HackTricks
Informações Básicas do ELF
Tip
Aprenda e pratique Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Supporte o HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.
Cabeçalhos de Programa
Eles descrevem ao loader como carregar o ELF na memória:
readelf -lW lnstat
Elf file type is DYN (Position-Independent Executable file)
Entry point 0x1c00
There are 9 program headers, starting at offset 64
Program Headers:
Type Offset VirtAddr PhysAddr FileSiz MemSiz Flg Align
PHDR 0x000040 0x0000000000000040 0x0000000000000040 0x0001f8 0x0001f8 R 0x8
INTERP 0x000238 0x0000000000000238 0x0000000000000238 0x00001b 0x00001b R 0x1
[Requesting program interpreter: /lib/ld-linux-aarch64.so.1]
LOAD 0x000000 0x0000000000000000 0x0000000000000000 0x003f7c 0x003f7c R E 0x10000
LOAD 0x00fc48 0x000000000001fc48 0x000000000001fc48 0x000528 0x001190 RW 0x10000
DYNAMIC 0x00fc58 0x000000000001fc58 0x000000000001fc58 0x000200 0x000200 RW 0x8
NOTE 0x000254 0x0000000000000254 0x0000000000000254 0x0000e0 0x0000e0 R 0x4
GNU_EH_FRAME 0x003610 0x0000000000003610 0x0000000000003610 0x0001b4 0x0001b4 R 0x4
GNU_STACK 0x000000 0x0000000000000000 0x0000000000000000 0x000000 0x000000 RW 0x10
GNU_RELRO 0x00fc48 0x000000000001fc48 0x000000000001fc48 0x0003b8 0x0003b8 R 0x1
Section to Segment mapping:
Segment Sections...
00
01 .interp
02 .interp .note.gnu.build-id .note.ABI-tag .note.package .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
03 .init_array .fini_array .dynamic .got .data .bss
04 .dynamic
05 .note.gnu.build-id .note.ABI-tag .note.package
06 .eh_frame_hdr
07
08 .init_array .fini_array .dynamic .got
O programa anterior tem 9 program headers, então, o segment mapping indica em qual program header (de 00 a 08) cada section está localizada.
PHDR - Program HeaDeR
Contém as tabelas de program header e os próprios metadados.
INTERP
Indica o caminho do loader a ser usado para carregar o binary na memória.
Tip: Statically linked ou static-PIE binaries não terão uma entrada
INTERP. Nesses casos não há dynamic loader envolvido, o que desabilita técnicas que dependem dele (por exemplo,ret2dlresolve).
LOAD
Esses headers são usados para indicar como carregar um binary na memória.
Cada LOAD header indica uma região de memory (tamanho, permissões e alinhamento) e indica os bytes do ELF binary para copiar ali.
Por exemplo, o segundo tem um tamanho de 0x1190, deve estar localizado em 0x1fc48 com permissões read e write e será preenchido com 0x528 a partir do offset 0xfc48 (não preenche todo o espaço reservado). Essa memória conterá as sections .init_array .fini_array .dynamic .got .data .bss.
DYNAMIC
Esse header ajuda a linkar programs às suas library dependencies e aplicar relocations. Confira a seção .dynamic.
NOTE
Armazena informações de vendor metadata sobre o binary.
- Em x86-64,
readelf -nmostrará flagsGNU_PROPERTY_X86_FEATURE_1_*dentro de.note.gnu.property. Se você virIBTe/ouSHSTK, o binary foi construído com CET (Indirect Branch Tracking e/ou Shadow Stack). Isso impacta ROP/JOP porque indirect branch targets devem começar com uma instruçãoENDBR64e returns são verificados contra uma shadow stack. Veja a página de CET para detalhes e notas de bypass.
GNU_EH_FRAME
Define a localização das tabelas de stack unwind, usadas por debuggers e pelas funções de runtime de exception handling do C++.
GNU_STACK
Contém a configuração da defesa de prevenção de execução na stack. Se habilitada, o binary não poderá executar código a partir da stack.
- Verifique com
readelf -l ./bin | grep GNU_STACK. Para alternar forçadamente durante testes você pode usarexecstack -s|-c ./bin.
GNU_RELRO
Indica a configuração RELRO (Relocation Read-Only) do binary. Essa proteção marcará como read-only certas sections da memory (como o GOT ou as tabelas init e fini) após o program ser carregado e antes de começar a rodar.
No exemplo anterior está copiando 0x3b8 bytes para 0x1fc48 como read-only afetando as sections .init_array .fini_array .dynamic .got .data .bss.
Note que o RELRO pode ser partial ou full, a versão partial não protege a section .plt.got, que é usada para lazy binding e precisa que esse espaço de memória tenha write permissions para escrever o endereço das libraries na primeira vez que sua localização é procurada.
For exploitation techniques and up-to-date bypass notes, check the dedicated page:
TLS
Define uma tabela de entradas TLS, que armazena info sobre thread-local variables.
Section Headers
Section headers fornecem uma visão mais detalhada do ELF binary
objdump lnstat -h
lnstat: file format elf64-littleaarch64
Sections:
Idx Name Size VMA LMA File off Algn
0 .interp 0000001b 0000000000000238 0000000000000238 00000238 2**0
CONTENTS, ALLOC, LOAD, READONLY, DATA
1 .note.gnu.build-id 00000024 0000000000000254 0000000000000254 00000254 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
2 .note.ABI-tag 00000020 0000000000000278 0000000000000278 00000278 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
3 .note.package 0000009c 0000000000000298 0000000000000298 00000298 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
4 .gnu.hash 0000001c 0000000000000338 0000000000000338 00000338 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
5 .dynsym 00000498 0000000000000358 0000000000000358 00000358 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
6 .dynstr 000001fe 00000000000007f0 00000000000007f0 000007f0 2**0
CONTENTS, ALLOC, LOAD, READONLY, DATA
7 .gnu.version 00000062 00000000000009ee 00000000000009ee 000009ee 2**1
CONTENTS, ALLOC, LOAD, READONLY, DATA
8 .gnu.version_r 00000050 0000000000000a50 0000000000000a50 00000a50 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
9 .rela.dyn 00000228 0000000000000aa0 0000000000000aa0 00000aa0 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
10 .rela.plt 000003c0 0000000000000cc8 0000000000000cc8 00000cc8 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
11 .init 00000018 0000000000001088 0000000000001088 00001088 2**2
CONTENTS, ALLOC, LOAD, READONLY, CODE
12 .plt 000002a0 00000000000010a0 00000000000010a0 000010a0 2**4
CONTENTS, ALLOC, LOAD, READONLY, CODE
13 .text 00001c34 0000000000001340 0000000000001340 00001340 2**6
CONTENTS, ALLOC, LOAD, READONLY, CODE
14 .fini 00000014 0000000000002f74 0000000000002f74 00002f74 2**2
CONTENTS, ALLOC, LOAD, READONLY, CODE
15 .rodata 00000686 0000000000002f88 0000000000002f88 00002f88 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
16 .eh_frame_hdr 000001b4 0000000000003610 0000000000003610 00003610 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
17 .eh_frame 000007b4 00000000000037c8 00000000000037c8 000037c8 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
18 .init_array 00000008 000000000001fc48 000000000001fc48 0000fc48 2**3
CONTENTS, ALLOC, LOAD, DATA
19 .fini_array 00000008 000000000001fc50 000000000001fc50 0000fc50 2**3
CONTENTS, ALLOC, LOAD, DATA
20 .dynamic 00000200 000000000001fc58 000000000001fc58 0000fc58 2**3
CONTENTS, ALLOC, LOAD, DATA
21 .got 000001a8 000000000001fe58 000000000001fe58 0000fe58 2**3
CONTENTS, ALLOC, LOAD, DATA
22 .data 00000170 0000000000020000 0000000000020000 00010000 2**3
CONTENTS, ALLOC, LOAD, DATA
23 .bss 00000c68 0000000000020170 0000000000020170 00010170 2**3
ALLOC
24 .gnu_debugaltlink 00000049 0000000000000000 0000000000000000 00010170 2**0
CONTENTS, READONLY
25 .gnu_debuglink 00000034 0000000000000000 0000000000000000 000101bc 2**2
CONTENTS, READONLY
Também indica a localização, offset, permissões e também o tipo de dados que a seção possui.
Seções Meta
- Tabela de strings: Contém todas as strings necessárias pelo ELF (mas não as que são realmente usadas pelo programa). Por exemplo contém nomes de seções como
.textou.data. E se.textestá no offset 45 na tabela de strings ela usará o número 45 no campo name. - Para encontrar onde a tabela de strings está, o ELF contém um ponteiro para a tabela de strings.
- Tabela de símbolos: Contém informações sobre os símbolos como o nome (offset na tabela de strings), endereço, tamanho e mais metadados sobre o símbolo.
Seções Principais
.text: As instruções do programa a serem executadas..data: Variáveis globais com um valor definido no programa..bss: Variáveis globais deixadas não inicializadas (ou inicializadas a zero). Variáveis aqui são automaticamente inicializadas a zero portanto evitando que zeros inúteis sejam adicionados ao binário..rodata: Variáveis globais constantes (seção somente leitura)..tdatae.tbss: Como.datae.bssquando variáveis thread-local são usadas (__thread_localin C++ or__threadin C)..dynamic: See below.
Símbolos
Símbolos são uma localização nomeada no programa que pode ser uma função, um objeto de dados global, variáveis thread-local…
readelf -s lnstat
Symbol table '.dynsym' contains 49 entries:
Num: Value Size Type Bind Vis Ndx Name
0: 0000000000000000 0 NOTYPE LOCAL DEFAULT UND
1: 0000000000001088 0 SECTION LOCAL DEFAULT 12 .init
2: 0000000000020000 0 SECTION LOCAL DEFAULT 23 .data
3: 0000000000000000 0 FUNC GLOBAL DEFAULT UND strtok@GLIBC_2.17 (2)
4: 0000000000000000 0 FUNC GLOBAL DEFAULT UND s[...]@GLIBC_2.17 (2)
5: 0000000000000000 0 FUNC GLOBAL DEFAULT UND strlen@GLIBC_2.17 (2)
6: 0000000000000000 0 FUNC GLOBAL DEFAULT UND fputs@GLIBC_2.17 (2)
7: 0000000000000000 0 FUNC GLOBAL DEFAULT UND exit@GLIBC_2.17 (2)
8: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _[...]@GLIBC_2.34 (3)
9: 0000000000000000 0 FUNC GLOBAL DEFAULT UND perror@GLIBC_2.17 (2)
10: 0000000000000000 0 NOTYPE WEAK DEFAULT UND _ITM_deregisterT[...]
11: 0000000000000000 0 FUNC WEAK DEFAULT UND _[...]@GLIBC_2.17 (2)
12: 0000000000000000 0 FUNC GLOBAL DEFAULT UND putc@GLIBC_2.17 (2)
[...]
Each symbol entry contains:
- Name
- Binding attributes (weak, local or global): Um símbolo local só pode ser acessado pelo próprio programa enquanto os símbolos global são compartilhados externamente ao programa. Um objeto weak é, por exemplo, uma função que pode ser sobrescrita por outra diferente.
- Type: NOTYPE (no type specified), OBJECT (variável de dados global), FUNC (função), SECTION (seção), FILE (arquivo de código-fonte para depuradores), TLS (variável local por thread), GNU_IFUNC (função indireta para relocação)
- Section index where it’s located
- Value (endereço na memória)
- Size
GNU IFUNC (indirect functions)
- GCC can emit
STT_GNU_IFUNCsymbols with the__attribute__((ifunc("resolver")))extension. The dynamic loader calls the resolver at load time to select the concrete implementation (commonly CPU dispatch). - Triagem rápida:
readelf -sW ./bin | rg -i "IFUNC"
GNU Symbol Versioning (dynsym/dynstr/gnu.version)
Modern glibc uses symbol versions. You will see entries in .gnu.version and .gnu.version_r and symbol names like strlen@GLIBC_2.17. The dynamic linker can require a specific version when resolving a symbol. When crafting manual relocations (e.g. ret2dlresolve) you must supply the correct version index, otherwise resolution fails.
Seção Dinâmica
readelf -d lnstat
Dynamic section at offset 0xfc58 contains 28 entries:
Tag Type Name/Value
0x0000000000000001 (NEEDED) Shared library: [libc.so.6]
0x0000000000000001 (NEEDED) Shared library: [ld-linux-aarch64.so.1]
0x000000000000000c (INIT) 0x1088
0x000000000000000d (FINI) 0x2f74
0x0000000000000019 (INIT_ARRAY) 0x1fc48
0x000000000000001b (INIT_ARRAYSZ) 8 (bytes)
0x000000000000001a (FINI_ARRAY) 0x1fc50
0x000000000000001c (FINI_ARRAYSZ) 8 (bytes)
0x000000006ffffef5 (GNU_HASH) 0x338
0x0000000000000005 (STRTAB) 0x7f0
0x0000000000000006 (SYMTAB) 0x358
0x000000000000000a (STRSZ) 510 (bytes)
0x000000000000000b (SYMENT) 24 (bytes)
0x0000000000000015 (DEBUG) 0x0
0x0000000000000003 (PLTGOT) 0x1fe58
0x0000000000000002 (PLTRELSZ) 960 (bytes)
0x0000000000000014 (PLTREL) RELA
0x0000000000000017 (JMPREL) 0xcc8
0x0000000000000007 (RELA) 0xaa0
0x0000000000000008 (RELASZ) 552 (bytes)
0x0000000000000009 (RELAENT) 24 (bytes)
0x000000000000001e (FLAGS) BIND_NOW
0x000000006ffffffb (FLAGS_1) Flags: NOW PIE
0x000000006ffffffe (VERNEED) 0xa50
0x000000006fffffff (VERNEEDNUM) 2
0x000000006ffffff0 (VERSYM) 0x9ee
0x000000006ffffff9 (RELACOUNT) 15
0x0000000000000000 (NULL) 0x0
A entrada NEEDED indica que o programa precisa carregar a biblioteca mencionada para continuar. A entrada NEEDED é completada quando a biblioteca compartilhada está totalmente operacional e pronta para uso.
Ordem de busca do carregador dinâmico (RPATH/RUNPATH, $ORIGIN)
As entradas DT_RPATH (obsoleta) e/ou DT_RUNPATH influenciam onde o carregador dinâmico procura por dependências. Ordem aproximada:
LD_LIBRARY_PATH(ignorado para programas setuid/sgid ou em contextos de execução segura)DT_RPATH(apenas seDT_RUNPATHausente)DT_RUNPATHld.so.cache- diretórios padrão como
/lib64,/usr/lib64, etc.
$ORIGIN pode ser usado dentro de RPATH/RUNPATH para referir-se ao diretório do objeto principal. Do ponto de vista de um atacante isso importa quando você controla o layout do sistema de arquivos ou o ambiente. Para binários hardenizados (AT_SECURE) a maioria das variáveis de ambiente é ignorada pelo loader.
- Inspect with:
readelf -d ./bin | egrep -i 'r(path|unpath)' - Quick test:
LD_DEBUG=libs ./bin 2>&1 | grep -i find(mostra decisões do caminho de busca)
Priv-esc tip: Prefira abusar de RUNPATHs graváveis ou caminhos relativos a
$ORIGINmal configurados e que sejam de sua propriedade. LD_PRELOAD/LD_AUDIT são ignorados em contextos de execução segura (setuid).
Relocações
O loader também precisa realocar dependências após tê-las carregado. Essas realocações são indicadas na tabela de relocação nos formatos REL ou RELA e o número de realocações é dado nas seções dinâmicas RELSZ ou RELASZ.
readelf -r lnstat
Relocation section '.rela.dyn' at offset 0xaa0 contains 23 entries:
Offset Info Type Sym. Value Sym. Name + Addend
00000001fc48 000000000403 R_AARCH64_RELATIV 1d10
00000001fc50 000000000403 R_AARCH64_RELATIV 1cc0
00000001fff0 000000000403 R_AARCH64_RELATIV 1340
000000020008 000000000403 R_AARCH64_RELATIV 20008
000000020010 000000000403 R_AARCH64_RELATIV 3330
000000020030 000000000403 R_AARCH64_RELATIV 3338
000000020050 000000000403 R_AARCH64_RELATIV 3340
000000020070 000000000403 R_AARCH64_RELATIV 3348
000000020090 000000000403 R_AARCH64_RELATIV 3350
0000000200b0 000000000403 R_AARCH64_RELATIV 3358
0000000200d0 000000000403 R_AARCH64_RELATIV 3360
0000000200f0 000000000403 R_AARCH64_RELATIV 3370
000000020110 000000000403 R_AARCH64_RELATIV 3378
000000020130 000000000403 R_AARCH64_RELATIV 3380
000000020150 000000000403 R_AARCH64_RELATIV 3388
00000001ffb8 000a00000401 R_AARCH64_GLOB_DA 0000000000000000 _ITM_deregisterTM[...] + 0
00000001ffc0 000b00000401 R_AARCH64_GLOB_DA 0000000000000000 __cxa_finalize@GLIBC_2.17 + 0
00000001ffc8 000f00000401 R_AARCH64_GLOB_DA 0000000000000000 stderr@GLIBC_2.17 + 0
00000001ffd0 001000000401 R_AARCH64_GLOB_DA 0000000000000000 optarg@GLIBC_2.17 + 0
00000001ffd8 001400000401 R_AARCH64_GLOB_DA 0000000000000000 stdout@GLIBC_2.17 + 0
00000001ffe0 001e00000401 R_AARCH64_GLOB_DA 0000000000000000 __gmon_start__ + 0
00000001ffe8 001f00000401 R_AARCH64_GLOB_DA 0000000000000000 __stack_chk_guard@GLIBC_2.17 + 0
00000001fff8 002e00000401 R_AARCH64_GLOB_DA 0000000000000000 _ITM_registerTMCl[...] + 0
Relocation section '.rela.plt' at offset 0xcc8 contains 40 entries:
Offset Info Type Sym. Value Sym. Name + Addend
00000001fe70 000300000402 R_AARCH64_JUMP_SL 0000000000000000 strtok@GLIBC_2.17 + 0
00000001fe78 000400000402 R_AARCH64_JUMP_SL 0000000000000000 strtoul@GLIBC_2.17 + 0
00000001fe80 000500000402 R_AARCH64_JUMP_SL 0000000000000000 strlen@GLIBC_2.17 + 0
00000001fe88 000600000402 R_AARCH64_JUMP_SL 0000000000000000 fputs@GLIBC_2.17 + 0
00000001fe90 000700000402 R_AARCH64_JUMP_SL 0000000000000000 exit@GLIBC_2.17 + 0
00000001fe98 000800000402 R_AARCH64_JUMP_SL 0000000000000000 __libc_start_main@GLIBC_2.34 + 0
00000001fea0 000900000402 R_AARCH64_JUMP_SL 0000000000000000 perror@GLIBC_2.17 + 0
00000001fea8 000b00000402 R_AARCH64_JUMP_SL 0000000000000000 __cxa_finalize@GLIBC_2.17 + 0
00000001feb0 000c00000402 R_AARCH64_JUMP_SL 0000000000000000 putc@GLIBC_2.17 + 0
00000001fec0 000e00000402 R_AARCH64_JUMP_SL 0000000000000000 fputc@GLIBC_2.17 + 0
00000001fec8 001100000402 R_AARCH64_JUMP_SL 0000000000000000 snprintf@GLIBC_2.17 + 0
00000001fed0 001200000402 R_AARCH64_JUMP_SL 0000000000000000 __snprintf_chk@GLIBC_2.17 + 0
00000001fed8 001300000402 R_AARCH64_JUMP_SL 0000000000000000 malloc@GLIBC_2.17 + 0
00000001fee0 001500000402 R_AARCH64_JUMP_SL 0000000000000000 gettimeofday@GLIBC_2.17 + 0
00000001fee8 001600000402 R_AARCH64_JUMP_SL 0000000000000000 sleep@GLIBC_2.17 + 0
00000001fef0 001700000402 R_AARCH64_JUMP_SL 0000000000000000 __vfprintf_chk@GLIBC_2.17 + 0
00000001fef8 001800000402 R_AARCH64_JUMP_SL 0000000000000000 calloc@GLIBC_2.17 + 0
00000001ff00 001900000402 R_AARCH64_JUMP_SL 0000000000000000 rewind@GLIBC_2.17 + 0
00000001ff08 001a00000402 R_AARCH64_JUMP_SL 0000000000000000 strdup@GLIBC_2.17 + 0
00000001ff10 001b00000402 R_AARCH64_JUMP_SL 0000000000000000 closedir@GLIBC_2.17 + 0
00000001ff18 001c00000402 R_AARCH64_JUMP_SL 0000000000000000 __stack_chk_fail@GLIBC_2.17 + 0
00000001ff20 001d00000402 R_AARCH64_JUMP_SL 0000000000000000 strrchr@GLIBC_2.17 + 0
00000001ff28 001e00000402 R_AARCH64_JUMP_SL 0000000000000000 __gmon_start__ + 0
00000001ff30 002000000402 R_AARCH64_JUMP_SL 0000000000000000 abort@GLIBC_2.17 + 0
00000001ff38 002100000402 R_AARCH64_JUMP_SL 0000000000000000 feof@GLIBC_2.17 + 0
00000001ff40 002200000402 R_AARCH64_JUMP_SL 0000000000000000 getopt_long@GLIBC_2.17 + 0
00000001ff48 002300000402 R_AARCH64_JUMP_SL 0000000000000000 __fprintf_chk@GLIBC_2.17 + 0
00000001ff50 002400000402 R_AARCH64_JUMP_SL 0000000000000000 strcmp@GLIBC_2.17 + 0
00000001ff58 002500000402 R_AARCH64_JUMP_SL 0000000000000000 free@GLIBC_2.17 + 0
00000001ff60 002600000402 R_AARCH64_JUMP_SL 0000000000000000 readdir64@GLIBC_2.17 + 0
00000001ff68 002700000402 R_AARCH64_JUMP_SL 0000000000000000 strndup@GLIBC_2.17 + 0
00000001ff70 002800000402 R_AARCH64_JUMP_SL 0000000000000000 strchr@GLIBC_2.17 + 0
00000001ff78 002900000402 R_AARCH64_JUMP_SL 0000000000000000 fwrite@GLIBC_2.17 + 0
00000001ff80 002a00000402 R_AARCH64_JUMP_SL 0000000000000000 fflush@GLIBC_2.17 + 0
00000001ff88 002b00000402 R_AARCH64_JUMP_SL 0000000000000000 fopen64@GLIBC_2.17 + 0
00000001ff90 002c00000402 R_AARCH64_JUMP_SL 0000000000000000 __isoc99_sscanf@GLIBC_2.17 + 0
00000001ff98 002d00000402 R_AARCH64_JUMP_SL 0000000000000000 strncpy@GLIBC_2.17 + 0
00000001ffa0 002f00000402 R_AARCH64_JUMP_SL 0000000000000000 __assert_fail@GLIBC_2.17 + 0
00000001ffa8 003000000402 R_AARCH64_JUMP_SL 0000000000000000 fgets@GLIBC_2.17 + 0
Relocações relativas empacotadas (RELR)
- Linkers modernos podem emitir relocações relativas compactas com
-z pack-relative-relocs. Isso adicionaDT_RELR,DT_RELRSZ, eDT_RELRENTà seção dinâmica para PIEs/shared libraries (é ignorado para executáveis não-PIE). - Recon:
readelf -d ./bin | egrep -i "DT_RELR|RELRSZ|RELRENT"
Relocações Estáticas
Se o program is loaded in a place different do endereço preferido (geralmente 0x400000) porque o endereço já está em uso ou por causa de ASLR ou qualquer outro motivo, uma relocação estática corrects pointers que tinham valores esperando que o binário fosse carregado no endereço preferido.
Por exemplo qualquer seção do tipo R_AARCH64_RELATIV deve ter modificado o endereço no viés da relocação mais o valor addend.
Relocações Dinâmicas e GOT
A relocação também pode referenciar um símbolo externo (como uma função de uma dependência). Como a função malloc da libC. Então, o loader ao carregar a libC em um endereço, verificando onde a função malloc está carregada, escreverá esse endereço na GOT (Global Offset Table) (indicado na tabela de relocação) onde o endereço de malloc deve ser especificado.
Procedure Linkage Table
A seção PLT permite realizar lazy binding, o que significa que a resolução da localização de uma função será feita na primeira vez que ela for acessada.
Então quando um programa chama malloc, ele na verdade chama a localização correspondente de malloc no PLT (malloc@plt). Na primeira vez que é chamado, resolve o endereço de malloc e o armazena para que na próxima vez que malloc for chamado, esse endereço seja usado em vez do código do PLT.
Modern linking behaviors that impact exploitation
-z now(Full RELRO) disables lazy binding; PLT entries still exist but GOT/PLT is mapped read-only, so techniques like GOT overwrite and ret2dlresolve won’t work against the main binary (libraries may still be partially RELRO). See:
-
-fno-plt makes the compiler call external functions through the GOT entry directly instead of going through the PLT stub. You will see call sequences like mov reg, [got]; call reg instead of call func@plt. This reduces speculative-execution abuse and slightly changes ROP gadget hunting around PLT stubs.
-
PIE vs static-PIE: PIE (ET_DYN with INTERP) needs the dynamic loader and supports the usual PLT/GOT machinery. Static-PIE (ET_DYN without INTERP) has relocations applied by the kernel loader and no ld.so; expect no PLT resolution at runtime.
If GOT/PLT is not an option, pivot to other writeable code-pointers or use classic ROP/SROP into libc.
Program Initialization
Após o programa ser carregado, é hora de executá-lo. However, the first code that is run isn’t always the main function. Isso ocorre porque por exemplo em C++ se uma global variable is an object of a class, esse objeto deve ser initialized before main runs, like in:
#include <stdio.h>
// g++ autoinit.cpp -o autoinit
class AutoInit {
public:
AutoInit() {
printf("Hello AutoInit!\n");
}
~AutoInit() {
printf("Goodbye AutoInit!\n");
}
};
AutoInit autoInit;
int main() {
printf("Main\n");
return 0;
}
Observe que essas variáveis globais estão localizadas em .data ou .bss, mas nas listas __CTOR_LIST__ e __DTOR_LIST__ são armazenados os objetos a inicializar e a destruir, para manter o controle sobre eles.
No código C é possível obter o mesmo resultado usando as extensões GNU :
__attribute__((constructor)) //Add a constructor to execute before
__attribute__((destructor)) //Add to the destructor list
From a compiler perspective, to execute these actions before and after the main function is executed, it’s possible to create a init function and a fini function which would be referenced in the dynamic section as INIT and FINI. and are placed in the init and fini sections of the ELF.
A outra opção, como mencionado, é referenciar as listas __CTOR_LIST__ e __DTOR_LIST__ nas entradas INIT_ARRAY e FINI_ARRAY na seção dinâmica, e o tamanho delas é indicado por INIT_ARRAYSZ e FINI_ARRAYSZ. Cada entrada é um ponteiro para função que será chamado sem argumentos.
Além disso, também é possível ter um PREINIT_ARRAY com ponteiros que serão executados antes dos ponteiros INIT_ARRAY.
Exploitation note
-
Under Partial RELRO essas arrays vivem em páginas que ainda são graváveis antes de
ld.sodefinirPT_GNU_RELROcomo somente-leitura. Se você conseguir um arbitrary write cedo o suficiente ou puder direcionar as arrays graváveis de uma biblioteca, você pode hijackar o fluxo de controle sobrescrevendo uma entrada com uma função de sua escolha. Under Full RELRO elas são somente-leitura em tempo de execução. -
Para abuso de lazy binding do dynamic linker para resolver símbolos arbitrários em tempo de execução, veja a página dedicada:
Initialization Order
- O programa é carregado na memória, variáveis globais estáticas são inicializadas em
.datae as não inicializadas zeradas em.bss. - Todas as dependências para o programa ou bibliotecas são inicializadas e o dynamic linking é executado.
- Funções
PREINIT_ARRAYsão executadas. - Funções
INIT_ARRAYsão executadas. - Se houver uma entrada
INITela é chamada. - Se for uma biblioteca, dlopen termina aqui; se for um programa, é hora de chamar o real entry point (função
main).
Thread-Local Storage (TLS)
Eles são definidos usando a keyword __thread_local em C++ ou a extensão GNU __thread.
Cada thread terá uma localização única para essa variável, de modo que apenas a própria thread pode acessá-la.
Quando isso é usado, as seções .tdata e .tbss são usadas no ELF. Que são como .data (inicializada) e .bss (não inicializada), mas para TLS.
Cada variável terá uma entrada no cabeçalho TLS especificando o tamanho e o TLS offset, que é o deslocamento que ela usará na área de dados local da thread.
O símbolo __TLS_MODULE_BASE é usado para referir-se ao endereço base do thread local storage e aponta para a área de memória que contém todos os dados thread-local de um módulo.
Auxiliary Vector (auxv) and vDSO
O kernel Linux passa um auxiliary vector para os processos contendo endereços e flags úteis para o runtime:
AT_RANDOM: points to 16 random bytes used by glibc for the stack canary and other PRNG seeds.AT_SYSINFO_EHDR: base address of the vDSO mapping (handy to find__kernel_*syscalls and gadgets).AT_EXECFN,AT_BASE,AT_PAGESZ, etc.
Como atacante, se você consegue ler memória ou arquivos sob /proc, você frequentemente pode leak esses sem um infoleak no processo alvo:
# Show the auxv of a running process
cat /proc/$(pidof target)/auxv | xxd
# From your own process (helper snippet)
#include <sys/auxv.h>
#include <stdio.h>
int main(){
printf("AT_RANDOM=%p\n", (void*)getauxval(AT_RANDOM));
printf("AT_SYSINFO_EHDR=%p\n", (void*)getauxval(AT_SYSINFO_EHDR));
}
Leaking AT_RANDOM fornece o valor do canary se você conseguir desreferenciar esse ponteiro; AT_SYSINFO_EHDR fornece uma base vDSO para procurar gadgets ou chamar fast syscalls diretamente.
Referências
- GCC Atributos Comuns de Função (ifunc / STT_GNU_IFUNC): https://gcc.gnu.org/onlinedocs/gcc-14.3.0/gcc/Common-Function-Attributes.html
- Documentação do GNU ld
-z pack-relative-relocs/DT_RELR: https://sourceware.org/binutils/docs/ld.html - ld.so(8) – ordem de busca do Dynamic Loader, RPATH/RUNPATH, regras de execução segura (AT_SECURE): https://man7.org/linux/man-pages/man8/ld.so.8.html
- getauxval(3) – vetor auxiliar e constantes AT_*: https://man7.org/linux/man-pages/man3/getauxval.3.html
Tip
Aprenda e pratique Hacking AWS:
Aprenda e pratique Hacking GCP:Supporte o HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.