当前位置：首页 > news >正文

深入glibc源码：图解_dl_fixup如何解析动态链接函数（附ret2dlresolve利用原理）

news 2026/6/5 9:59:42

深入glibc源码：图解_dl_fixup如何解析动态链接函数

在Linux系统的动态链接机制中，_dl_fixup函数扮演着至关重要的角色。本文将带您深入glibc-2.23源码，通过图解方式剖析这个关键函数的运作原理，并揭示其与ret2dlresolve攻击技术的内在联系。

1. 动态链接基础架构

动态链接是现代操作系统实现代码共享的核心机制。当一个程序调用动态链接库中的函数时，系统不会立即加载该函数的实际代码，而是采用"延迟绑定"(Lazy Binding)技术，在函数第一次被调用时才进行解析和加载。

这种机制依赖于几个关键数据结构：

PLT(Procedure Linkage Table)：程序链接表，包含跳转到GOT的指令
GOT(Global Offset Table)：全局偏移表，存储函数地址
.rel.plt：重定位表，记录需要重定位的函数信息
.dynsym：动态符号表，存储符号信息
.dynstr：动态字符串表，存储函数名等字符串

当程序第一次调用动态链接函数时，会经历以下流程：

跳转到PLT表对应条目
PLT条目跳转到GOT中存储的地址
第一次调用时，GOT指向PLT中的下一条指令
该指令将重定位参数压栈并跳转到PLT[0]
PLT[0]将link_map压栈并跳转到_dl_runtime_resolve

2. _dl_fixup函数源码解析

_dl_fixup是动态链接解析的核心函数，位于glibc的dl-runtime.c文件中。让我们逐段分析其实现：

_dl_fixup (struct link_map *l, ElfW(Word) reloc_arg) { // 获取符号表地址 const ElfW(Sym) *const symtab = (const void *) D_PTR (l, l_info[DT_SYMTAB]); // 获取字符串表地址 const char *strtab = (const void *) D_PTR (l, l_info[DT_STRTAB]); // 计算重定位项地址 const PLTREL *const reloc = (const void *) (D_PTR (l, l_info[DT_JMPREL]) + reloc_offset); // 获取符号表项 const ElfW(Sym) *sym = &symtab[ELFW(R_SYM) (reloc->r_info)]; // 检查重定位类型 assert (ELFW(R_TYPE)(reloc->r_info) == ELF_MACHINE_JMP_SLOT);

这段代码展示了_dl_fixup如何通过link_map结构访问各种关键数据结构。其中：

l_info数组存储了动态段的各种信息
DT_JMPREL指向.rel.plt段
DT_SYMTAB指向.dynsym段
DT_STRTAB指向.dynstr段

函数接着进行符号查找：

if (__builtin_expect (ELFW(ST_VISIBILITY) (sym->st_other), 0) == 0) { // 复杂查找路径 result = _dl_lookup_symbol_x (strtab + sym->st_name, l, &sym, l->l_scope, version, ELF_RTYPE_CLASS_PLT, flags, NULL); value = DL_FIXUP_MAKE_VALUE (result, sym ? (LOOKUP_VALUE_ADDRESS (result) + sym->st_value) : 0); } else { // 简化查找路径 value = DL_FIXUP_MAKE_VALUE (l, l->l_addr + sym->st_value); result = l; }

最后，函数将解析得到的地址写入GOT表：

// 写入GOT表 return elf_machine_fixup_plt (l, result, reloc, rel_addr, value);

3. 关键数据结构详解

理解_dl_fixup需要熟悉几个核心数据结构：

3.1 Elf32_Rel结构体

32位系统下的重定位项结构：

typedef struct { Elf32_Addr r_offset; // 需要重定位的地址 Elf32_Word r_info; // 符号索引和重定位类型 } Elf32_Rel;

r_offset：指向GOT表中需要修改的位置
r_info：低8位表示重定位类型，高24位表示符号表索引

3.2 Elf32_Sym结构体

符号表项结构：

typedef struct { Elf32_Word st_name; // 符号名在字符串表中的偏移 Elf32_Addr st_value; // 符号值 Elf32_Word st_size; // 符号大小 unsigned char st_info;// 符号类型和绑定属性 unsigned char st_other;// 符号可见性 Elf32_Section st_shndx;// 节区索引 } Elf32_Sym;

3.3 link_map结构

link_map是动态链接器的核心数据结构，包含模块的加载信息和各种表的指针：

struct link_map { ElfW(Addr) l_addr; // 模块加载基址 char *l_name; // 模块名称 ElfW(Dyn) *l_ld; // 动态段指针 struct link_map *l_next, *l_prev; // 链表指针 // 更多字段... };

4. ret2dlresolve攻击原理

ret2dlresolve攻击正是基于对_dl_fixup函数解析过程的理解。攻击者通过伪造关键数据结构，"欺骗"动态链接器解析并执行任意函数。

攻击步骤通常包括：

控制reloc_arg：使重定位项指向可控内存区域
伪造Elf32_Rel结构：控制r_info指向伪造的符号表项
伪造Elf32_Sym结构：控制st_name指向伪造的字符串
伪造函数名字符串：将目标函数名(如"system")写入内存

下表展示了正常解析与攻击伪造的对比：

步骤	正常解析	ret2dlresolve攻击
重定位项	.rel.plt中的合法项	伪造的Elf32_Rel结构
符号表项	.dynsym中的合法项	伪造的Elf32_Sym结构
字符串	.dynstr中的函数名	伪造的字符串(如"system")

5. 64位系统的特殊考量

64位系统下的ret2dlresolve攻击面临额外挑战：

数据结构差异：
- 重定位项使用Elf64_Rela结构，包含64位字段和addend
- 符号表项大小为24字节

额外验证：

if (l->l_info[VERSYMIDX (DT_VERSYM)] != NULL) { const ElfW(Half) *vernum = (const void *) D_PTR (l, l_info[VERSYMIDX (DT_VERSYM)]); ElfW(Half) ndx = vernum[ELFW(R_SYM) (reloc->r_info)] & 0x7fff; // ... }

这段代码会检查符号版本信息，如果伪造的符号表索引过大，可能导致越界访问。

解决方案通常包括：

设置st_other不为0，跳过版本检查
精心构造伪造数据，使索引值合法

6. 防御措施与绕过技术

现代系统采用了多种防护措施对抗ret2dlresolve攻击：

RELRO保护：
- No RELRO：.dynamic等段可写，攻击最简单
- Partial RELRO：部分段只读，增加攻击难度
- Full RELRO：所有段在启动时解析并设为只读
绕过技术：
- 对于Partial RELRO，可以伪造整个link_map结构
- 利用已解析函数的GOT条目作为伪造的符号表

# 示例：伪造link_map的Python代码片段 def fake_linkmap(fake_addr, known_got, offset): linkmap = p64(offset & (2**64-1)) # l_addr linkmap += p64(0) # 填充 linkmap += p64(fake_addr + 0x18) # DT_JMPREL指针 # 更多伪造数据... return linkmap