ELF Basic Information

从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)

程序头部

这些头部告诉加载器如何将ELF加载到内存中:

readelf -lW lnstat

Elf file type is DYN (Position-Independent Executable file)
Entry point 0x1c00
There are 9 program headers, starting at offset 64

Program Headers:
Type           Offset   VirtAddr           PhysAddr           FileSiz  MemSiz   Flg Align
PHDR           0x000040 0x0000000000000040 0x0000000000000040 0x0001f8 0x0001f8 R   0x8
INTERP         0x000238 0x0000000000000238 0x0000000000000238 0x00001b 0x00001b R   0x1
[Requesting program interpreter: /lib/ld-linux-aarch64.so.1]
LOAD           0x000000 0x0000000000000000 0x0000000000000000 0x003f7c 0x003f7c R E 0x10000
LOAD           0x00fc48 0x000000000001fc48 0x000000000001fc48 0x000528 0x001190 RW  0x10000
DYNAMIC        0x00fc58 0x000000000001fc58 0x000000000001fc58 0x000200 0x000200 RW  0x8
NOTE           0x000254 0x0000000000000254 0x0000000000000254 0x0000e0 0x0000e0 R   0x4
GNU_EH_FRAME   0x003610 0x0000000000003610 0x0000000000003610 0x0001b4 0x0001b4 R   0x4
GNU_STACK      0x000000 0x0000000000000000 0x0000000000000000 0x000000 0x000000 RW  0x10
GNU_RELRO      0x00fc48 0x000000000001fc48 0x000000000001fc48 0x0003b8 0x0003b8 R   0x1

Section to Segment mapping:
Segment Sections...
00
01     .interp
02     .interp .note.gnu.build-id .note.ABI-tag .note.package .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
03     .init_array .fini_array .dynamic .got .data .bss
04     .dynamic
05     .note.gnu.build-id .note.ABI-tag .note.package
06     .eh_frame_hdr
07
08     .init_array .fini_array .dynamic .got

前一个程序有9个程序头,然后,段映射指示了每个部分位于哪个程序头(从00到08)。

PHDR - 程序头

包含程序头表和元数据本身。

INTERP

指示要使用的加载程序的路径,将二进制文件加载到内存中。

LOAD

这些头部用于指示如何将二进制文件加载到内存中。 每个LOAD头部指示一个内存区域(大小、权限和对齐方式),并指示将ELF二进制文件的字节复制到其中。

例如,第二个头部的大小为0x1190,应位于0x1fc48处,具有读写权限,并将从偏移0xfc48处的0x528填充进去(不会填充所有保留空间)。此内存将包含部分.init_array .fini_array .dynamic .got .data .bss

DYNAMIC

此头部有助于将程序链接到其库依赖项并应用重定位。检查**.dynamic**部分。

NOTE

存储有关二进制文件的供应商元数据信息。

GNU_EH_FRAME

定义堆栈展开表的位置,供调试器和C++异常处理运行时函数使用。

GNU_STACK

包含堆栈执行防御的配置。如果启用,二进制文件将无法从堆栈执行代码。

GNU_RELRO

指示二进制文件的RELRO(重定位只读)配置。此保护将在程序加载后开始运行之前,将内存的某些部分标记为只读(如GOTinitfini表)。

在前面的示例中,它将0x3b8字节复制到0x1fc48,作为只读影响.init_array .fini_array .dynamic .got .data .bss部分。

请注意,RELRO可以是部分或完整的,部分版本不会保护**.plt.got部分,该部分用于延迟绑定**,并且需要此内存空间具有写权限,以便在搜索其位置时第一次写入库的地址。

TLS

定义TLS条目表,存储有关线程本地变量的信息。

节头部

节头部提供了对ELF二进制文件的更详细视图。

元数据部分

  • 字符串表:它包含 ELF 文件需要的所有字符串(但不包括程序实际使用的字符串)。例如,它包含诸如 .text.data 之类的部分名称。如果 .text 在字符串表中的偏移量为 45,则在 name 字段中将使用数字 45

  • 为了找到字符串表的位置,ELF 包含一个指向字符串表的指针。

  • 符号表:它包含有关符号的信息,如名称(字符串表中的偏移量)、地址、大小以及有关符号的其他元数据。

主要部分

  • .text:程序运行的指令。

  • .data:程序中具有定义值的全局变量。

  • .bss:未初始化的全局变量(或初始化为零)。此处的变量会自动初始化为零,从而防止不必要的零被添加到二进制文件中。

  • .rodata:常量全局变量(只读部分)。

  • .tdata.tbss:当使用线程局部变量时(在 C++ 中为 __thread_local__thread),类似于 .data 和 .bss。

  • .dynamic:见下文。

符号

符号是程序中的命名位置,可以是函数、全局数据对象、线程局部变量等。

每个符号条目包含:

  • 名称

  • 绑定属性(弱、局部或全局):局部符号只能被程序本身访问,而全局符号可以在程序外共享。弱对象例如是一个可以被不同函数覆盖的函数。

  • 类型:NOTYPE(未指定类型)、OBJECT(全局数据变量)、FUNC(函数)、SECTION(部分)、FILE(调试器的源代码文件)、TLS(线程本地变量)、GNU_IFUNC(间接函数用于重定位)

  • 位于的部分索引

  • (内存中的地址)

  • 大小

动态部分

Relocations

加载程序后,加载器还必须重新定位依赖项。这些重新定位在重定位表中以REL或RELA格式指示,重定位的数量在动态部分的RELSZ或RELASZ中给出。

静态重定位

如果程序加载到与首选地址(通常为0x400000)不同的位置,可能是因为该地址已被使用,也可能是因为ASLR或其他原因,静态重定位会修正指针,这些指针的值期望二进制文件加载到首选地址。

例如,任何类型为R_AARCH64_RELATIV的部分应该修改重定位偏移加上增量值的地址。

动态重定位和GOT

重定位也可能引用外部符号(如来自依赖项的函数)。比如来自libC的malloc函数。然后,加载器在加载libC时会检查malloc函数加载到的地址,并将该地址写入GOT(Global Offset Table)表(在重定位表中指定),指定malloc的地址。

过程链接表

PLT部分允许执行延迟绑定,这意味着第一次访问函数的位置时会解析该函数的位置。

因此,当程序调用malloc时,实际上是调用PLT中malloc的相应位置(malloc@plt)。第一次调用时,会解析malloc的地址并存储,因此下次调用malloc时,将使用该地址而不是PLT代码。

程序初始化

程序加载后就该运行了。但是,运行的第一段代码并不总是main函数。这是因为例如在C++中,如果全局变量是一个类的对象,则必须在main运行之前对该对象进行初始化,如下所示:

注意,这些全局变量位于.data.bss中,但在__CTOR_LIST____DTOR_LIST__列表中存储了要初始化和销毁的对象,以便跟踪它们。

从C代码中,可以使用GNU扩展来获得相同的结果:

从编译器的角度来看,在执行main函数之前和之后执行这些操作,可以创建一个init函数和一个fini函数,它们将被引用为**INITFIN**,并放置在ELF的initfini部分中。

另一个选择是在动态部分引用列表**__CTOR_LIST____DTOR_LIST__**,并将它们放在动态部分的**INIT_ARRAY**和**FINI_ARRAY**条目中,它们的长度由**INIT_ARRAYSZ**和**FINI_ARRAYSZ`**指示。每个条目都是一个将被调用而无需参数的函数指针。

此外,还可以有一个**PREINIT_ARRAY,其中包含将在INIT_ARRAY指针之前执行的指针**。

初始化顺序

  1. 程序被加载到内存中,静态全局变量在**.data中初始化,未初始化的变量在.bss**中清零。

  2. 为程序或库初始化所有依赖项,并执行动态链接

  3. 执行**PREINIT_ARRAY**函数。

  4. 执行**INIT_ARRAY**函数。

  5. 如果存在**INIT**条目,则调用它。

  6. 如果是库,dlopen在此结束;如果是程序,则是调用真正的入口点main函数)的时候了。

线程本地存储(TLS)

它们在C++中使用关键字**__thread_local或GNU扩展__thread**来定义。

每个线程将维护一个唯一的位置用于此变量,因此只有该线程可以访问其变量。

使用时,ELF中将使用**.tdata.tbss**部分。这类似于.data(已初始化)和.bss(未初始化),但用于TLS。

每个变量在TLS头部中都会有一个条目,指定大小和TLS偏移量,即它将在线程的本地数据区中使用的偏移量。

__TLS_MODULE_BASE是一个用于引用模块线程本地存储基地址的符号,并指向内存中包含模块所有线程本地数据的区域。

上一页Basic Binary Exploitation Methodology下一页Exploiting Tools

最后更新于