2020 年 8 月

ASLR 地址空间随机化

2020-08-01 / Leave a Comment

ASLR，全称为 Address Space Layout Randomization，地址空间布局随机化。该技术在 kernel 2.6.12 中被引入到 Linux 系统，它将进程的某些内存空间地址进行随机化来增大入侵者预测目的地址的难度，从而降低进程被成功入侵的风险。当前 Linux、Windows 等主流操作系统都已经采用该项技术。

Linux 平台上 ASLR 分为 0，1，2 三级，用户可以通过内核参数 randomize_va_space 进行等级控制，不同级别的含义如下：

0 = 关
1 = 半随机；共享库、栈、mmap() 以及 VDSO 将被随机化
2 = 全随机；除了 1 中所述，还会随机化 heap

注：系统默认开启 2 全随机模式，PIE 会影响 heap 的随机化。

通过读写 /proc/sys/kernel/randomize_va_space 内核文件可以查看或者修改 ASLR 等级：

1 2	$ cat /proc/sys/kernel/randomize_va_space # 查看 ASLR $ echo 0 > /proc/sys/kernel/randomize_va_space # 关闭 ASLR

开启 ASLR，在每次程序运行时的时候，装载的可执行文件和共享库都会被映射到虚拟地址空间的不同地址处；而关掉 ASLR，则可以保证每次运行时都会被映射到虚拟地址空间的相同地址处。

关掉 ASLR，可以保证在可执行程序和共享库不发生变更的情况下，每次执行时的进程地址空间映射表的一致。我们可通过运行时某动态符号（不知其名）的地址，减去其所在的共享库在地址映射表中起始地址，算出它相对于共享库数据段中的偏移，然后借助 objdump、readelf, nm 等工具查看对应 ELF 文件中全局符号的相对偏移，就可以反推出该符号的名字。这种调试手段对于那些被 strip 掉符号表的程序而言非常有效。

当使用 gdb 调试一个程序时，GDB 会自动关掉 ASLR。可以通过以下命令将它打开：

1 2	$ (gdb) set disable-randomization off $ (gdb) info poc map # 查看进程地址映射表

使用环境变量调试动态链接器

2020-08-01 / Leave a Comment

Linux 下的动态链接/装载器 (ld.so, ld-linux.so*) 支持通过环境变量来改变程序运行时的动态链接行为，灵活使用会给调试工作带来很多方便。

LD_BIND_NOT 标记；如果设定，则会执行延迟绑定，即决议 (resolve) 某个符号之后，不更新全局偏移表 (GOT) 和过程链接表 (PLT)
LD_BIND_NOW 标记；如果设定，则会指定立即绑定，即程序启动后决议所有的符号，并更新 GOT 和 PLT
LD_DEBUG 输出动态链接器的 debug 信息，设为 all 将会输出所有的调试信息，设为 help 将会输出帮助信息
LD_DEBUG_PATH 指定 LD_DEBUG 输出的文件路径；如果未指定，默认输出到标准输出
LD_DYNAMIC_WEAK 允许弱符号 (weak symbols) 被外部符号覆盖 (旧版 glibc 的行为)
LD_HWCAP_MASK 设置硬件、平台兼容性的掩码
LD_LIBRARY_PATH 一个用冒号分隔的列表，用来指定运行时动态库的搜索路径
LD_PRELOAD 一个用空格分隔的列表，用来指定程序在运行时首先被装载的共享库。可利用这个特性来覆盖其他共享库中定义的函数。对于设定了强制位 (setuid/setgid) 的可执行程序，只有在标准搜索路径里面并且也被设定强制位 (setuid) 的共享库才能被装载。
LD_ORIGIN_PATH 指向可执行文件的系统路径
LD_PROFILE 指定要分析的共享库
LD_PROFILE_OUTPUT 指定共享库分析结果的输出文件；如果未指定，默认输出到标准输出
LD_SHOW_AUXV 显示从内核传递的辅助数组
LD_TRACE_LOADED_OBJECTS 标记；如果设定，将会列出依赖性而不是实际运行（如 ldd）
LD_WARN 标记；如果设定，将会警告未定义符号
LD_VERBOSE 标记；如果设置，则在查询有关程序的信息时输出有关程序的符号版本控制信息

注：以上环境变量只支持 glibc 2.2 及以上版本。

通过 man 手册可以查看有关动态链接器的更详细的信息：

1	$ man ld.so

指定共享库搜索路径的几种方式

2020-08-01 / Leave a Comment

Linux 上有三种方式指定运行时动态链接库的搜索路径，按照优先级顺序从高到低依次是：

rpath
LD_LIBRARY_PATH
runpath

假设我们有一个程序 a.out 动态链接 liba.so

1	$ g++ -g -W -fPIC -shared lib.cc -o liba.so

然后将 liba.so 拷贝到两个独立的目录中：

1 2	$ mkdir 1 2 $ cp liba.so 1; cp liba.so 2

目录结构如下

$ tree

├── 1

│ └── liba.so

├── 2

│ └── liba.so

├── a.out

├── lib.cc

├── main.cc

└── Makefile

使用 -Wl,–enable-new-dtags 参数，通过 gcc 告诉 linker (ld, ld.gold, lld) 使用新的 dtags，即 runpath

$ g++ -g -W -Wl,--enable-new-dtags -Wl,-rpath='$ORIGIN/1' main.cc liba.so -o a.out

$ objdump -x a.out |grep PATH

RUNPATH $ORIGIN/1

运行时通过环境变量 LD_LIBRARY_PATH 指定共享库查找路径为目录 2；通过调试动态链接器，可以看到优先在目录 2 中寻找 liba.so，即 LD_LIBRARY_PATH 的优先级高于 runpath.

$ LD_LIBRARY_PATH=$PWD/2 LD_DEBUG=libs ./a.out

find library=liba.so [0]; searching

search path=/home/joy/2/tls:/home/joy/2/x86_64:/home/joy/2 (LD_LIBRARY_PATH)

trying file=/home/joy/2/tls/x86_64/liba.so

trying file=/home/joy/2/tls/liba.so

trying file=/home/joy/2/x86_64/liba.so

trying file=/home/joy/2/liba.so

find library=libc.so.6 [0]; searching

search path=/home/joy/2 (LD_LIBRARY_PATH)

trying file=/home/joy/2/libc.so.6

search path=/home/joy/1/tls:/home/joy/1/x86_64:/home/joy/1 (RUNPATH from file ./a.out)

trying file=/home/joy/1/tls/x86_64/libc.so.6

trying file=/home/joy/1/tls/libc.so.6

trying file=/home/joy/1/x86_64/libc.so.6

trying file=/home/joy/1/libc.so.6

search cache=/etc/ld.so.cache

trying file=/lib/x86_64-linux-gnu/libc.so.6

calling init: /lib/x86_64-linux-gnu/libc.so.6

calling init: /home/joy/2/liba.so

initialize program: ./a.out

transferring control: ./a.out

calling fini: ./a.out [0]

calling fini: /home/joy/2/liba.so [0]

如果不指定 –enable-new-dtags 这个 linker 参数，或者使用 –disable-new-dtags，则会使用旧的 dtags，即 rpath

$ g++ -g -W -Wl,--disable-new-dtags -Wl,-rpath='$ORIGIN/1' main.cc liba.so -o a.out

$ objdump -x a.out |grep PATH

RPATH $ORIGIN/1

运行时通过环境变量 LD_LIBRARY_PATH 指定共享库查找路径为目录 2；通过调试动态链接器，可以看到优先在目录 1 中寻找 liba.so；即 rpath 的优先级高于 LD_LIBRARY_PATH.

$ LD_LIBRARY_PATH=$PWD/2 LD_DEBUG=libs ./a.out

find library=liba.so [0]; searching

search path=/home/joy/1/tls:/home/joy/1/x86_64:/home/joy/1 (RPATH from file ./a.out)

trying file=/home/joy/1/tls/x86_64/liba.so

trying file=/home/joy/1/tls/liba.so

trying file=/home/joy/1/x86_64/liba.so

trying file=/home/joy/1/liba.so

find library=libc.so.6 [0]; searching

search path=/home/joy/1 (RPATH from file ./a.out)

trying file=/home/joy/1/libc.so.6

search path=/home/joy/2/tls:/home/joy/2/x86_64:/home/joy/2 (LD_LIBRARY_PATH)

trying file=/home/joy/2/tls/x86_64/libc.so.6

trying file=/home/joy/2/tls/libc.so.6

trying file=/home/joy/2/x86_64/libc.so.6

trying file=/home/joy/2/libc.so.6

search cache=/etc/ld.so.cache

trying file=/lib/x86_64-linux-gnu/libc.so.6

calling init: /lib/x86_64-linux-gnu/libc.so.6

calling init: /home/joy/1/liba.so

initialize program: ./a.out

transferring control: ./a.out

calling fini: ./a.out [0]

calling fini: /home/joy/1/liba.so [0]

一	二	三	四	五	六	日
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31

采蕨

码林野致

Month: 8 月 2020

ASLR 地址空间随机化

使用环境变量调试动态链接器

指定共享库搜索路径的几种方式