https://blog.ratherhard.com/categories/pwn-%E5%9F%BA%E7%A1%80/Recent content in Pwn 基础 on RatherHard の BlogHugo -- gohugo.iozh-CNWed, 22 Apr 2026 20:30:59 +0800https://blog.ratherhard.com/post/ctf-pwn/plt-and-got/Mon, 29 Dec 2025 14:29:00 +0000https://blog.ratherhard.com/post/ctf-pwn/plt-and-got/<img src="https://blog.ratherhard.com/" alt="Featured image of post plt 和 got" /><p>在 Linux ELF 文件和动态链接机制中，这四个段（Section）共同协作，实现了<strong>位置无关代码（PIC）<strong>和</strong>延迟绑定（Lazy Binding）</strong>。</p> <p>虽然它们名字很像，但功能和权限有着本质区别。我们可以将其分为两类：<strong>PLT 类（代码/执行）</strong> 和 <strong>GOT 类（数据/读写）</strong>。</p> <hr> <h3 id="1-plt-procedure-linkage-table---过程链接表">1. .plt (Procedure Linkage Table - 过程链接表) </h3><ul> <li><strong>属性</strong>：<strong>代码段</strong>（权限：读取+执行 <code>R-X</code>）。</li> <li><strong>作用</strong>：它包含了一系列小的<strong>可执行代码片段</strong>（Stub）。</li> <li><strong>功能</strong>：当程序调用一个外部函数（如 <code>printf</code>）时，它实际上并不是直接跳到 <code>printf</code> 的地址（因为在编译阶段不知道地址），而是跳到 <code>.plt</code> 段中对应的条目。</li> <li><strong>内容</strong>： <ul> <li>第一项是特殊项，负责调用动态链接器的符号解析函数。</li> <li>后续每一项对应一个外部函数，代码逻辑通常是：<code>jmp *(.got.plt中的对应项)</code>。</li> </ul> </li> </ul> <h3 id="2-got-global-offset-table---全局偏移表">2. .got (Global Offset Table - 全局偏移表) </h3><ul> <li><strong>属性</strong>：<strong>数据段</strong>（权限：读取+写入 <code>RW-</code>）。</li> <li><strong>作用</strong>：用于存储<strong>全局变量</strong>的绝对地址。</li> <li><strong>功能</strong>：程序在引用全局变量时，会先到 <code>.got</code> 中查找该变量的真实地址。</li> <li><strong>为什么需要</strong>：为了实现位置无关代码（PIC），代码段不包含变量的绝对地址，只包含到 <code>.got</code> 的相对偏移。动态链接器在程序启动时会将变量的真实地址填入 <code>.got</code>。</li> </ul> <h3 id="3-gotplt-got-的-plt-部分">3. .got.plt (GOT 的 PLT 部分) </h3><ul> <li><strong>属性</strong>：<strong>数据段</strong>（权限：读取+写入 <code>RW-</code>，但在 Full RELRO 下为 <code>R--</code>）。</li> <li><strong>作用</strong>：它是 <code>.got</code> 的一个子集，专门用于存储<strong>外部函数</strong>的绝对地址。</li> <li><strong>与 <code>.plt</code> 的配合</strong>： <ul> <li>在<strong>延迟绑定</strong>（Lazy Binding）模式下：<code>.got.plt</code> 的初始内容指向 <code>.plt</code> 中的下一条指令（即“跳回 PLT”）。当函数第一次被调用时，动态链接器解析出真实地址并覆盖掉这个值。</li> <li>在<strong>第二次调用</strong>时：<code>.plt</code> 里的 <code>jmp</code> 就会直接跳到 <code>.got.plt</code> 中存储的真实地址，不再进入链接器。</li> </ul> </li> <li><strong>特殊项</strong>：前三项通常预留给动态链接器的私有信息（如 <code>link_map</code> 结构和 <code>_dl_runtime_resolve</code> 函数地址）。</li> </ul> <h3 id="4-pltgot-专门的-plt-跳转表">4. .plt.got (专门的 PLT 跳转表) </h3><ul> <li><strong>属性</strong>：<strong>代码段</strong>（权限：读取+执行 <code>R-X</code>）。</li> <li><strong>作用</strong>：这是一个特殊的 <code>.plt</code> 段，通常用于<strong>非延迟绑定</strong>的情况，或者用于处理某些特定的重定位类型（如通过 <code>R_X86_64_GLOB_DAT</code> 重定位的函数指针）。</li> <li><strong>区别</strong>： <ul> <li>标准的 <code>.plt</code> 条目通常包含三个动作：跳转到 GOT、压栈索引、跳到解析器。</li> <li><code>.plt.got</code> 条目通常<strong>直接跳转</strong>到 <code>.got</code>（而不是 <code>.got.plt</code>）中存储的地址，不包含延迟绑定的逻辑（没有压栈和解析器的跳转）。它通常出现在启用了 <code>-z now</code>（Full RELRO）或编译器优化后的二进制文件中。</li> </ul> </li> </ul> <hr> <h3 id="总结与对比">总结与对比 </h3><table> <thead> <tr> <th style="text-align: left">段名称</th> <th style="text-align: left">类型</th> <th style="text-align: left">权限</th> <th style="text-align: left">存储内容</th> <th style="text-align: left">核心目的</th> </tr> </thead> <tbody> <tr> <td style="text-align: left"><strong>.plt</strong></td> <td style="text-align: left">代码</td> <td style="text-align: left">R-X</td> <td style="text-align: left">跳转代码片段 (Stubs)</td> <td style="text-align: left">函数调用的中转站，触发延迟绑定</td> </tr> <tr> <td style="text-align: left"><strong>.plt.got</strong></td> <td style="text-align: left">代码</td> <td style="text-align: left">R-X</td> <td style="text-align: left">直接跳转代码</td> <td style="text-align: left">跳过延迟绑定逻辑，直接跳转到 GOT 地址</td> </tr> <tr> <td style="text-align: left"><strong>.got</strong></td> <td style="text-align: left">数据</td> <td style="text-align: left">RW-</td> <td style="text-align: left"><strong>全局变量</strong>的绝对地址</td> <td style="text-align: left">变量引用的位置无关化</td> </tr> <tr> <td style="text-align: left"><strong>.got.plt</strong></td> <td style="text-align: left">数据</td> <td style="text-align: left">RW-</td> <td style="text-align: left"><strong>外部函数</strong>的绝对地址</td> <td style="text-align: left">配合 .plt 实现函数的延迟绑定</td> </tr> </tbody> </table> <h3 id="协作流程演示以延迟绑定为例">协作流程演示（以延迟绑定为例）： </h3><ol> <li><strong>Call <code>printf@plt</code></strong>：程序跳转到 <code>.plt</code> 中 <code>printf</code> 对应的条目。</li> <li><strong>Jmp to <code>.got.plt</code></strong>：<code>.plt</code> 里的第一条指令跳转到 <code>.got.plt</code> 记录的地址。 <ul> <li><em>第一次调用</em>：<code>.got.plt</code> 填的是 <code>.plt</code> 的下一行。</li> </ul> </li> <li><strong>Resolve</strong>：<code>.plt</code> 剩下的代码调用动态链接器，找到 <code>printf</code> 的真实地址。</li> <li><strong>Update</strong>：动态链接器将 <code>printf</code> 的真实地址写回 <code>.got.plt</code>。</li> <li><strong>Subsequent Calls</strong>：下次再调 <code>printf@plt</code> 时，第 2 步的 <code>Jmp</code> 会直接跳到 <code>printf</code> 的真实地址。</li> </ol> <h3 id="为什么现在的安全保护relro会影响这些段">为什么现在的安全保护（RELRO）会影响这些段？ </h3><ul> <li><strong>Partial RELRO</strong>：<code>.got.plt</code> 是可写的。攻击者可以利用堆栈溢出覆盖 <code>.got.plt</code> 的条目，将 <code>printf</code> 改为 <code>system</code>，从而实现 <strong>GOT Hijacking</strong>。</li> <li><strong>Full RELRO</strong>：动态链接器在程序启动时就把所有函数解析完毕，并将 <code>.got.plt</code> 设为<strong>只读</strong>。此时，<code>.plt.got</code> 的作用就会变得更明显，因为不再需要延迟绑定逻辑了。</li> </ul>https://blog.ratherhard.com/post/ctf-pwn/stack-frame-and-overflow/Mon, 27 Oct 2025 16:07:00 +0000https://blog.ratherhard.com/post/ctf-pwn/stack-frame-and-overflow/<img src="https://blog.ratherhard.com/" alt="Featured image of post 栈帧结构和栈溢出漏洞" /><h1 id="栈帧">栈帧 </h1><h2 id="什么是栈帧">什么是栈帧 </h2><p><strong>函数栈帧 (stack frame)</strong> 就是函数调用过程中程序的<strong>调用栈 (call stack)</strong> 所开辟的空间，这些空间是用来存放：</p> <ol> <li> <p>函数参数和函数返回值</p> </li> <li> <p>临时变量（包括函数的非静态的局部变量以及编译器自动生产的其他临时变量）</p> </li> <li> <p>保存上下文信息（包括在函数调用前后需要保持不变的寄存器）</p> </li> </ol> <hr> <h2 id="栈帧结构">栈帧结构 </h2><p>栈<strong>从高地址向低地址生长</strong>，而在 x86 架构下数据则以<strong>小端序</strong>写入：<strong>高位字节放高地址端，低位字节放低地址端</strong>，可以理解为<strong>从低地址向高地址生长</strong>。</p> <p>所以，栈顶在低地址处，栈基在高地址处。</p> <p>主调函数进行函数调用时，一般会在紧贴主调函数栈帧下方建立一个新的栈帧。</p> <h3 id="重要指针寄存器">重要指针寄存器 </h3><p><strong>栈指针</strong>： sp ，指向栈顶， push 指令会使 sp 下移， pop 指令会使 sp 上移。</p> <p><strong>帧指针</strong>： bp ，指向当前函数栈帧的基，指向的位置用于保存当前函数的主调函数的帧指针。</p> <p><strong>指令指针</strong>： ip ，是计算机处理器中用于存储下一条待执行指令内存地址的寄存器。</p> <p>注意，栈指针与帧指针正常情况下均应指向某个单位内存的最低地址处。</p> <h3 id="32-位栈帧结构">32 位栈帧结构 </h3><p><img alt="这是什么鸭" class="gallery-image" data-flex-basis="148px" data-flex-grow="61" height="912" loading="lazy" sizes="(max-width: 767px) calc(100vw - 30px), (max-width: 1023px) 700px, (max-width: 1279px) 950px, 1232px" src="https://pic.ratherhard.com/post/stack-frame-and-overflow/x86-stack-frame.jpg" width="564"></p> <h3 id="64-位栈帧结构">64 位栈帧结构 </h3><p><img alt="这是什么鸭" class="gallery-image" data-flex-basis="148px" data-flex-grow="62" height="908" loading="lazy" sizes="(max-width: 767px) calc(100vw - 30px), (max-width: 1023px) 700px, (max-width: 1279px) 950px, 1232px" src="https://pic.ratherhard.com/post/stack-frame-and-overflow/x86-64-stack-frame.jpg" width="563"></p> <p>64 位下，函数的前 6 个参数会存放在寄存器中，从第一个参数开始依次存入寄存器 <strong>rdi ， rsi ， rdx ， rcx ， r8 ， r9</strong> 中。</p> <p>接下来的讨论默认为 64 位的情形。</p> <hr> <h2 id="栈相关汇编机制">栈相关汇编机制 </h2><h3 id="pop-与-push">pop 与 push </h3><ol> <li> <p><code>push x</code> ：将 x 压入栈中（本质上是覆盖栈中数据），先使 rsp 下移 8 字节，再将内存单元 x （寄存器或内存地址）的值复制入此时 rsp 所指位置，等价于 <code>sub rsp, 0x8; mov [rsp], x</code></p> </li> <li> <p><code>pop x</code> ：弹出栈顶（实际上不会删除原栈顶数据）将栈顶的值，即 rsp 所指位置的值复制入 x （寄存器或内存地址）中，并使 rsp 上移 8 字节，等价于 <code>mov x, [rsp]; add rsp, 0x8</code></p> </li> </ol> <h3 id="call-与-leave-与-ret">call 与 leave 与 ret </h3><ol> <li> <p><code>call x</code> ：本质上是 jump 指令，但会将本语句的下一条语句的地址 push 到栈中，等价于 <code>push (rip + 指令长度); jump x</code></p> </li> <li> <p><code>leave</code> ：清除该函数栈帧（实际上不会处理栈中残余数据），等价于 <code>mov rsp, rbp; pop rbp</code> 执行后</p> </li> <li> <p><code>ret</code> ：函数返回，等价于 <code>pop rip</code></p> </li> </ol> <h3 id="函数序言">函数序言 </h3><p><strong>函数序言 (Function Prologue)</strong> 是函数开始时的一段标准汇编代码，用于建立函数的执行环境，通常包含对栈的操作，例：</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span><span class="lnt">2 </span><span class="lnt">3 </span><span class="lnt">4 </span><span class="lnt">5 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-asm" data-lang="asm"><span class="line"><span class="cl"><span class="c1">; 函数序言 </span></span></span><span class="line"><span class="cl"><span class="nf">push</span> <span class="no">rbp</span> <span class="c1">; 保存调用者的栈基指针 </span></span></span><span class="line"><span class="cl"><span class="nf">mov</span> <span class="no">rbp</span><span class="p">,</span> <span class="no">rsp</span> <span class="c1">; 设置当前函数的栈基指针 </span></span></span><span class="line"><span class="cl"><span class="nf">sub</span> <span class="no">rsp</span><span class="p">,</span> <span class="mi">0x20</span> <span class="c1">; 为局部变量分配栈空间（32字节） </span></span></span><span class="line"><span class="cl"><span class="nf">push</span> <span class="no">rbx</span> <span class="c1">; 保存被调用者保存的寄存器 </span></span></span></code></pre></td></tr></table> </div> </div><h3 id="寄存器使用约定">寄存器使用约定 </h3><p>程序寄存器组是唯一能被所有函数共享的资源。虽然某一时刻只有一个函数在执行，但需保证当某个函数调用其他函数时，被调函数不会修改或覆盖主调函数稍后会使用到的寄存器值。因此， IA32 采用一套统一的寄存器使用约定，所有函数（包括库函数）调用都必须遵守该约定。</p> <p>根据惯例，寄存器 rax 、 rdx 和 rcx 为<strong>主调函数保存寄存器 (caller-saved registers)</strong> ，当函数调用时，若主调函数希望保持这些寄存器的值，则必须在调用前显式地将其保存在栈中；被调函数可以覆盖这些寄存器，而不会破坏主调函数所需的数据。寄存器 rbx 、 rsi 和 rdi <strong>为被调函数保存寄存器 (callee-saved registers)</strong> ，即被调函数在覆盖这些寄存器的值时，必须先将寄存器原值压入栈中保存起来，并在函数返回前从栈中恢复其原值，因为主调函数可能也在使用这些寄存器。此外，被调函数必须保持寄存器 rbp 和 rsp ，并在函数返回后将其恢复到调用前的值，亦即必须恢复主调函数的栈帧。</p> <p>当然，这些工作都由编译器在幕后进行。不过在编写汇编程序时应注意遵守上述惯例。</p> <hr> <h1 id="栈溢出漏洞">栈溢出漏洞 </h1><h2 id="栈溢出介绍">栈溢出介绍 </h2><p><strong>栈溢出</strong>指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数，因而导致与其相邻的栈中的变量的值被改变。这种问题是一种特定的<strong>缓冲区溢出漏洞</strong>，类似的还有堆溢出，bss 段溢出等溢出方式。栈溢出漏洞轻则可以使程序崩溃，重则可以使攻击者控制程序执行流程。此外，我们也不难发现，发生栈溢出的基本前提是：</p> <ol> <li> <p>程序必须向栈上写入数据。</p> </li> <li> <p>写入的数据大小没有被良好地控制。</p> </li> </ol> <h2 id="栈溢出利用思路">栈溢出利用思路 </h2><h3 id="寻找危险函数">寻找危险函数 </h3><p>通过寻找危险函数，我们快速确定程序是否可能有栈溢出，以及有的话，栈溢出的位置在哪里。常见的危险函数如下：</p> <h4 id="输入">输入 </h4> <blockquote> <p>gets : 直接读取一行，忽略&rsquo;\x00' scanf : 用于从标准输入（如键盘）读取数据并存储到指定变量</p> </blockquote> <h4 id="输出">输出 </h4> <blockquote> <p>sprintf : 输出格式化字符串到缓冲区</p> </blockquote> <h4 id="字符串">字符串 </h4> <blockquote> <p>strcpy : 字符串复制，遇到&rsquo;\x00&rsquo;停止 strcat : 字符串拼接，遇到&rsquo;\x00&rsquo;停止 bcopy : 内存拷贝</p> </blockquote> <h3 id="确定填充长度">确定填充长度 </h3><p>这一部分主要是计算我们所要操作的地址与我们所要覆盖的地址的距离。常见的操作方法就是打开 IDA ，根据其给定的地址计算偏移。一般变量会有以下几种索引模式：</p> <ol> <li> <p>相对于栈基地址的的索引，可以直接通过查看与 rbp 的相对偏移获得</p> </li> <li> <p>相对应栈顶指针的索引，一般需要进行调试，之后还是会转换到第一种类型。</p> </li> <li> <p>直接地址索引，就相当于直接给定了地址。</p> </li> </ol> <p>一般来说，我们会有如下的覆盖需求：</p> <ol> <li> <p>覆盖函数返回地址，这时候就是直接看 rbp 即可。</p> </li> <li> <p>覆盖栈上某个变量的内容，这时候就需要更加精细的计算了。</p> </li> <li> <p>覆盖 bss 段某个变量的内容。</p> </li> <li> <p>根据现实执行情况，覆盖特定的变量或地址的内容。</p> </li> </ol> <p>之所以我们想要覆盖某个地址，是因为我们想通过覆盖地址的方法来直接或者间接地控制程序执行流。</p>