AW2Exec - GOT/PLT

{% hint style="success" %} Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.

{% endhint %}

Informazioni di base

GOT: Global Offset Table

La Global Offset Table (GOT) è un meccanismo utilizzato nei binari collegati dinamicamente per gestire gli indirizzi delle funzioni esterne. Poiché questi indirizzi non sono noti fino al runtime (a causa del collegamento dinamico), la GOT fornisce un modo per aggiornare dinamicamente gli indirizzi di questi simboli esterni una volta risolti.

Ogni voce nella GOT corrisponde a un simbolo nelle librerie esterne che il binario può chiamare. Quando una funzione viene chiamata per la prima volta, il suo indirizzo effettivo viene risolto dal linker dinamico e memorizzato nella GOT. Le chiamate successive alla stessa funzione utilizzano l'indirizzo memorizzato nella GOT, evitando così il sovraccarico di risolvere nuovamente l'indirizzo.

PLT: Procedure Linkage Table

La Procedure Linkage Table (PLT) lavora a stretto contatto con la GOT e funge da trampolino per gestire le chiamate a funzioni esterne. Quando un binario chiama una funzione esterna per la prima volta, il controllo viene passato a una voce nella PLT associata a quella funzione. Questa voce PLT è responsabile dell'invocazione del linker dinamico per risolvere l'indirizzo della funzione se non è già stato risolto. Dopo che l'indirizzo è stato risolto, viene memorizzato nella GOT.

Pertanto, le voci GOT vengono utilizzate direttamente una volta che l'indirizzo di una funzione o variabile esterna è stato risolto. Le voci PLT vengono utilizzate per facilitare la risoluzione iniziale di questi indirizzi tramite il linker dinamico.

Ottieni Esecuzione

Controlla la GOT

Ottieni l'indirizzo della tabella GOT con: objdump -s -j .got ./exec

Osserva come dopo il caricamento dell'eseguibile in GEF puoi vedere le funzioni che sono nella GOT: gef➤ x/20x 0xADDR_GOT

Utilizzando GEF puoi iniziare una sessione di debugging ed eseguire got per vedere la tabella got:

GOT2Exec

In un binario la GOT ha gli indirizzi delle funzioni o della sezione PLT che caricherà l'indirizzo della funzione. L'obiettivo di questa scrittura arbitraria è sovrascrivere una voce GOT di una funzione che verrà eseguita successivamente con l'indirizzo della PLT della funzione system per esempio.

Idealmente, dovresti sovrascrivere la GOT di una funzione che verrà chiamata con parametri controllati da te (in modo da poter controllare i parametri inviati alla funzione di sistema).

Se system non è utilizzato dallo script, la funzione di sistema non avrà una voce nella PLT. In questo scenario, dovrai prima leakare l'indirizzo della funzione system e poi sovrascrivere la GOT per puntare a questo indirizzo.

Puoi vedere gli indirizzi PLT con objdump -j .plt -d ./vuln_binary

One Gadget

{% content-ref url="../one-gadget.md" %} one-gadget.md {% endcontent-ref %}

Protezioni

La protezione Full RELRO è progettata per proteggere contro questo tipo di tecnica risolvendo tutti gli indirizzi delle funzioni quando il binario viene avviato e rendendo la tabella GOT di sola lettura dopo:

{% content-ref url="../common-binary-protections-and-bypasses/relro.md" %} relro.md {% endcontent-ref %}

Riferimenti