_runtime_resolve
Jc
07-02 629
Ret2dl 准备: readelf工具的使用 -h 显示文件的头部信息 -l(program headers),segments 显示程序头(段头)信息(如果有数据的话)。 -S(section headers),sections 显示节头信息(如果有数据的话)(区分大小写) -g(section groups),显示节组信息(如果有数据的话) -t,section-details 显示节的...
ret2dl_runtime_resolve
SOSKUN的博客
06-17 394
这个链表记录了程序运行时所加载的共享对象的相关信息,包括加载地址、文件名、动态链接信息等。:所有的外部引用变量/函数都将在程序装载时由动态链接解析完成,,全局偏移量表,每个条目是该函数对应的实际地址。表,每个表项的第一条代码是跳转到对应的。结构体,改变各个段或表的基址,最终指向。,过程链接表,每个条目是一段代码,其中。函数解析导入函数的真实地址,并将。表项改写为对应函数的真实地址,从。在利用处写入要劫持的函数字符串,将。中对应字符串的偏移,完成绑定。处的偏移,在目标处伪造一个。的偏移,在偏移所在处伪造。
32位下利用_dl_runtim_resolve函数
zszcr的博客
04-19 649
利用_dl_runtime_resolve来解析特定的函数 这里以这里以XDCTF 2015的pwn200为例 基础前置知识请看这篇文章_dl_runtime_resolve 利用的步骤主要有5步 控制程序的栈转移到我们可以控制的地址 控制程序调用_dl_runtime_resolve函数 ,控制reloc_offset的大小,使reloc项落在我们控制的栈上 伪造reloc项中的内...
死活不懂ret2_dl_runtime_resolve,留着以后学
哒君的博客
07-27 401
https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/advanced-rop-zh/#ret2_dl_runtime_resolve https://bbs.pediy.com/thread-227034.htm https://xz.aliyun.com/t/5122#toc-10 https://www.freebuf.co...
Nguyen:OptiROP——ROP gadgets搜寻神
05-29
9月25日,SyScan360 2013国际前瞻信息安全会议在北京国家会议中心举行。安全专家Nguyen Anh Quynh同与会者共同探讨《OptiROP:ROP gadgets搜寻神》这一议题,并现场传授使用OptiROP的方法。
ret2_dl_runtime_resolve学习
m0_51251108的博客
09-23 382
ret2_dl_runtime_resolve
ret2_dl_runtime_resolve高级栈溢出利用思路
a2590035252的博客
10-17 1118
推荐给想和我一样深入理解动态链接过程的pwn师傅
ret2dl-runtime-resolve详细分析(32位&64位)
seaaseesa的博客
02-24 3803
Ret2dl-runtime-resolve技术 在linux下,二进制引用的外部符号加载方式有三种,FULL_RELRO、PARTIAL_RELRO、NO_RELRO,在PARTIAL_RELRO和NO_RELRO的情况下,外部符号的地址延迟加载,并且,在NO_RELRO下,ELF的dynamic段可读写。 ELF有plt表和got表,程序调用外部函数函数时,call的是plt表项,而plt...
runtime 分类结构体_64位ret2_dl_runtime_resolve模版题以及踩坑记录
weixin_39646107的博客
01-02 533
什么是ret2dl攻击当程序在第一次加载某个函数的时候,got表中对应的表项还没有写入真实的地址(因为是第一次调用),所以这个时候就需要调用_dl_runtime_resolve函数将真实的地址写入got表对应的表项中,然后将控制权交还这个函数,此时就完成了第一次的调用,got表中也有了对应的真实地址。整个调用过程梳理_dl_fixup之前当我们第一调用read时,他的跳转过程是read@plt ...
动态链接
qq_32214595的博客
03-08 1414
动态链接属于glibc的一部分, 本文章用glibc2.17分析
Pwn-高阶ROP-[栈溢出]/篇3
m0_52343643的博客
05-11 1519
大概调用过程: 也就是我们这里先调用了write函数的plt表项触发了_dl_runtime_resolve函数(会push linkmap)之后会先到.rel.plt段,通过plt中给的push <偏移>在.rel.plt段中找到偏移处对应函数的重定位表项,再通过该表项的r_info(一个偏移量),找到.dynsym段中对应偏移量函数的符号表项,又通过该符号表项的st_name(也是一个偏移量)在.dynstr段找到对应的字符串,最后就会通过这个字符串(函数名)来调用该函数。
【WriteUp】栈溢出之ret2dl-reslove
qq_39933891的博客
03-08 812
CTFHUB技能树pwn栈溢出题目WriteUp
动态链接
xueli1991的博客
06-15 748
一、动态链接的好处 前面说了静态链接的流程,提到了静态链接与动态链接的不同之处以及各自的优势:静态链接的优势在于其优秀的可移植性,但是相对应的其所占空间大小也很大,且还有在对程序的更新、维护方面也有着问题。  动态链接则消除了这方面的问题,即使得空间不再浪费,更新一个程序也变得不再麻烦。 浪费内存问题的解决 假设有两个程序a和b,如果两个都依赖于Libc.o这个模块,那么当
安装GLIBC_2.32,GLIBC_2.33,GLIBC_2.34
最新发布
02-21
对于Ubuntu 20.04,默认情况下可能不提供最新的GLIBC版本,如`GLIBC_2.32`, `GLIBC_2.33`, 或者 `GLIBC_2.34`. 若要安装这些更高版本的GLIBC库,可以考虑以下几种方法: #### 方法一:通过源码编译安装指定版本的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值