WWW2Exec - GOT/PLT
Last updated
Last updated
AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Global Offset Table (GOT), dinamik olarak bağlantılı ikili dosyalarda harici fonksiyonların adreslerini yönetmek için kullanılan bir mekanizmadır. Bu adresler çalışma zamanında (dinamik bağlantı nedeniyle) bilinmediğinden, GOT, bu harici sembollerin adreslerini dinamik olarak güncellemenin bir yolunu sağlar.
GOT'taki her giriş, ikilinin çağırabileceği harici kütüphanelerdeki bir sembole karşılık gelir. Bir fonksiyon ilk kez çağrıldığında, gerçek adresi dinamik bağlayıcı tarafından çözülür ve GOT'a kaydedilir. Aynı fonksiyona yapılan sonraki çağrılar, GOT'ta saklanan adresi kullanır ve böylece adresin tekrar çözülmesi için gereken yükten kaçınılır.
Procedure Linkage Table (PLT), GOT ile yakından çalışır ve harici fonksiyonlara yapılan çağrıları yönetmek için bir trampolin görevi görür. Bir ikili dosya ilk kez bir harici fonksiyonu çağırdığında, kontrol o fonksiyonla ilişkili PLT'deki bir girişe geçer. Bu PLT girişi, fonksiyonun adresini çözmek için dinamik bağlayıcıyı çağırmaktan sorumludur, eğer bu adres daha önce çözülmemişse. Adres çözüldükten sonra, GOT'ta saklanır.
Bu nedenle, GOT girişleri, bir harici fonksiyon veya değişkenin adresi çözüldüğünde doğrudan kullanılır. PLT girişleri, bu adreslerin dinamik bağlayıcı aracılığıyla ilk çözümlemesini kolaylaştırmak için kullanılır.
GOT tablosunun adresini almak için: objdump -s -j .got ./exec
GEF'de yürütülebilir dosyayı yükledikten sonra GOT'taki fonksiyonları görebileceğinizi gözlemleyin: gef➤ x/20x 0xADDR_GOT
GEF kullanarak bir hata ayıklama oturumu başlatabilir ve GOT tablosunu görmek için got komutunu çalıştırabilirsiniz:
Bir ikili dosyada GOT, fonksiyonların adreslerini veya PLT bölümüne işaret eden adresleri içerir. Bu keyfi yazmanın amacı, daha sonra çalıştırılacak bir fonksiyonun GOT girişini, örneğin system fonksiyonunun PLT adresi ile geçersiz kılmaktır.
İdeal olarak, parametreleri sizin kontrolünüzde olan bir fonksiyonun GOT'unu geçersiz kılacaksınız (böylece sistem fonksiyonuna gönderilen parametreleri kontrol edebileceksiniz).
Eğer system ikili dosya tarafından kullanılmıyorsa, sistem fonksiyonu PLT'de bir girişe sahip olmayacaktır. Bu senaryoda, önce system fonksiyonunun adresini sızdırmanız ve ardından GOT'u bu adrese işaret edecek şekilde geçersiz kılmanız gerekecektir.
PLT adreslerini objdump -j .plt -d ./vuln_binary ile görebilirsiniz.
libc'nin GOT'u genellikle kısmi RELRO ile derlenir, bu da onun adresini bulmanın mümkün olduğu varsayımıyla güzel bir hedef haline getirir (ASLR).
libc'nin yaygın fonksiyonları, kod yürütmek için GOT'unun geçersiz kılınabileceği diğer iç fonksiyonları çağıracaktır.
Bu teknik hakkında daha fazla bilgi burada bulun.
Heap istismarında CTF'lerde, parçaların içeriğini kontrol edebilmek ve bir noktada GOT tablosunu bile geçersiz kılabilmek yaygındır. Eğer bir gadget mevcut değilse, RCE elde etmek için basit bir hile, free GOT adresini system'a işaret edecek şekilde geçersiz kılmak ve bir parçanın içine "/bin/sh" yazmaktır. Bu şekilde, bu parça serbest bırakıldığında, system("/bin/sh") komutunu çalıştıracaktır.
Bir diğer yaygın teknik, strlen GOT adresini system'a işaret edecek şekilde geçersiz kılmaktır, böylece bu fonksiyon kullanıcı girdisi ile çağrıldığında "/bin/sh" dizesini geçmek ve bir shell almak mümkündür.
Ayrıca, puts kullanıcı girdisi ile kullanıldığında, strlen GOT adresini system'a işaret edecek şekilde geçersiz kılmak ve "/bin/sh" dizesini geçmek mümkündür çünkü puts, kullanıcı girdisi ile strlen'ı çağıracaktır.
Heap zafiyetinden RCE elde etmenin yaygın bir yolu, hızlı bir binayı kötüye kullanmaktır, böylece GOT tablosunun bir kısmını hızlı binaya eklemek mümkündür, böylece o parça tahsis edildiğinde bir fonksiyonun, genellikle free'in, işaretçisini geçersiz kılmak mümkün olacaktır.
Sonra, free'i system'a işaret ederek ve /bin/sh\x00 yazılmış bir parçayı serbest bırakarak bir shell çalıştırılacaktır.
Burada bir örnek bulabilirsiniz.
Full RELRO koruması, bu tür tekniklere karşı koruma sağlamak için, ikili dosya başlatıldığında tüm fonksiyonların adreslerini çözerek ve ardından GOT tablosunu yalnızca okunur hale getirerek tasarlanmıştır:
RelroAWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
