Elf on RatherHard の Bloghttps://blog.ratherhard.com/tags/elf/Recent content in Elf on RatherHard の BlogHugo -- gohugo.iozh-CNWed, 22 Apr 2026 20:30:59 +0800plt 和 gothttps://blog.ratherhard.com/post/ctf-pwn/plt-and-got/Mon, 29 Dec 2025 14:29:00 +0000https://blog.ratherhard.com/post/ctf-pwn/plt-and-got/<img src="https://blog.ratherhard.com/" alt="Featured image of post plt 和 got" /><p>在 Linux ELF 文件和动态链接机制中,这四个段(Section)共同协作,实现了<strong>位置无关代码(PIC)<strong>和</strong>延迟绑定(Lazy Binding)</strong>。</p> <p>虽然它们名字很像,但功能和权限有着本质区别。我们可以将其分为两类:<strong>PLT 类(代码/执行)</strong> 和 <strong>GOT 类(数据/读写)</strong>。</p> <hr> <h3 id="1-plt-procedure-linkage-table---过程链接表">1. .plt (Procedure Linkage Table - 过程链接表) </h3><ul> <li><strong>属性</strong>:<strong>代码段</strong>(权限:读取+执行 <code>R-X</code>)。</li> <li><strong>作用</strong>:它包含了一系列小的<strong>可执行代码片段</strong>(Stub)。</li> <li><strong>功能</strong>:当程序调用一个外部函数(如 <code>printf</code>)时,它实际上并不是直接跳到 <code>printf</code> 的地址(因为在编译阶段不知道地址),而是跳到 <code>.plt</code> 段中对应的条目。</li> <li><strong>内容</strong>: <ul> <li>第一项是特殊项,负责调用动态链接器的符号解析函数。</li> <li>后续每一项对应一个外部函数,代码逻辑通常是:<code>jmp *(.got.plt中的对应项)</code>。</li> </ul> </li> </ul> <h3 id="2-got-global-offset-table---全局偏移表">2. .got (Global Offset Table - 全局偏移表) </h3><ul> <li><strong>属性</strong>:<strong>数据段</strong>(权限:读取+写入 <code>RW-</code>)。</li> <li><strong>作用</strong>:用于存储<strong>全局变量</strong>的绝对地址。</li> <li><strong>功能</strong>:程序在引用全局变量时,会先到 <code>.got</code> 中查找该变量的真实地址。</li> <li><strong>为什么需要</strong>:为了实现位置无关代码(PIC),代码段不包含变量的绝对地址,只包含到 <code>.got</code> 的相对偏移。动态链接器在程序启动时会将变量的真实地址填入 <code>.got</code>。</li> </ul> <h3 id="3-gotplt-got-的-plt-部分">3. .got.plt (GOT 的 PLT 部分) </h3><ul> <li><strong>属性</strong>:<strong>数据段</strong>(权限:读取+写入 <code>RW-</code>,但在 Full RELRO 下为 <code>R--</code>)。</li> <li><strong>作用</strong>:它是 <code>.got</code> 的一个子集,专门用于存储<strong>外部函数</strong>的绝对地址。</li> <li><strong>与 <code>.plt</code> 的配合</strong>: <ul> <li>在<strong>延迟绑定</strong>(Lazy Binding)模式下:<code>.got.plt</code> 的初始内容指向 <code>.plt</code> 中的下一条指令(即“跳回 PLT”)。当函数第一次被调用时,动态链接器解析出真实地址并覆盖掉这个值。</li> <li>在<strong>第二次调用</strong>时:<code>.plt</code> 里的 <code>jmp</code> 就会直接跳到 <code>.got.plt</code> 中存储的真实地址,不再进入链接器。</li> </ul> </li> <li><strong>特殊项</strong>:前三项通常预留给动态链接器的私有信息(如 <code>link_map</code> 结构和 <code>_dl_runtime_resolve</code> 函数地址)。</li> </ul> <h3 id="4-pltgot-专门的-plt-跳转表">4. .plt.got (专门的 PLT 跳转表) </h3><ul> <li><strong>属性</strong>:<strong>代码段</strong>(权限:读取+执行 <code>R-X</code>)。</li> <li><strong>作用</strong>:这是一个特殊的 <code>.plt</code> 段,通常用于<strong>非延迟绑定</strong>的情况,或者用于处理某些特定的重定位类型(如通过 <code>R_X86_64_GLOB_DAT</code> 重定位的函数指针)。</li> <li><strong>区别</strong>: <ul> <li>标准的 <code>.plt</code> 条目通常包含三个动作:跳转到 GOT、压栈索引、跳到解析器。</li> <li><code>.plt.got</code> 条目通常<strong>直接跳转</strong>到 <code>.got</code>(而不是 <code>.got.plt</code>)中存储的地址,不包含延迟绑定的逻辑(没有压栈和解析器的跳转)。它通常出现在启用了 <code>-z now</code>(Full RELRO)或编译器优化后的二进制文件中。</li> </ul> </li> </ul> <hr> <h3 id="总结与对比">总结与对比 </h3><table> <thead> <tr> <th style="text-align: left">段名称</th> <th style="text-align: left">类型</th> <th style="text-align: left">权限</th> <th style="text-align: left">存储内容</th> <th style="text-align: left">核心目的</th> </tr> </thead> <tbody> <tr> <td style="text-align: left"><strong>.plt</strong></td> <td style="text-align: left">代码</td> <td style="text-align: left">R-X</td> <td style="text-align: left">跳转代码片段 (Stubs)</td> <td style="text-align: left">函数调用的中转站,触发延迟绑定</td> </tr> <tr> <td style="text-align: left"><strong>.plt.got</strong></td> <td style="text-align: left">代码</td> <td style="text-align: left">R-X</td> <td style="text-align: left">直接跳转代码</td> <td style="text-align: left">跳过延迟绑定逻辑,直接跳转到 GOT 地址</td> </tr> <tr> <td style="text-align: left"><strong>.got</strong></td> <td style="text-align: left">数据</td> <td style="text-align: left">RW-</td> <td style="text-align: left"><strong>全局变量</strong>的绝对地址</td> <td style="text-align: left">变量引用的位置无关化</td> </tr> <tr> <td style="text-align: left"><strong>.got.plt</strong></td> <td style="text-align: left">数据</td> <td style="text-align: left">RW-</td> <td style="text-align: left"><strong>外部函数</strong>的绝对地址</td> <td style="text-align: left">配合 .plt 实现函数的延迟绑定</td> </tr> </tbody> </table> <h3 id="协作流程演示以延迟绑定为例">协作流程演示(以延迟绑定为例): </h3><ol> <li><strong>Call <code>printf@plt</code></strong>:程序跳转到 <code>.plt</code> 中 <code>printf</code> 对应的条目。</li> <li><strong>Jmp to <code>.got.plt</code></strong>:<code>.plt</code> 里的第一条指令跳转到 <code>.got.plt</code> 记录的地址。 <ul> <li><em>第一次调用</em>:<code>.got.plt</code> 填的是 <code>.plt</code> 的下一行。</li> </ul> </li> <li><strong>Resolve</strong>:<code>.plt</code> 剩下的代码调用动态链接器,找到 <code>printf</code> 的真实地址。</li> <li><strong>Update</strong>:动态链接器将 <code>printf</code> 的真实地址写回 <code>.got.plt</code>。</li> <li><strong>Subsequent Calls</strong>:下次再调 <code>printf@plt</code> 时,第 2 步的 <code>Jmp</code> 会直接跳到 <code>printf</code> 的真实地址。</li> </ol> <h3 id="为什么现在的安全保护relro会影响这些段">为什么现在的安全保护(RELRO)会影响这些段? </h3><ul> <li><strong>Partial RELRO</strong>:<code>.got.plt</code> 是可写的。攻击者可以利用堆栈溢出覆盖 <code>.got.plt</code> 的条目,将 <code>printf</code> 改为 <code>system</code>,从而实现 <strong>GOT Hijacking</strong>。</li> <li><strong>Full RELRO</strong>:动态链接器在程序启动时就把所有函数解析完毕,并将 <code>.got.plt</code> 设为<strong>只读</strong>。此时,<code>.plt.got</code> 的作用就会变得更明显,因为不再需要延迟绑定逻辑了。</li> </ul>