ELF - Grundlegende Informationen

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Programm-Header

Sie beschreiben dem Loader, wie das ELF in den Speicher geladen wird:

readelf -lW lnstat

Elf file type is DYN (Position-Independent Executable file)
Entry point 0x1c00
There are 9 program headers, starting at offset 64

Program Headers:
Type           Offset   VirtAddr           PhysAddr           FileSiz  MemSiz   Flg Align
PHDR           0x000040 0x0000000000000040 0x0000000000000040 0x0001f8 0x0001f8 R   0x8
INTERP         0x000238 0x0000000000000238 0x0000000000000238 0x00001b 0x00001b R   0x1
[Requesting program interpreter: /lib/ld-linux-aarch64.so.1]
LOAD           0x000000 0x0000000000000000 0x0000000000000000 0x003f7c 0x003f7c R E 0x10000
LOAD           0x00fc48 0x000000000001fc48 0x000000000001fc48 0x000528 0x001190 RW  0x10000
DYNAMIC        0x00fc58 0x000000000001fc58 0x000000000001fc58 0x000200 0x000200 RW  0x8
NOTE           0x000254 0x0000000000000254 0x0000000000000254 0x0000e0 0x0000e0 R   0x4
GNU_EH_FRAME   0x003610 0x0000000000003610 0x0000000000003610 0x0001b4 0x0001b4 R   0x4
GNU_STACK      0x000000 0x0000000000000000 0x0000000000000000 0x000000 0x000000 RW  0x10
GNU_RELRO      0x00fc48 0x000000000001fc48 0x000000000001fc48 0x0003b8 0x0003b8 R   0x1

Section to Segment mapping:
Segment Sections...
00
01     .interp
02     .interp .note.gnu.build-id .note.ABI-tag .note.package .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
03     .init_array .fini_array .dynamic .got .data .bss
04     .dynamic
05     .note.gnu.build-id .note.ABI-tag .note.package
06     .eh_frame_hdr
07
08     .init_array .fini_array .dynamic .got

Das vorherige Programm hat 9 program headers, danach zeigt die segment mapping, in welchem Program Header (von 00 bis 08) jede Section liegt.

PHDR - Program HeaDeR

Enthält die Program-Header-Tabellen und die Metadaten selbst.

INTERP

Gibt den Pfad des Loaders an, der verwendet wird, um das Binary in den Speicher zu laden.

Tipp: Statisch gelinkte oder static-PIE binaries haben keinen INTERP-Eintrag. In diesen Fällen ist kein dynamic loader beteiligt, was Techniken, die davon abhängen (z. B. ret2dlresolve), ausschließt.

LOAD

Diese Header werden verwendet, um anzugeben, wie ein Binary in den Speicher geladen werden soll.
Jeder LOAD-Header gibt einen Bereich des Speichers (Größe, Berechtigungen und Alignment) an und zeigt die Bytes des ELF-Binaries, die dort hineinkopiert werden.

Zum Beispiel hat der zweite eine Größe von 0x1190, sollte bei 0x1fc48 liegen mit Lese- und Schreibberechtigungen und wird mit 0x528 ab Offset 0xfc48 gefüllt (es füllt nicht den gesamten reservierten Platz). Dieser Speicher wird die Sections .init_array .fini_array .dynamic .got .data .bss enthalten.

DYNAMIC

Dieser Header hilft, Programme mit ihren Library-Abhängigkeiten zu verknüpfen und Relocations anzuwenden. Siehe die .dynamic-Section.

NOTE

Speichert Vendor-Metadaten zum Binary.

• Auf x86-64 zeigt readelf -n GNU_PROPERTY_X86_FEATURE_1_*-Flags innerhalb von .note.gnu.property. Wenn Sie IBT und/oder SHSTK sehen, wurde das Binary mit CET (Indirect Branch Tracking und/oder Shadow Stack) gebaut. Das beeinflusst ROP/JOP, weil indirekte Branch-Ziele mit einer ENDBR64-Instruktion beginnen müssen und Returns gegen einen Shadow Stack geprüft werden. Siehe die CET-Seite für Details und Bypass-Hinweise.

CET & Shadow Stack

GNU_EH_FRAME

Definiert die Position der Stack-Unwind-Tabellen, die von Debuggern und C++-Exception-Handling-Runtime-Funktionen verwendet werden.

GNU_STACK

Enthält die Konfiguration der Schutzmaßnahme gegen Ausführung auf dem Stack. Wenn aktiviert, kann das Binary keinen Code vom Stack ausführen.

• Prüfen mit readelf -l ./bin | grep GNU_STACK. Um es während Tests zwangsweise zu toggeln, können Sie execstack -s|-c ./bin verwenden.

GNU_RELRO

Gibt die RELRO (Relocation Read-Only)-Konfiguration des Binaries an. Dieser Schutz markiert bestimmte Speicherbereiche (wie das GOT oder die init- und fini-Tabellen) nach dem Laden des Programms und vor dessen Ausführung als read-only.

Im vorherigen Beispiel werden 0x3b8 Bytes nach 0x1fc48 als read-only kopiert und betreffen die Sections .init_array .fini_array .dynamic .got .data .bss.

Beachten Sie, dass RELRO partial oder full sein kann; die partielle Version schützt die Section .plt.got nicht, die für lazy binding verwendet wird und diesen Speicherbereich mit write permissions benötigt, um beim ersten Aufruf die Adressen der Libraries zu schreiben.

Für Exploitation-Techniken und aktuelle Bypass-Hinweise siehe die dedizierte Seite:

Relro

TLS

Definiert eine Tabelle von TLS-Einträgen, die Informationen über thread-local Variablen speichert.

Section Headers

Section Headers geben eine detailliertere Ansicht des ELF-Binaries.

objdump lnstat -h

lnstat:     file format elf64-littleaarch64

Sections:
Idx Name          Size      VMA               LMA               File off  Algn
0 .interp       0000001b  0000000000000238  0000000000000238  00000238  2**0
CONTENTS, ALLOC, LOAD, READONLY, DATA
1 .note.gnu.build-id 00000024  0000000000000254  0000000000000254  00000254  2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
2 .note.ABI-tag 00000020  0000000000000278  0000000000000278  00000278  2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
3 .note.package 0000009c  0000000000000298  0000000000000298  00000298  2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
4 .gnu.hash     0000001c  0000000000000338  0000000000000338  00000338  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
5 .dynsym       00000498  0000000000000358  0000000000000358  00000358  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
6 .dynstr       000001fe  00000000000007f0  00000000000007f0  000007f0  2**0
CONTENTS, ALLOC, LOAD, READONLY, DATA
7 .gnu.version  00000062  00000000000009ee  00000000000009ee  000009ee  2**1
CONTENTS, ALLOC, LOAD, READONLY, DATA
8 .gnu.version_r 00000050  0000000000000a50  0000000000000a50  00000a50  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
9 .rela.dyn     00000228  0000000000000aa0  0000000000000aa0  00000aa0  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
10 .rela.plt     000003c0  0000000000000cc8  0000000000000cc8  00000cc8  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
11 .init         00000018  0000000000001088  0000000000001088  00001088  2**2
CONTENTS, ALLOC, LOAD, READONLY, CODE
12 .plt          000002a0  00000000000010a0  00000000000010a0  000010a0  2**4
CONTENTS, ALLOC, LOAD, READONLY, CODE
13 .text         00001c34  0000000000001340  0000000000001340  00001340  2**6
CONTENTS, ALLOC, LOAD, READONLY, CODE
14 .fini         00000014  0000000000002f74  0000000000002f74  00002f74  2**2
CONTENTS, ALLOC, LOAD, READONLY, CODE
15 .rodata       00000686  0000000000002f88  0000000000002f88  00002f88  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
16 .eh_frame_hdr 000001b4  0000000000003610  0000000000003610  00003610  2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
17 .eh_frame     000007b4  00000000000037c8  00000000000037c8  000037c8  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
18 .init_array   00000008  000000000001fc48  000000000001fc48  0000fc48  2**3
CONTENTS, ALLOC, LOAD, DATA
19 .fini_array   00000008  000000000001fc50  000000000001fc50  0000fc50  2**3
CONTENTS, ALLOC, LOAD, DATA
20 .dynamic      00000200  000000000001fc58  000000000001fc58  0000fc58  2**3
CONTENTS, ALLOC, LOAD, DATA
21 .got          000001a8  000000000001fe58  000000000001fe58  0000fe58  2**3
CONTENTS, ALLOC, LOAD, DATA
22 .data         00000170  0000000000020000  0000000000020000  00010000  2**3
CONTENTS, ALLOC, LOAD, DATA
23 .bss          00000c68  0000000000020170  0000000000020170  00010170  2**3
ALLOC
24 .gnu_debugaltlink 00000049  0000000000000000  0000000000000000  00010170  2**0
CONTENTS, READONLY
25 .gnu_debuglink 00000034  0000000000000000  0000000000000000  000101bc  2**2
CONTENTS, READONLY

Es gibt außerdem die Lage, den Offset, die Berechtigungen sowie den Datentyp, den der Abschnitt enthält.

Meta-Abschnitte

• String table: Sie enthält alle Strings, die von der ELF-Datei benötigt werden (aber nicht die, die tatsächlich vom Programm verwendet werden). Zum Beispiel enthält sie Abschnittsnamen wie .text oder .data. Wenn .text im String table-Offset 45 steht, wird die Zahl 45 im name-Feld verwendet.
• Um zu finden, wo sich die String table befindet, enthält die ELF einen Zeiger auf die String table.
• Symbol table: Sie enthält Informationen über Symbole, wie den Namen (Offset in der String table), Adresse, Größe und weitere Metadaten zum Symbol.

Hauptabschnitte

• .text: Der ausführbare Code des Programms.
• .data: Globale Variablen mit einem definierten Wert im Programm.
• .bss: Globale Variablen, die uninitialisiert bleiben (oder auf null gesetzt werden). Variablen in diesem Abschnitt werden automatisch auf null initialisiert, wodurch unnötige Nullen vermieden werden, die sonst in die Binärdatei aufgenommen würden.
• .rodata: Konstante globale Variablen (schreibgeschützter Abschnitt).
• .tdata und .tbss: Wie .data und .bss, aber für thread-lokale Variablen (__thread_local in C++ oder __thread in C).
• .dynamic: Siehe unten.

Symbole

Symbole sind benannte Orte im Programm, die eine Funktion, ein globales Datenobjekt, thread-lokale Variablen usw. sein können.

readelf -s lnstat

Symbol table '.dynsym' contains 49 entries:
Num:    Value          Size Type    Bind   Vis      Ndx Name
0: 0000000000000000     0 NOTYPE  LOCAL  DEFAULT  UND
1: 0000000000001088     0 SECTION LOCAL  DEFAULT   12 .init
2: 0000000000020000     0 SECTION LOCAL  DEFAULT   23 .data
3: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND strtok@GLIBC_2.17 (2)
4: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND s[...]@GLIBC_2.17 (2)
5: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND strlen@GLIBC_2.17 (2)
6: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND fputs@GLIBC_2.17 (2)
7: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND exit@GLIBC_2.17 (2)
8: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND _[...]@GLIBC_2.34 (3)
9: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND perror@GLIBC_2.17 (2)
10: 0000000000000000     0 NOTYPE  WEAK   DEFAULT  UND _ITM_deregisterT[...]
11: 0000000000000000     0 FUNC    WEAK   DEFAULT  UND _[...]@GLIBC_2.17 (2)
12: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND putc@GLIBC_2.17 (2)
[...]

Jeder Symbol-Eintrag enthält:

• Name
• Binding attributes (weak, local or global): Ein lokales Symbol kann nur vom Programm selbst angesprochen werden, während globale Symbole außerhalb des Programms geteilt werden. Ein weak object ist zum Beispiel eine Funktion, die von einer anderen überschrieben werden kann.
• Type: NOTYPE (kein Typ angegeben), OBJECT (globale Datenvariable), FUNC (Funktion), SECTION (Section), FILE (Quellcodedatei für Debugger), TLS (thread-lokale Variable), GNU_IFUNC (indirekte Funktion für Relokation)
• Section Index, in dem es sich befindet
• Value (Adresse im Speicher)
• Size

GNU IFUNC (indirekte Funktionen)

• GCC kann STT_GNU_IFUNC-Symbole mit der Erweiterung __attribute__((ifunc("resolver"))) erzeugen. Der dynamische Loader ruft den Resolver zur Ladezeit auf, um die konkrete Implementierung auszuwählen (häufig CPU-Dispatch).
• Schnelle Triage: readelf -sW ./bin | rg -i "IFUNC"

GNU Symbol Versioning (dynsym/dynstr/gnu.version)

Moderne glibc verwendet Symbolversionen. Sie werden Einträge in .gnu.version und .gnu.version_r sowie Symbolnamen wie strlen@GLIBC_2.17 sehen. Der dynamische Linker kann beim Auflösen eines Symbols eine bestimmte Version verlangen. Beim Erstellen manueller Relokationen (z. B. ret2dlresolve) müssen Sie den korrekten Versionsindex angeben, sonst schlägt die Auflösung fehl.

Dynamische Section

readelf -d lnstat

Dynamic section at offset 0xfc58 contains 28 entries:
Tag        Type                         Name/Value
0x0000000000000001 (NEEDED)             Shared library: [libc.so.6]
0x0000000000000001 (NEEDED)             Shared library: [ld-linux-aarch64.so.1]
0x000000000000000c (INIT)               0x1088
0x000000000000000d (FINI)               0x2f74
0x0000000000000019 (INIT_ARRAY)         0x1fc48
0x000000000000001b (INIT_ARRAYSZ)       8 (bytes)
0x000000000000001a (FINI_ARRAY)         0x1fc50
0x000000000000001c (FINI_ARRAYSZ)       8 (bytes)
0x000000006ffffef5 (GNU_HASH)           0x338
0x0000000000000005 (STRTAB)             0x7f0
0x0000000000000006 (SYMTAB)             0x358
0x000000000000000a (STRSZ)              510 (bytes)
0x000000000000000b (SYMENT)             24 (bytes)
0x0000000000000015 (DEBUG)              0x0
0x0000000000000003 (PLTGOT)             0x1fe58
0x0000000000000002 (PLTRELSZ)           960 (bytes)
0x0000000000000014 (PLTREL)             RELA
0x0000000000000017 (JMPREL)             0xcc8
0x0000000000000007 (RELA)               0xaa0
0x0000000000000008 (RELASZ)             552 (bytes)
0x0000000000000009 (RELAENT)            24 (bytes)
0x000000000000001e (FLAGS)              BIND_NOW
0x000000006ffffffb (FLAGS_1)            Flags: NOW PIE
0x000000006ffffffe (VERNEED)            0xa50
0x000000006fffffff (VERNEEDNUM)         2
0x000000006ffffff0 (VERSYM)             0x9ee
0x000000006ffffff9 (RELACOUNT)          15
0x0000000000000000 (NULL)               0x0

Das NEEDED-Verzeichnis zeigt an, dass das Programm die erwähnte Library laden muss, um fortzufahren. Das NEEDED-Verzeichnis ist abgeschlossen, sobald die shared library vollständig betriebsbereit und einsatzbereit ist.

Dynamische Loader-Suchreihenfolge (RPATH/RUNPATH, $ORIGIN)

Die Einträge DT_RPATH (veraltet) und/oder DT_RUNPATH beeinflussen, wo der dynamic loader nach Abhängigkeiten sucht. Grobe Reihenfolge:

• LD_LIBRARY_PATH (wird bei setuid/sgid oder anderen “secure-execution”-Programmen ignoriert)
• DT_RPATH (nur wenn DT_RUNPATH fehlt)
• DT_RUNPATH
• ld.so.cache
• Standardverzeichnisse wie /lib64, /usr/lib64, etc.

$ORIGIN kann innerhalb von RPATH/RUNPATH verwendet werden, um auf das Verzeichnis des Hauptobjekts zu verweisen. Aus Angreifer-Perspektive ist das relevant, wenn du das Filesystem-Layout oder die Umgebung kontrollierst. Bei gehärteten Binaries (AT_SECURE) werden die meisten Environment-Variablen vom Loader ignoriert.

• Inspect with: readelf -d ./bin | egrep -i 'r(path|unpath)'
• Schnelltest: LD_DEBUG=libs ./bin 2>&1 | grep -i find (zeigt Entscheidungen bei der Pfadsuche)

Priv-esc tip: Bevorzuge das Ausnutzen von beschreibbaren RUNPATHs oder fehlkonfigurierten $ORIGIN-relativen Pfaden, die dir gehören. LD_PRELOAD/LD_AUDIT werden in secure-execution (setuid)-Kontexten ignoriert.

Relokationen

Der Loader muss Abhängigkeiten nach dem Laden auch relocaten. Diese Relocations sind in der Relocation-Tabelle in den Formaten REL oder RELA angegeben, und die Anzahl der Relocations steht in den dynamischen Sektionen RELSZ oder RELASZ.

readelf -r lnstat

Relocation section '.rela.dyn' at offset 0xaa0 contains 23 entries:
Offset          Info           Type           Sym. Value    Sym. Name + Addend
00000001fc48  000000000403 R_AARCH64_RELATIV                    1d10
00000001fc50  000000000403 R_AARCH64_RELATIV                    1cc0
00000001fff0  000000000403 R_AARCH64_RELATIV                    1340
000000020008  000000000403 R_AARCH64_RELATIV                    20008
000000020010  000000000403 R_AARCH64_RELATIV                    3330
000000020030  000000000403 R_AARCH64_RELATIV                    3338
000000020050  000000000403 R_AARCH64_RELATIV                    3340
000000020070  000000000403 R_AARCH64_RELATIV                    3348
000000020090  000000000403 R_AARCH64_RELATIV                    3350
0000000200b0  000000000403 R_AARCH64_RELATIV                    3358
0000000200d0  000000000403 R_AARCH64_RELATIV                    3360
0000000200f0  000000000403 R_AARCH64_RELATIV                    3370
000000020110  000000000403 R_AARCH64_RELATIV                    3378
000000020130  000000000403 R_AARCH64_RELATIV                    3380
000000020150  000000000403 R_AARCH64_RELATIV                    3388
00000001ffb8  000a00000401 R_AARCH64_GLOB_DA 0000000000000000 _ITM_deregisterTM[...] + 0
00000001ffc0  000b00000401 R_AARCH64_GLOB_DA 0000000000000000 __cxa_finalize@GLIBC_2.17 + 0
00000001ffc8  000f00000401 R_AARCH64_GLOB_DA 0000000000000000 stderr@GLIBC_2.17 + 0
00000001ffd0  001000000401 R_AARCH64_GLOB_DA 0000000000000000 optarg@GLIBC_2.17 + 0
00000001ffd8  001400000401 R_AARCH64_GLOB_DA 0000000000000000 stdout@GLIBC_2.17 + 0
00000001ffe0  001e00000401 R_AARCH64_GLOB_DA 0000000000000000 __gmon_start__ + 0
00000001ffe8  001f00000401 R_AARCH64_GLOB_DA 0000000000000000 __stack_chk_guard@GLIBC_2.17 + 0
00000001fff8  002e00000401 R_AARCH64_GLOB_DA 0000000000000000 _ITM_registerTMCl[...] + 0

Relocation section '.rela.plt' at offset 0xcc8 contains 40 entries:
Offset          Info           Type           Sym. Value    Sym. Name + Addend
00000001fe70  000300000402 R_AARCH64_JUMP_SL 0000000000000000 strtok@GLIBC_2.17 + 0
00000001fe78  000400000402 R_AARCH64_JUMP_SL 0000000000000000 strtoul@GLIBC_2.17 + 0
00000001fe80  000500000402 R_AARCH64_JUMP_SL 0000000000000000 strlen@GLIBC_2.17 + 0
00000001fe88  000600000402 R_AARCH64_JUMP_SL 0000000000000000 fputs@GLIBC_2.17 + 0
00000001fe90  000700000402 R_AARCH64_JUMP_SL 0000000000000000 exit@GLIBC_2.17 + 0
00000001fe98  000800000402 R_AARCH64_JUMP_SL 0000000000000000 __libc_start_main@GLIBC_2.34 + 0
00000001fea0  000900000402 R_AARCH64_JUMP_SL 0000000000000000 perror@GLIBC_2.17 + 0
00000001fea8  000b00000402 R_AARCH64_JUMP_SL 0000000000000000 __cxa_finalize@GLIBC_2.17 + 0
00000001feb0  000c00000402 R_AARCH64_JUMP_SL 0000000000000000 putc@GLIBC_2.17 + 0
00000001fec0  000e00000402 R_AARCH64_JUMP_SL 0000000000000000 fputc@GLIBC_2.17 + 0
00000001fec8  001100000402 R_AARCH64_JUMP_SL 0000000000000000 snprintf@GLIBC_2.17 + 0
00000001fed0  001200000402 R_AARCH64_JUMP_SL 0000000000000000 __snprintf_chk@GLIBC_2.17 + 0
00000001fed8  001300000402 R_AARCH64_JUMP_SL 0000000000000000 malloc@GLIBC_2.17 + 0
00000001fee0  001500000402 R_AARCH64_JUMP_SL 0000000000000000 gettimeofday@GLIBC_2.17 + 0
00000001fee8  001600000402 R_AARCH64_JUMP_SL 0000000000000000 sleep@GLIBC_2.17 + 0
00000001fef0  001700000402 R_AARCH64_JUMP_SL 0000000000000000 __vfprintf_chk@GLIBC_2.17 + 0
00000001fef8  001800000402 R_AARCH64_JUMP_SL 0000000000000000 calloc@GLIBC_2.17 + 0
00000001ff00  001900000402 R_AARCH64_JUMP_SL 0000000000000000 rewind@GLIBC_2.17 + 0
00000001ff08  001a00000402 R_AARCH64_JUMP_SL 0000000000000000 strdup@GLIBC_2.17 + 0
00000001ff10  001b00000402 R_AARCH64_JUMP_SL 0000000000000000 closedir@GLIBC_2.17 + 0
00000001ff18  001c00000402 R_AARCH64_JUMP_SL 0000000000000000 __stack_chk_fail@GLIBC_2.17 + 0
00000001ff20  001d00000402 R_AARCH64_JUMP_SL 0000000000000000 strrchr@GLIBC_2.17 + 0
00000001ff28  001e00000402 R_AARCH64_JUMP_SL 0000000000000000 __gmon_start__ + 0
00000001ff30  002000000402 R_AARCH64_JUMP_SL 0000000000000000 abort@GLIBC_2.17 + 0
00000001ff38  002100000402 R_AARCH64_JUMP_SL 0000000000000000 feof@GLIBC_2.17 + 0
00000001ff40  002200000402 R_AARCH64_JUMP_SL 0000000000000000 getopt_long@GLIBC_2.17 + 0
00000001ff48  002300000402 R_AARCH64_JUMP_SL 0000000000000000 __fprintf_chk@GLIBC_2.17 + 0
00000001ff50  002400000402 R_AARCH64_JUMP_SL 0000000000000000 strcmp@GLIBC_2.17 + 0
00000001ff58  002500000402 R_AARCH64_JUMP_SL 0000000000000000 free@GLIBC_2.17 + 0
00000001ff60  002600000402 R_AARCH64_JUMP_SL 0000000000000000 readdir64@GLIBC_2.17 + 0
00000001ff68  002700000402 R_AARCH64_JUMP_SL 0000000000000000 strndup@GLIBC_2.17 + 0
00000001ff70  002800000402 R_AARCH64_JUMP_SL 0000000000000000 strchr@GLIBC_2.17 + 0
00000001ff78  002900000402 R_AARCH64_JUMP_SL 0000000000000000 fwrite@GLIBC_2.17 + 0
00000001ff80  002a00000402 R_AARCH64_JUMP_SL 0000000000000000 fflush@GLIBC_2.17 + 0
00000001ff88  002b00000402 R_AARCH64_JUMP_SL 0000000000000000 fopen64@GLIBC_2.17 + 0
00000001ff90  002c00000402 R_AARCH64_JUMP_SL 0000000000000000 __isoc99_sscanf@GLIBC_2.17 + 0
00000001ff98  002d00000402 R_AARCH64_JUMP_SL 0000000000000000 strncpy@GLIBC_2.17 + 0
00000001ffa0  002f00000402 R_AARCH64_JUMP_SL 0000000000000000 __assert_fail@GLIBC_2.17 + 0
00000001ffa8  003000000402 R_AARCH64_JUMP_SL 0000000000000000 fgets@GLIBC_2.17 + 0

Packed relative relocations (RELR)

• Moderne Linker können kompakte relative Relocations mit -z pack-relative-relocs erzeugen. Das fügt DT_RELR, DT_RELRSZ und DT_RELRENT Einträge in den dynamic section für PIEs/shared libraries hinzu (wird für non-PIE executables ignoriert).
• Recon: readelf -d ./bin | egrep -i "DT_RELR|RELRSZ|RELRENT"

Static Relocations

Wenn das Programm an einer anderen Adresse geladen wird als der bevorzugte Ort (normalerweise 0x400000), weil die Adresse bereits belegt ist oder wegen ASLR oder aus einem anderen Grund, korrigiert eine statische Relocation Pointer, die Werte erwarteten, als wäre das Binary am bevorzugten Ort geladen.

Zum Beispiel sollte jeder Abschnitt des Typs R_AARCH64_RELATIV die Adresse an der Relocation-Basis plus dem Addend-Wert geändert haben.

Dynamic Relocations and GOT

Die Relocation kann auch auf ein externes Symbol verweisen (wie eine Funktion aus einer Abhängigkeit). Zum Beispiel die Funktion malloc aus libC. Wenn der Loader libC an einer Adresse lädt, prüft er, wo die malloc-Funktion geladen wurde, und schreibt diese Adresse in die GOT (Global Offset Table) (angegeben in der Relocation-Tabelle), wo die Adresse von malloc stehen soll.

Procedure Linkage Table

Die PLT-Section erlaubt lazy binding, was bedeutet, dass die Auflösung der Adresse einer Funktion beim ersten Zugriff vorgenommen wird.

Wenn ein Programm also malloc aufruft, ruft es tatsächlich die entsprechende Stelle von malloc in der PLT (malloc@plt) auf. Beim ersten Aufruf wird die Adresse von malloc aufgelöst und gespeichert, sodass bei nächsten Aufrufen die aufgelöste Adresse statt des PLT-Codes verwendet wird.

Modern linking behaviors that impact exploitation

• -z now (Full RELRO) deaktiviert lazy binding; PLT-Einträge existieren weiterhin, aber GOT/PLT wird read-only gemappt, sodass Techniken wie GOT overwrite und ret2dlresolve gegen das Haupt-Binary nicht funktionieren (Libraries können teilweise immer noch RELRO haben). Siehe:

Relro

• -fno-plt veranlasst den Compiler, externe Funktionen direkt über den GOT entry aufzurufen, anstatt über den PLT-Stub. Du wirst Call-Sequenzen wie mov reg, [got]; call reg anstelle von call func@plt sehen. Das reduziert spekulative-execution Abuse und verändert leicht die Suche nach ROP-Gadgets rund um PLT-Stubs.

• PIE vs static-PIE: PIE (ET_DYN mit INTERP) benötigt den dynamic loader und unterstützt die übliche PLT/GOT-Mechanik. Static-PIE (ET_DYN ohne INTERP) hat Relocations, die vom Kernel-Loader angewendet werden, und kein ld.so; erwarte keine PLT-Auflösung zur Laufzeit.

If GOT/PLT is not an option, pivot to other writeable code-pointers or use classic ROP/SROP into libc.

WWW2Exec - GOT/PLT

Program Initialization

After the program has been loaded it’s time for it to run. However, the first code that is run ist nicht immer die main Funktion. Das liegt daran, dass zum Beispiel in C++ wenn eine globale Variable ein Objekt einer Klasse ist, dieses Objekt vor dem Start von main initialisiert werden muss, wie in:

#include <stdio.h>
// g++ autoinit.cpp -o autoinit
class AutoInit {
public:
AutoInit() {
printf("Hello AutoInit!\n");
}
~AutoInit() {
printf("Goodbye AutoInit!\n");
}
};

AutoInit autoInit;

int main() {
printf("Main\n");
return 0;
}

Beachte, dass diese globalen Variablen in .data oder .bss liegen, aber in den Listen __CTOR_LIST__ und __DTOR_LIST__ die zu initialisierenden bzw. zu zerstörenden Objekte gespeichert werden, um sie nachverfolgen zu können.

Aus C-Code ist es möglich, dasselbe Ergebnis mithilfe der GNU extensions zu erzielen:

__attribute__((constructor)) //Add a constructor to execute before
__attribute__((destructor)) //Add to the destructor list

Aus Sicht des Compilers ist es möglich, um diese Aktionen vor und nach der Ausführung der main Funktion auszuführen, eine init Funktion und eine fini Funktion zu erstellen, die im dynamic section als INIT und FINI referenziert werden und in die init bzw. fini Sections des ELF abgelegt werden.

Die andere Option, wie bereits erwähnt, ist, die Listen __CTOR_LIST__ und __DTOR_LIST__ in den INIT_ARRAY und FINI_ARRAY Einträgen im dynamic section zu referenzieren; die Längen dieser Listen werden durch INIT_ARRAYSZ und FINI_ARRAYSZ angegeben. Jeder Eintrag ist ein Funktionspointer, der ohne Argumente aufgerufen wird.

Außerdem ist es möglich, ein PREINIT_ARRAY mit Pointers zu haben, die vor den INIT_ARRAY Pointern ausgeführt werden.

Hinweis zur Ausnutzung

• Unter Partial RELRO liegen diese Arrays in Seiten, die vor dem Umschalten von PT_GNU_RELRO durch ld.so auf read-only noch writable sind. Wenn du früh genug einen arbitrary write erreichst oder gezielt auf die writable arrays einer Library abzielen kannst, kannst du die Kontrolle über den Ablauf übernehmen, indem du einen Eintrag mit einer Funktion deiner Wahl überschreibst. Unter Full RELRO sind sie zur Laufzeit read-only.

• Für lazy binding abuse des dynamic linker, um beliebige Symbole zur Laufzeit aufzulösen, siehe die dedizierte Seite:

Ret2dlresolve

Initialisierungsreihenfolge

1. Das Programm wird in den Speicher geladen, statische globale Variablen werden in .data initialisiert und uninitialisierte in .bss auf null gesetzt.
2. Alle Dependencies des Programms oder der Libraries werden initialisiert und das dynamic linking wird ausgeführt.
3. PREINIT_ARRAY Funktionen werden ausgeführt.
4. INIT_ARRAY Funktionen werden ausgeführt.
5. Falls ein INIT Eintrag vorhanden ist, wird er aufgerufen.
6. Bei einer Library endet dlopen hier; bei einem Programm ist es Zeit, den real entry point (main Funktion) aufzurufen.

Thread-Local Storage (TLS)

Sie werden mit dem Keyword __thread_local in C++ oder der GNU-Erweiterung __thread definiert.

Jeder Thread hat einen eigenen Speicherbereich für diese Variable, sodass nur der jeweilige Thread auf seine Variable zugreifen kann.

Wenn dies verwendet wird, werden in der ELF die Sections .tdata und .tbss benutzt. Diese entsprechen .data (initialisiert) bzw. .bss (nicht initialisiert), aber für TLS.

Jede Variable hat einen Eintrag im TLS-Header, der die Größe und den TLS-Offset angibt, also den Offset, der im thread-local data area des Threads verwendet wird.

Das Symbol __TLS_MODULE_BASE wird verwendet, um auf die Basisadresse des thread-local storage zu verweisen und zeigt auf den Speicherbereich, der alle thread-local Daten eines Moduls enthält.

Auxiliary Vector (auxv) and vDSO

Der Linux-Kernel übergibt Prozessen einen auxiliary vector mit nützlichen Adressen und Flags für die Laufzeit:

• AT_RANDOM: zeigt auf 16 zufällige Bytes, die von glibc für den stack canary und andere PRNG-Seeds verwendet werden.
• AT_SYSINFO_EHDR: Basisadresse des vDSO-Mappings (nützlich, um __kernel_* syscalls und Gadgets zu finden).
• AT_EXECFN, AT_BASE, AT_PAGESZ, etc.

Als Angreifer, wenn du Speicher oder Dateien unter /proc lesen kannst, kannst du diese oft leak ohne einen infoleak im Zielprozess:

# Show the auxv of a running process
cat /proc/$(pidof target)/auxv | xxd

# From your own process (helper snippet)
#include <sys/auxv.h>
#include <stdio.h>
int main(){
printf("AT_RANDOM=%p\n", (void*)getauxval(AT_RANDOM));
printf("AT_SYSINFO_EHDR=%p\n", (void*)getauxval(AT_SYSINFO_EHDR));
}

Leaking AT_RANDOM gibt dir den canary-Wert, wenn du diesen Pointer dereferenzieren kannst; AT_SYSINFO_EHDR gibt dir eine vDSO-Basis, um dort nach gadgets zu suchen oder direkt schnelle syscalls aufzurufen.

Referenzen

• GCC Allgemeine Funktionsattribute (ifunc / STT_GNU_IFUNC): https://gcc.gnu.org/onlinedocs/gcc-14.3.0/gcc/Common-Function-Attributes.html
• GNU ld -z pack-relative-relocs / DT_RELR Dokumentation: https://sourceware.org/binutils/docs/ld.html
• ld.so(8) – Suchreihenfolge des Dynamic Loader, RPATH/RUNPATH, Regeln zur sicheren Ausführung (AT_SECURE): https://man7.org/linux/man-pages/man8/ld.so.8.html
• getauxval(3) – Auxiliary vector und AT_* Konstanten: https://man7.org/linux/man-pages/man3/getauxval.3.html

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.