Información básica de ELF

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Encabezados de programa

Describen al loader cómo cargar el ELF en memoria:

readelf -lW lnstat

Elf file type is DYN (Position-Independent Executable file)
Entry point 0x1c00
There are 9 program headers, starting at offset 64

Program Headers:
Type           Offset   VirtAddr           PhysAddr           FileSiz  MemSiz   Flg Align
PHDR           0x000040 0x0000000000000040 0x0000000000000040 0x0001f8 0x0001f8 R   0x8
INTERP         0x000238 0x0000000000000238 0x0000000000000238 0x00001b 0x00001b R   0x1
[Requesting program interpreter: /lib/ld-linux-aarch64.so.1]
LOAD           0x000000 0x0000000000000000 0x0000000000000000 0x003f7c 0x003f7c R E 0x10000
LOAD           0x00fc48 0x000000000001fc48 0x000000000001fc48 0x000528 0x001190 RW  0x10000
DYNAMIC        0x00fc58 0x000000000001fc58 0x000000000001fc58 0x000200 0x000200 RW  0x8
NOTE           0x000254 0x0000000000000254 0x0000000000000254 0x0000e0 0x0000e0 R   0x4
GNU_EH_FRAME   0x003610 0x0000000000003610 0x0000000000003610 0x0001b4 0x0001b4 R   0x4
GNU_STACK      0x000000 0x0000000000000000 0x0000000000000000 0x000000 0x000000 RW  0x10
GNU_RELRO      0x00fc48 0x000000000001fc48 0x000000000001fc48 0x0003b8 0x0003b8 R   0x1

Section to Segment mapping:
Segment Sections...
00
01     .interp
02     .interp .note.gnu.build-id .note.ABI-tag .note.package .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
03     .init_array .fini_array .dynamic .got .data .bss
04     .dynamic
05     .note.gnu.build-id .note.ABI-tag .note.package
06     .eh_frame_hdr
07
08     .init_array .fini_array .dynamic .got

El programa anterior tiene 9 program headers, entonces, el segment mapping indica en qué program header (del 00 al 08) se encuentra cada sección.

PHDR - Program HeaDeR

Contiene las tablas de program headers y los metadatos.

INTERP

Indica la ruta del loader que se usará para cargar el binary en memoria.

Consejo: Los binarios statically linked o static-PIE no tendrán una entrada INTERP. En esos casos no hay dynamic loader involucrado, lo que deshabilita técnicas que dependen de él (p. ej., ret2dlresolve).

LOAD

Estos headers se usan para indicar cómo cargar un binary en memoria.
Cada LOAD header indica una región de memory (tamaño, permisos y alineamiento) e indica los bytes del ELF binary que se copiarán allí.

Por ejemplo, el segundo tiene un tamaño de 0x1190, debe ubicarse en 0x1fc48 con permisos de lectura y escritura y se rellenará con 0x528 desde el offset 0xfc48 (no rellena todo el espacio reservado). Esta memoria contendrá las secciones .init_array .fini_array .dynamic .got .data .bss.

DYNAMIC

Este header ayuda a vincular programas con sus dependencias de librerías y a aplicar relocations. Revisa la sección .dynamic.

NOTE

Almacena metadata del vendor sobre el binary.

• En x86-64, readelf -n mostrará banderas GNU_PROPERTY_X86_FEATURE_1_* dentro de .note.gnu.property. Si ves IBT y/o SHSTK, el binary fue compilado con CET (Indirect Branch Tracking and/or Shadow Stack). Esto impacta ROP/JOP porque los objetivos de branch indirecto deben comenzar con una instrucción ENDBR64 y los returns se verifican contra un shadow stack. Consulta la página de CET para detalles y notas de bypass.

CET & Shadow Stack

GNU_EH_FRAME

Define la ubicación de las tablas de stack unwind, usadas por debuggers y por las funciones de runtime de manejo de excepciones de C++.

GNU_STACK

Contiene la configuración de la defensa de prevención de ejecución en stack. Si está activada, el binary no podrá ejecutar código desde el stack.

• Compruébalo con readelf -l ./bin | grep GNU_STACK. Para forzar su cambio durante pruebas puedes usar execstack -s|-c ./bin.

GNU_RELRO

Indica la configuración de RELRO (Relocation Read-Only) del binary. Esta protección marcará como solo-lectura ciertas secciones de la memoria (como el GOT o las tablas init y fini) después de que el programa haya cargado y antes de que empiece a ejecutarse.

En el ejemplo anterior está copiando 0x3b8 bytes a 0x1fc48 como solo-lectura afectando las secciones .init_array .fini_array .dynamic .got .data .bss.

Ten en cuenta que RELRO puede ser parcial o completo; la versión parcial no protege la sección .plt.got, que se usa para lazy binding y necesita que este espacio de memoria tenga permisos de escritura para escribir la dirección de las librerías la primera vez que se busca su ubicación.

Para exploitation techniques y notas de bypass actualizadas, revisa la página dedicada:

Relro

TLS

Define una tabla de entradas TLS, que almacena info sobre variables thread-local.

Encabezados de sección

Los encabezados de sección ofrecen una vista más detallada del ELF binary

objdump lnstat -h

lnstat:     file format elf64-littleaarch64

Sections:
Idx Name          Size      VMA               LMA               File off  Algn
0 .interp       0000001b  0000000000000238  0000000000000238  00000238  2**0
CONTENTS, ALLOC, LOAD, READONLY, DATA
1 .note.gnu.build-id 00000024  0000000000000254  0000000000000254  00000254  2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
2 .note.ABI-tag 00000020  0000000000000278  0000000000000278  00000278  2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
3 .note.package 0000009c  0000000000000298  0000000000000298  00000298  2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
4 .gnu.hash     0000001c  0000000000000338  0000000000000338  00000338  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
5 .dynsym       00000498  0000000000000358  0000000000000358  00000358  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
6 .dynstr       000001fe  00000000000007f0  00000000000007f0  000007f0  2**0
CONTENTS, ALLOC, LOAD, READONLY, DATA
7 .gnu.version  00000062  00000000000009ee  00000000000009ee  000009ee  2**1
CONTENTS, ALLOC, LOAD, READONLY, DATA
8 .gnu.version_r 00000050  0000000000000a50  0000000000000a50  00000a50  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
9 .rela.dyn     00000228  0000000000000aa0  0000000000000aa0  00000aa0  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
10 .rela.plt     000003c0  0000000000000cc8  0000000000000cc8  00000cc8  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
11 .init         00000018  0000000000001088  0000000000001088  00001088  2**2
CONTENTS, ALLOC, LOAD, READONLY, CODE
12 .plt          000002a0  00000000000010a0  00000000000010a0  000010a0  2**4
CONTENTS, ALLOC, LOAD, READONLY, CODE
13 .text         00001c34  0000000000001340  0000000000001340  00001340  2**6
CONTENTS, ALLOC, LOAD, READONLY, CODE
14 .fini         00000014  0000000000002f74  0000000000002f74  00002f74  2**2
CONTENTS, ALLOC, LOAD, READONLY, CODE
15 .rodata       00000686  0000000000002f88  0000000000002f88  00002f88  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
16 .eh_frame_hdr 000001b4  0000000000003610  0000000000003610  00003610  2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
17 .eh_frame     000007b4  00000000000037c8  00000000000037c8  000037c8  2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
18 .init_array   00000008  000000000001fc48  000000000001fc48  0000fc48  2**3
CONTENTS, ALLOC, LOAD, DATA
19 .fini_array   00000008  000000000001fc50  000000000001fc50  0000fc50  2**3
CONTENTS, ALLOC, LOAD, DATA
20 .dynamic      00000200  000000000001fc58  000000000001fc58  0000fc58  2**3
CONTENTS, ALLOC, LOAD, DATA
21 .got          000001a8  000000000001fe58  000000000001fe58  0000fe58  2**3
CONTENTS, ALLOC, LOAD, DATA
22 .data         00000170  0000000000020000  0000000000020000  00010000  2**3
CONTENTS, ALLOC, LOAD, DATA
23 .bss          00000c68  0000000000020170  0000000000020170  00010170  2**3
ALLOC
24 .gnu_debugaltlink 00000049  0000000000000000  0000000000000000  00010170  2**0
CONTENTS, READONLY
25 .gnu_debuglink 00000034  0000000000000000  0000000000000000  000101bc  2**2
CONTENTS, READONLY

También indica la ubicación, el offset, los permisos y además el tipo de datos que tiene la sección.

Secciones meta

• Tabla de cadenas: Contiene todas las cadenas necesarias para el archivo ELF (pero no las que realmente usa el programa). Por ejemplo contiene nombres de secciones como .text o .data. Y si .text está en el offset 45 en la tabla de cadenas, usará el número 45 en el campo name.
• Para localizar la tabla de cadenas, el ELF contiene un puntero a la tabla de cadenas.
• Tabla de símbolos: Contiene información sobre los símbolos, como el nombre (offset en la tabla de cadenas), dirección, tamaño y más metadatos sobre el símbolo.

Secciones principales

• .text: Las instrucciones del programa a ejecutar.
• .data: Variables globales con un valor definido en el programa.
• .bss: Variables globales no inicializadas (o inicializadas a cero). Las variables aquí se inicializan automáticamente a cero, evitando así que se añadan ceros innecesarios al binario.
• .rodata: Variables globales constantes (sección de solo lectura).
• .tdata y .tbss: Como .data y .bss cuando se usan variables thread-local (__thread_local en C++ o __thread en C).
• .dynamic: Ver más abajo.

Símbolos

Un símbolo es una ubicación nombrada en el programa que puede ser una función, un objeto de datos global, variables thread-local…

readelf -s lnstat

Symbol table '.dynsym' contains 49 entries:
Num:    Value          Size Type    Bind   Vis      Ndx Name
0: 0000000000000000     0 NOTYPE  LOCAL  DEFAULT  UND
1: 0000000000001088     0 SECTION LOCAL  DEFAULT   12 .init
2: 0000000000020000     0 SECTION LOCAL  DEFAULT   23 .data
3: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND strtok@GLIBC_2.17 (2)
4: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND s[...]@GLIBC_2.17 (2)
5: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND strlen@GLIBC_2.17 (2)
6: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND fputs@GLIBC_2.17 (2)
7: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND exit@GLIBC_2.17 (2)
8: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND _[...]@GLIBC_2.34 (3)
9: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND perror@GLIBC_2.17 (2)
10: 0000000000000000     0 NOTYPE  WEAK   DEFAULT  UND _ITM_deregisterT[...]
11: 0000000000000000     0 FUNC    WEAK   DEFAULT  UND _[...]@GLIBC_2.17 (2)
12: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND putc@GLIBC_2.17 (2)
[...]

Cada entrada de símbolo contiene:

• Nombre
• Binding attributes (weak, local or global): Un símbolo local solo puede ser accedido por el propio programa mientras que los símbolos globales se comparten fuera del programa. Un weak object es, por ejemplo, una función que puede ser sobrescrita por otra distinta.
• Type: NOTYPE (no se especifica tipo), OBJECT (global data var), FUNC (function), SECTION (section), FILE (source-code file para debuggers), TLS (thread-local variable), GNU_IFUNC (indirect function for relocation)
• Section index donde está ubicado
• Value (dirección en memoria)
• Size

GNU IFUNC (funciones indirectas)

• GCC puede emitir símbolos STT_GNU_IFUNC con la extensión __attribute__((ifunc("resolver"))). El cargador dinámico llama al resolver en tiempo de carga para seleccionar la implementación concreta (comúnmente dispatch por CPU).
• Triage rápido: readelf -sW ./bin | rg -i "IFUNC"

GNU Symbol Versioning (dynsym/dynstr/gnu.version)

glibc moderno usa versiones de símbolos. Verás entradas en .gnu.version y .gnu.version_r y nombres de símbolos como strlen@GLIBC_2.17. El enlazador/cargador dinámico puede requerir una versión específica al resolver un símbolo. Al crear relocations manuales (p. ej. ret2dlresolve) debes proporcionar el índice de versión correcto; de lo contrario la resolución falla.

Sección dinámica

readelf -d lnstat

Dynamic section at offset 0xfc58 contains 28 entries:
Tag        Type                         Name/Value
0x0000000000000001 (NEEDED)             Shared library: [libc.so.6]
0x0000000000000001 (NEEDED)             Shared library: [ld-linux-aarch64.so.1]
0x000000000000000c (INIT)               0x1088
0x000000000000000d (FINI)               0x2f74
0x0000000000000019 (INIT_ARRAY)         0x1fc48
0x000000000000001b (INIT_ARRAYSZ)       8 (bytes)
0x000000000000001a (FINI_ARRAY)         0x1fc50
0x000000000000001c (FINI_ARRAYSZ)       8 (bytes)
0x000000006ffffef5 (GNU_HASH)           0x338
0x0000000000000005 (STRTAB)             0x7f0
0x0000000000000006 (SYMTAB)             0x358
0x000000000000000a (STRSZ)              510 (bytes)
0x000000000000000b (SYMENT)             24 (bytes)
0x0000000000000015 (DEBUG)              0x0
0x0000000000000003 (PLTGOT)             0x1fe58
0x0000000000000002 (PLTRELSZ)           960 (bytes)
0x0000000000000014 (PLTREL)             RELA
0x0000000000000017 (JMPREL)             0xcc8
0x0000000000000007 (RELA)               0xaa0
0x0000000000000008 (RELASZ)             552 (bytes)
0x0000000000000009 (RELAENT)            24 (bytes)
0x000000000000001e (FLAGS)              BIND_NOW
0x000000006ffffffb (FLAGS_1)            Flags: NOW PIE
0x000000006ffffffe (VERNEED)            0xa50
0x000000006fffffff (VERNEEDNUM)         2
0x000000006ffffff0 (VERSYM)             0x9ee
0x000000006ffffff9 (RELACOUNT)          15
0x0000000000000000 (NULL)               0x0

The NEEDED directory indicates that the program needs to load the mentioned library in order to continue. The NEEDED directory completes once the shared library is fully operational and ready for use.

Dynamic loader search order (RPATH/RUNPATH, $ORIGIN)

Las entradas DT_RPATH (obsoleto) y/o DT_RUNPATH influyen en dónde el cargador dinámico busca las dependencias. Orden aproximado:

• LD_LIBRARY_PATH (ignored for setuid/sgid or otherwise “secure-execution” programs)
• DT_RPATH (only if DT_RUNPATH absent)
• DT_RUNPATH
• ld.so.cache
• directorios por defecto como /lib64, /usr/lib64, etc.

$ORIGIN se puede usar dentro de RPATH/RUNPATH para referirse al directorio del objeto principal. Desde la perspectiva de un atacante esto importa cuando controlas la disposición del sistema de archivos o el entorno. Para binarios hardenizados (AT_SECURE) la mayoría de variables de entorno son ignoradas por el loader.

• Inspeccionar con: readelf -d ./bin | egrep -i 'r(path|unpath)'
• Prueba rápida: LD_DEBUG=libs ./bin 2>&1 | grep -i find (muestra decisiones de búsqueda de rutas)

Priv-esc tip: Prefer abusing writable RUNPATHs or misconfigured $ORIGIN-relative paths owned by you. LD_PRELOAD/LD_AUDIT are ignored in secure-execution (setuid) contexts.

Relocaciones

El cargador también debe realizar las relocaciones de las dependencias después de haberlas cargado. Estas relocaciones están indicadas en la tabla de relocación en los formatos REL o RELA y el número de relocaciones se indica en las secciones dinámicas RELSZ o RELASZ.

readelf -r lnstat

Relocation section '.rela.dyn' at offset 0xaa0 contains 23 entries:
Offset          Info           Type           Sym. Value    Sym. Name + Addend
00000001fc48  000000000403 R_AARCH64_RELATIV                    1d10
00000001fc50  000000000403 R_AARCH64_RELATIV                    1cc0
00000001fff0  000000000403 R_AARCH64_RELATIV                    1340
000000020008  000000000403 R_AARCH64_RELATIV                    20008
000000020010  000000000403 R_AARCH64_RELATIV                    3330
000000020030  000000000403 R_AARCH64_RELATIV                    3338
000000020050  000000000403 R_AARCH64_RELATIV                    3340
000000020070  000000000403 R_AARCH64_RELATIV                    3348
000000020090  000000000403 R_AARCH64_RELATIV                    3350
0000000200b0  000000000403 R_AARCH64_RELATIV                    3358
0000000200d0  000000000403 R_AARCH64_RELATIV                    3360
0000000200f0  000000000403 R_AARCH64_RELATIV                    3370
000000020110  000000000403 R_AARCH64_RELATIV                    3378
000000020130  000000000403 R_AARCH64_RELATIV                    3380
000000020150  000000000403 R_AARCH64_RELATIV                    3388
00000001ffb8  000a00000401 R_AARCH64_GLOB_DA 0000000000000000 _ITM_deregisterTM[...] + 0
00000001ffc0  000b00000401 R_AARCH64_GLOB_DA 0000000000000000 __cxa_finalize@GLIBC_2.17 + 0
00000001ffc8  000f00000401 R_AARCH64_GLOB_DA 0000000000000000 stderr@GLIBC_2.17 + 0
00000001ffd0  001000000401 R_AARCH64_GLOB_DA 0000000000000000 optarg@GLIBC_2.17 + 0
00000001ffd8  001400000401 R_AARCH64_GLOB_DA 0000000000000000 stdout@GLIBC_2.17 + 0
00000001ffe0  001e00000401 R_AARCH64_GLOB_DA 0000000000000000 __gmon_start__ + 0
00000001ffe8  001f00000401 R_AARCH64_GLOB_DA 0000000000000000 __stack_chk_guard@GLIBC_2.17 + 0
00000001fff8  002e00000401 R_AARCH64_GLOB_DA 0000000000000000 _ITM_registerTMCl[...] + 0

Relocation section '.rela.plt' at offset 0xcc8 contains 40 entries:
Offset          Info           Type           Sym. Value    Sym. Name + Addend
00000001fe70  000300000402 R_AARCH64_JUMP_SL 0000000000000000 strtok@GLIBC_2.17 + 0
00000001fe78  000400000402 R_AARCH64_JUMP_SL 0000000000000000 strtoul@GLIBC_2.17 + 0
00000001fe80  000500000402 R_AARCH64_JUMP_SL 0000000000000000 strlen@GLIBC_2.17 + 0
00000001fe88  000600000402 R_AARCH64_JUMP_SL 0000000000000000 fputs@GLIBC_2.17 + 0
00000001fe90  000700000402 R_AARCH64_JUMP_SL 0000000000000000 exit@GLIBC_2.17 + 0
00000001fe98  000800000402 R_AARCH64_JUMP_SL 0000000000000000 __libc_start_main@GLIBC_2.34 + 0
00000001fea0  000900000402 R_AARCH64_JUMP_SL 0000000000000000 perror@GLIBC_2.17 + 0
00000001fea8  000b00000402 R_AARCH64_JUMP_SL 0000000000000000 __cxa_finalize@GLIBC_2.17 + 0
00000001feb0  000c00000402 R_AARCH64_JUMP_SL 0000000000000000 putc@GLIBC_2.17 + 0
00000001fec0  000e00000402 R_AARCH64_JUMP_SL 0000000000000000 fputc@GLIBC_2.17 + 0
00000001fec8  001100000402 R_AARCH64_JUMP_SL 0000000000000000 snprintf@GLIBC_2.17 + 0
00000001fed0  001200000402 R_AARCH64_JUMP_SL 0000000000000000 __snprintf_chk@GLIBC_2.17 + 0
00000001fed8  001300000402 R_AARCH64_JUMP_SL 0000000000000000 malloc@GLIBC_2.17 + 0
00000001fee0  001500000402 R_AARCH64_JUMP_SL 0000000000000000 gettimeofday@GLIBC_2.17 + 0
00000001fee8  001600000402 R_AARCH64_JUMP_SL 0000000000000000 sleep@GLIBC_2.17 + 0
00000001fef0  001700000402 R_AARCH64_JUMP_SL 0000000000000000 __vfprintf_chk@GLIBC_2.17 + 0
00000001fef8  001800000402 R_AARCH64_JUMP_SL 0000000000000000 calloc@GLIBC_2.17 + 0
00000001ff00  001900000402 R_AARCH64_JUMP_SL 0000000000000000 rewind@GLIBC_2.17 + 0
00000001ff08  001a00000402 R_AARCH64_JUMP_SL 0000000000000000 strdup@GLIBC_2.17 + 0
00000001ff10  001b00000402 R_AARCH64_JUMP_SL 0000000000000000 closedir@GLIBC_2.17 + 0
00000001ff18  001c00000402 R_AARCH64_JUMP_SL 0000000000000000 __stack_chk_fail@GLIBC_2.17 + 0
00000001ff20  001d00000402 R_AARCH64_JUMP_SL 0000000000000000 strrchr@GLIBC_2.17 + 0
00000001ff28  001e00000402 R_AARCH64_JUMP_SL 0000000000000000 __gmon_start__ + 0
00000001ff30  002000000402 R_AARCH64_JUMP_SL 0000000000000000 abort@GLIBC_2.17 + 0
00000001ff38  002100000402 R_AARCH64_JUMP_SL 0000000000000000 feof@GLIBC_2.17 + 0
00000001ff40  002200000402 R_AARCH64_JUMP_SL 0000000000000000 getopt_long@GLIBC_2.17 + 0
00000001ff48  002300000402 R_AARCH64_JUMP_SL 0000000000000000 __fprintf_chk@GLIBC_2.17 + 0
00000001ff50  002400000402 R_AARCH64_JUMP_SL 0000000000000000 strcmp@GLIBC_2.17 + 0
00000001ff58  002500000402 R_AARCH64_JUMP_SL 0000000000000000 free@GLIBC_2.17 + 0
00000001ff60  002600000402 R_AARCH64_JUMP_SL 0000000000000000 readdir64@GLIBC_2.17 + 0
00000001ff68  002700000402 R_AARCH64_JUMP_SL 0000000000000000 strndup@GLIBC_2.17 + 0
00000001ff70  002800000402 R_AARCH64_JUMP_SL 0000000000000000 strchr@GLIBC_2.17 + 0
00000001ff78  002900000402 R_AARCH64_JUMP_SL 0000000000000000 fwrite@GLIBC_2.17 + 0
00000001ff80  002a00000402 R_AARCH64_JUMP_SL 0000000000000000 fflush@GLIBC_2.17 + 0
00000001ff88  002b00000402 R_AARCH64_JUMP_SL 0000000000000000 fopen64@GLIBC_2.17 + 0
00000001ff90  002c00000402 R_AARCH64_JUMP_SL 0000000000000000 __isoc99_sscanf@GLIBC_2.17 + 0
00000001ff98  002d00000402 R_AARCH64_JUMP_SL 0000000000000000 strncpy@GLIBC_2.17 + 0
00000001ffa0  002f00000402 R_AARCH64_JUMP_SL 0000000000000000 __assert_fail@GLIBC_2.17 + 0
00000001ffa8  003000000402 R_AARCH64_JUMP_SL 0000000000000000 fgets@GLIBC_2.17 + 0

Relocalizaciones relativas empaquetadas (RELR)

• Modern linkers can emit compact relative relocations with -z pack-relative-relocs. This adds DT_RELR, DT_RELRSZ, and DT_RELRENT entries to the dynamic section for PIEs/shared libraries (it is ignored for non-PIE executables).
• Recon: readelf -d ./bin | egrep -i "DT_RELR|RELRSZ|RELRENT"

Relocalizaciones estáticas

Si el programa se carga en un lugar diferente al address preferido (usualmente 0x400000) porque la dirección ya está en uso o por ASLR u otra razón, una relocalización estática corrige punteros que tenían valores esperando que el binario se cargara en la dirección preferida.

Por ejemplo cualquier sección de tipo R_AARCH64_RELATIV debería haber modificado la dirección en el sesgo de relocalización más el valor del addend.

Relocalizaciones dinámicas y GOT

La relocalización también puede referenciar un símbolo externo (como una función de una dependencia). Como la función malloc de libC. Entonces, el loader al cargar libC en una dirección comprobando dónde se carga la función malloc, escribirá esta dirección en la tabla GOT (Global Offset Table) (indicada en la tabla de relocalizaciones) donde debe especificarse la dirección de malloc.

Tabla de enlace de procedimientos (PLT)

La sección PLT permite realizar lazy binding, lo que significa que la resolución de la ubicación de una función se efectuará la primera vez que se acceda.

Así que cuando un programa llama a malloc, en realidad llama a la ubicación correspondiente de malloc en la PLT (malloc@plt). La primera vez que se llama resuelve la dirección de malloc y la almacena para que la siguiente vez que se llame a malloc, se use esa dirección en lugar del código de la PLT.

Comportamientos modernos del linker que impactan la explotación

• -z now (Full RELRO) disables lazy binding; PLT entries still exist but GOT/PLT is mapped read-only, so techniques like GOT overwrite and ret2dlresolve won’t work against the main binary (libraries may still be partially RELRO). See:

Relro

• -fno-plt makes the compiler call external functions through the GOT entry directly instead of going through the PLT stub. You will see call sequences like mov reg, [got]; call reg instead of call func@plt. This reduces speculative-execution abuse and slightly changes ROP gadget hunting around PLT stubs.

• PIE vs static-PIE: PIE (ET_DYN with INTERP) needs the dynamic loader and supports the usual PLT/GOT machinery. Static-PIE (ET_DYN without INTERP) has relocations applied by the kernel loader and no ld.so; expect no PLT resolution at runtime.

If GOT/PLT is not an option, pivot to other writeable code-pointers or use classic ROP/SROP into libc.

WWW2Exec - GOT/PLT

Inicialización del programa

After the program has been loaded it’s time for it to run. However, the first code that is run isn’t always the main function. This is because for example in C++ if a global variable is an object of a class, this object must be initialized before main runs, like in:

#include <stdio.h>
// g++ autoinit.cpp -o autoinit
class AutoInit {
public:
AutoInit() {
printf("Hello AutoInit!\n");
}
~AutoInit() {
printf("Goodbye AutoInit!\n");
}
};

AutoInit autoInit;

int main() {
printf("Main\n");
return 0;
}

Ten en cuenta que estas variables globales están ubicadas en .data o .bss, pero en las listas __CTOR_LIST__ y __DTOR_LIST__ se almacenan los objetos a inicializar y destruir para llevar un control de ellos.

Desde código C es posible obtener el mismo resultado usando las extensiones de GNU:

__attribute__((constructor)) //Add a constructor to execute before
__attribute__((destructor)) //Add to the destructor list

Desde la perspectiva del compilador, para ejecutar estas acciones antes y después de que se ejecute la función main, es posible crear una función init y una función fini que serían referenciadas en la sección dinámica como INIT y FINI, y están ubicadas en las secciones init y fini del ELF.

La otra opción, como se mencionó, es referenciar las listas __CTOR_LIST__ y __DTOR_LIST__ en las entradas INIT_ARRAY y FINI_ARRAY de la sección dinámica, y la longitud de estas está indicada por INIT_ARRAYSZ y FINI_ARRAYSZ. Cada entrada es un puntero a función que será llamado sin argumentos.

Además, también es posible tener un PREINIT_ARRAY con punteros que se ejecutarán antes que los punteros de INIT_ARRAY.

Nota de explotación

• Bajo Partial RELRO estas arrays viven en páginas que aún son escribibles antes de que ld.so cambie PT_GNU_RELRO a solo lectura. Si consigues un arbitrary write lo suficientemente temprano o puedes apuntar a los arrays escribibles de una librería, puedes secuestrar el control de flujo sobrescribiendo una entrada con una función de tu elección. Bajo Full RELRO son de solo lectura en tiempo de ejecución.

• Para lazy binding abuse del dynamic linker para resolver símbolos arbitrarios en tiempo de ejecución, consulta la página dedicada:

Ret2dlresolve

Orden de inicialización

1. El programa se carga en memoria, las variables globales estáticas inicializadas se colocan en .data y las no inicializadas se ponen a cero en .bss.
2. Todas las dependencias del programa o de las librerías se inicializan y se ejecuta el enlace dinámico.
3. Se ejecutan las funciones de PREINIT_ARRAY.
4. Se ejecutan las funciones de INIT_ARRAY.
5. Si existe una entrada INIT, se invoca.
6. Si es una librería, dlopen termina aquí; si es un programa, es momento de llamar al punto de entrada real (la función main).

Almacenamiento local por hilo (TLS)

Se definen usando la palabra clave __thread_local en C++ o la extensión de GNU __thread.

Cada hilo mantendrá una ubicación única para esta variable de modo que solo ese hilo podrá acceder a su variable.

Cuando se usa esto, las secciones .tdata y .tbss se emplean en el ELF. Que son como .data (inicializada) y .bss (no inicializada) pero para TLS.

Cada variable tendrá una entrada en el encabezado TLS que especifica el tamaño y el TLS offset, que es el desplazamiento que usará en el área de datos local del hilo.

El símbolo __TLS_MODULE_BASE se usa para referirse a la dirección base del thread local storage y apunta al área en memoria que contiene todos los datos thread-local de un módulo.

Auxiliary Vector (auxv) and vDSO

El kernel de Linux pasa un auxiliary vector a los procesos que contiene direcciones útiles y flags para el runtime:

• AT_RANDOM: apunta a 16 bytes aleatorios usados por glibc para el stack canary y otras semillas de PRNG.
• AT_SYSINFO_EHDR: dirección base del mapeo vDSO (útil para encontrar __kernel_* syscalls y gadgets).
• AT_EXECFN, AT_BASE, AT_PAGESZ, etc.

Como atacante, si puedes leer memoria o archivos bajo /proc, a menudo puedes leak estos sin un infoleak en el proceso objetivo:

# Show the auxv of a running process
cat /proc/$(pidof target)/auxv | xxd

# From your own process (helper snippet)
#include <sys/auxv.h>
#include <stdio.h>
int main(){
printf("AT_RANDOM=%p\n", (void*)getauxval(AT_RANDOM));
printf("AT_SYSINFO_EHDR=%p\n", (void*)getauxval(AT_SYSINFO_EHDR));
}

Leaking AT_RANDOM te da el valor canary si puedes desreferenciar ese puntero; AT_SYSINFO_EHDR te da una base vDSO para buscar gadgets o para invocar syscalls rápidos directamente.

Referencias

• GCC Common Function Attributes (ifunc / STT_GNU_IFUNC): https://gcc.gnu.org/onlinedocs/gcc-14.3.0/gcc/Common-Function-Attributes.html
• GNU ld -z pack-relative-relocs / DT_RELR docs: https://sourceware.org/binutils/docs/ld.html
• ld.so(8) – Dynamic Loader search order, RPATH/RUNPATH, secure-execution rules (AT_SECURE): https://man7.org/linux/man-pages/man8/ld.so.8.html
• getauxval(3) – Auxiliary vector and AT_* constants: https://man7.org/linux/man-pages/man3/getauxval.3.html

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.