Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks beworben sehen? Oder möchten Sie Zugriff auf die neueste Version des PEASS oder HackTricks als PDF herunterladen? Überprüfen Sie die ABONNEMENTPLÄNE!
Das vorherige Programm hat 9 Programmheader, dann zeigt die Segmentzuordnung an, in welchem Programmheader (von 00 bis 08) jeder Abschnitt sich befindet.
PHDR - Program HeaDeR
Enthält die Programheader-Tabellen und Metadaten selbst.
INTERP
Gibt den Pfad des Ladeprogramms an, das verwendet wird, um das Binärprogramm in den Speicher zu laden.
LOAD
Diese Header werden verwendet, um anzuzeigen, wie ein Binärprogramm in den Speicher geladen wird.
Jeder LOAD-Header gibt einen Bereich des Speichers an (Größe, Berechtigungen und Ausrichtung) und gibt die Bytes des ELF-Binärprogramms an, die dorthin kopiert werden sollen.
Zum Beispiel hat der zweite eine Größe von 0x1190, sollte sich bei 0x1fc48 befinden mit Lese- und Schreibberechtigungen und wird mit 0x528 ab dem Offset 0xfc48 gefüllt (es füllt nicht den gesamten reservierten Speicherplatz). Dieser Speicher wird die Abschnitte .init_array .fini_array .dynamic .got .data .bss enthalten.
DYNAMIC
Dieser Header hilft dabei, Programme mit ihren Bibliotheksabhängigkeiten zu verknüpfen und Relokationen anzuwenden. Überprüfen Sie den Abschnitt .dynamic.
NOTE
Speichert Herstellermetadateninformationen über das Binärprogramm.
GNU_EH_FRAME
Definiert den Speicherort der Stapel-Unwind-Tabellen, die von Debuggern und C++-Ausnahmebehandlungs-Laufzeitfunktionen verwendet werden.
GNU_STACK
Enthält die Konfiguration der Stack-Ausführungsverhinderungsverteidigung. Wenn aktiviert, kann das Binärprogramm keinen Code vom Stapel ausführen.
GNU_RELRO
Gibt die RELRO (Relocation Read-Only)-Konfiguration des Binärprogramms an. Dieser Schutz markiert nach dem Laden des Programms und bevor es ausgeführt wird bestimmte Abschnitte des Speichers als schreibgeschützt (wie die GOT oder die init- und fini-Tabellen).
Im vorherigen Beispiel werden 0x3b8 Bytes nach 0x1fc48 kopiert und als schreibgeschützt markiert, was die Abschnitte .init_array .fini_array .dynamic .got .data .bss betrifft.
Beachten Sie, dass RELRO teilweise oder vollständig sein kann. Die teilweise Version schützt den Abschnitt .plt.got nicht, der für träges Binden verwendet wird und diesen Speicherbereich benötigt, um Schreibberechtigungen zu haben, um die Adresse der Bibliotheken zu schreiben, wenn ihr Standort zum ersten Mal gesucht wird.
TLS
Definiert eine Tabelle von TLS-Einträgen, die Informationen über threadlokale Variablen speichern.
Abschnittsheader
Abschnittsheader geben einen detaillierteren Überblick über das ELF-Binärprogramm.
Zeichenfolgentabelle: Enthält alle Zeichenfolgen, die von der ELF-Datei benötigt werden (aber nicht die tatsächlich vom Programm verwendeten). Zum Beispiel enthält sie Abschnittsnamen wie .text oder .data. Und wenn .text am Offset 45 in der Zeichenfolgentabelle steht, wird die Nummer 45 im Namen-Feld verwendet.
Um herauszufinden, wo sich die Zeichenfolgentabelle befindet, enthält die ELF einen Zeiger auf die Zeichenfolgentabelle.
Symboltabelle: Enthält Informationen über die Symbole wie den Namen (Offset in der Zeichenfolgentabelle), Adresse, Größe und weitere Metadaten über das Symbol.
Hauptabschnitte
.text: Die Anweisung des Programms, die ausgeführt werden soll.
.data: Globale Variablen mit einem definierten Wert im Programm.
.bss: Globale Variablen, die nicht initialisiert wurden (oder auf Null initialisiert wurden). Variablen werden hier automatisch auf Null initialisiert, wodurch unnötige Nullen vermieden werden, die dem Binärcode hinzugefügt werden könnten.
.tdata und .tbss: Ähnlich wie .data und .bss, wenn threadlokale Variablen verwendet werden (__thread_local in C++ oder __thread in C).
.dynamic: Siehe unten.
Symbole
Symbole sind benannte Speicherorte im Programm, die eine Funktion, ein globales Datenobjekt, threadlokale Variablen usw. sein könnten.
readelf -s lnstat
Symbol table '.dynsym' contains 49 entries:
Num: Value Size Type Bind Vis Ndx Name
0: 0000000000000000 0 NOTYPE LOCAL DEFAULT UND
1: 0000000000001088 0 SECTION LOCAL DEFAULT 12 .init
2: 0000000000020000 0 SECTION LOCAL DEFAULT 23 .data
3: 0000000000000000 0 FUNC GLOBAL DEFAULT UND strtok@GLIBC_2.17 (2)
4: 0000000000000000 0 FUNC GLOBAL DEFAULT UND s[...]@GLIBC_2.17 (2)
5: 0000000000000000 0 FUNC GLOBAL DEFAULT UND strlen@GLIBC_2.17 (2)
6: 0000000000000000 0 FUNC GLOBAL DEFAULT UND fputs@GLIBC_2.17 (2)
7: 0000000000000000 0 FUNC GLOBAL DEFAULT UND exit@GLIBC_2.17 (2)
8: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _[...]@GLIBC_2.34 (3)
9: 0000000000000000 0 FUNC GLOBAL DEFAULT UND perror@GLIBC_2.17 (2)
10: 0000000000000000 0 NOTYPE WEAK DEFAULT UND _ITM_deregisterT[...]
11: 0000000000000000 0 FUNC WEAK DEFAULT UND _[...]@GLIBC_2.17 (2)
12: 0000000000000000 0 FUNC GLOBAL DEFAULT UND putc@GLIBC_2.17 (2)
[...]
Jeder Symbol-Eintrag enthält:
Name
Bindungseigenschaften (schwach, lokal oder global): Ein lokales Symbol kann nur vom Programm selbst zugegriffen werden, während globale Symbole außerhalb des Programms geteilt werden. Ein schwaches Objekt ist beispielsweise eine Funktion, die durch eine andere überschrieben werden kann.
Das NEEDED-Verzeichnis gibt an, dass das Programm die genannte Bibliothek laden muss, um fortzufahren. Das NEEDED-Verzeichnis ist vollständig, sobald die gemeinsame Bibliothek voll funktionsfähig und einsatzbereit ist.
Umplatzierungen
Der Loader muss auch Abhängigkeiten nach dem Laden umplatzieren. Diese Umplatzierungen sind in der Umplatzierungstabelle in den Formaten REL oder RELA angegeben, und die Anzahl der Umplatzierungen wird in den dynamischen Abschnitten RELSZ oder RELASZ angegeben.
Wenn das Programm an einem anderen Ort geladen wird als der bevorzugte Adresse (normalerweise 0x400000), weil die Adresse bereits verwendet wird oder aufgrund von ASLR oder aus einem anderen Grund, korrigiert eine statische Umplatzierung Zeiger, die Werte erwarteten, dass das Binärprogramm an der bevorzugten Adresse geladen wird.
Zum Beispiel sollte ein Abschnitt vom Typ R_AARCH64_RELATIV die Adresse am Umplatzierungsbias plus dem Addendwert geändert haben.
Dynamische Umplatzierungen und GOT
Die Umplatzierung könnte auch auf ein externes Symbol verweisen (wie eine Funktion aus einer Abhängigkeit). Wie die Funktion malloc aus libC. Dann, wenn der Loader libC an einer Adresse lädt und überprüft, wo die malloc-Funktion geladen ist, schreibt er diese Adresse in die GOT (Global Offset Table) Tabelle (die in der Umplatzierungstabelle angegeben ist), wo die Adresse von malloc angegeben sein sollte.
Verfahrensverknüpfungstabelle
Der PLT-Abschnitt ermöglicht das Durchführen einer verzögerten Bindung, was bedeutet, dass die Auflösung des Speicherorts einer Funktion beim ersten Zugriff erfolgt.
Wenn ein Programm malloc aufruft, ruft es tatsächlich den entsprechenden Speicherort von malloc in der PLT (malloc@plt) auf. Beim ersten Aufruf wird die Adresse von malloc aufgelöst und gespeichert, sodass beim nächsten Aufruf von malloc diese Adresse anstelle des PLT-Codes verwendet wird.
Programminitialisierung
Nachdem das Programm geladen wurde, ist es an der Zeit, dass es ausgeführt wird. Allerdings wird der erste Code, der ausgeführt wird, nicht immer die Funktion main sein. Dies liegt daran, dass beispielsweise in C++ wenn eine globale Variable ein Objekt einer Klasse ist, dieses Objekt vor dem Ausführen von main initialisiert werden muss, wie in:
Beachten Sie, dass diese globalen Variablen im .data oder .bss Bereich liegen, aber in den Listen __CTOR_LIST__ und __DTOR_LIST__ die Objekte zur Initialisierung und Zerstörung in der Reihenfolge gespeichert sind, um sie zu verfolgen.
Vom C-Code aus ist es möglich, das gleiche Ergebnis unter Verwendung der GNU-Erweiterungen zu erzielen:
__attributte__((constructor)) //Add a constructor to execute before__attributte__((destructor)) //Add to the destructor list
Von einem Compilerstandpunkt aus ist es möglich, vor und nach der Ausführung der main-Funktion eine init-Funktion und eine fini-Funktion zu erstellen, die im dynamischen Abschnitt als INIT und FIN referenziert werden und in den init- und fini-Abschnitten des ELF platziert sind.
Die andere Option ist, wie bereits erwähnt, die Listen __CTOR_LIST__ und __DTOR_LIST__ in den Einträgen INIT_ARRAY und FINI_ARRAY im dynamischen Abschnitt zu referenzieren, wobei die Länge dieser durch INIT_ARRAYSZ und FINI_ARRAYSZ angegeben wird. Jeder Eintrag ist ein Funktionszeiger, der ohne Argumente aufgerufen wird.
Darüber hinaus ist es auch möglich, ein PREINIT_ARRAY mit Zeigern zu haben, die vor den INIT_ARRAY-Zeigern ausgeführt werden.
Initialisierungsreihenfolge
Das Programm wird in den Speicher geladen, statische globale Variablen werden in .data initialisiert und nicht initialisierte Variablen in .bss auf Null gesetzt.
Alle Abhängigkeiten für das Programm oder Bibliotheken werden initialisiert und das dynamische Verknüpfen wird ausgeführt.
PREINIT_ARRAY-Funktionen werden ausgeführt.
INIT_ARRAY-Funktionen werden ausgeführt.
Wenn ein INIT-Eintrag vorhanden ist, wird er aufgerufen.
Wenn es sich um eine Bibliothek handelt, endet dlopen hier, wenn es sich um ein Programm handelt, ist es Zeit, den echten Einstiegspunkt (die main-Funktion) aufzurufen.
Thread-Lokaler Speicher (TLS)
Sie werden in C++ mit dem Schlüsselwort __thread_local oder der GNU-Erweiterung __thread definiert.
Jeder Thread wird einen eindeutigen Speicherort für diese Variable beibehalten, sodass nur der Thread auf seine Variable zugreifen kann.
Wenn dies verwendet wird, werden die Abschnitte .tdata und .tbss im ELF verwendet. Diese sind wie .data (initialisiert) und .bss (nicht initialisiert), aber für TLS.
Jede Variable hat einen Eintrag im TLS-Header, der die Größe und den TLS-Offset angibt, der der Offset ist, den sie im lokalen Datenspeicher des Threads verwenden wird.
Das __TLS_MODULE_BASE ist ein Symbol, das verwendet wird, um auf die Basisadresse des threadlokalen Speichers zu verweisen und auf den Bereich im Speicher zeigt, der alle threadlokalen Daten eines Moduls enthält.