Linux的I/O机制经历了一下几个阶段的演进：

(1)同步阻塞I/O: 用户进程进行I/O操作，一直阻塞到I/O操作完成为止。(2)同步非阻塞I/O: 用户程序可以通过设置文件描述符的属性O_NONBLOCK，I/O操作可以立即返回，但是并不保证I/O操作成功。(3)异步阻塞I/O: 用户进程可以对I/O事件进行阻塞，但是I/O操作并不阻塞。通过select/poll/epoll等函数调用来达到此目的。(4)异步非阻塞I/O: 也叫做异步I/O(AIO)，用户程序可以通过向内核发出I/O请求命令，不用等带I/O事件真正发生，可以继续做另外的事情，等I/O操作完成，内核会通过函数回调或者信号机制通知用户进程。这样很大程度提高了系统吞吐量。1、    一般典型的I/O(同步阻塞I/O)它的典型流程如下：

从应用程序的角度来说，read 调用可能会延续很长时间。实际上，在内核执行读操作和其他工作时，应用程序的确会被阻塞，也就是说应用程序不能做其它事情了。

K文件状态标志。对于非阻塞I/O，read发现没有数据可读，则简单的返回-EAGAIN("try it agin")，而不是阻塞当前进程。来看一个非阻塞I/O的例子：

本系列的最后一篇 感谢各位看客的支持 感谢原作者的付出
一直以来都有读者向笔者咨询教程系列问题，奈何该系列并非笔者所写[笔者仅为代发]且笔者功底薄弱，故无法解答，望见谅
如有关于该系列教程的疑问建议联系论坛的原作者ID：Tangerine

在之前的章节中，我们无数次提到过got表和plt表这两个结构。这两个表有什么不同？为什么调用函数要经过这两个表？ret2dl-resolve与这些内容又有什么关系呢？本节我们将通过调试和“考古”来回答这些问题。

_read上下断点，调试观察发生了什么。

调试 启动后程序断在第一个call _write处

此时我们按F7跟进函数，发现EIP跳到了.plt表上，从旁边的箭头我们可以看到这个jmp指向了后面的push 18h; jmp loc_8048300我们继续F7执行到jmp loc_8048300发生跳转，发现这边又是一个push和一个jmp，这段代码也在.plt上。同样的，我们直接执行到jmp执行完，发现程序跳转到了ld_2.24.so上，这个地址是loc_F7F5D010到这里，有些人可能已经发现了不对劲。刚刚的指令明明是jmp ds:off_804a008，这个F7F5D010是从哪里冒出来的呢？其实这行jmp的意思并不是跳转到地址0x执行代码，而是跳转到地址0x中保存的地址处。同理，一开始的jmp ds:off_804a018也不是跳转到地址0x.OK，我们来看一下这两个地址里保存了什么。

说明这是一个跟write函数相关的代码引用的这个地址，上面的有一个同样的read也说明了这一点。而jmp ds:0ff_804a008也是跳到了0x保存的地址loc_F7F5D010处。

回到刚刚的eip，我们继续F8单步往下走，执行到retn 0Ch，继续往下执行就到了write函数的真正地址现在我们可以归纳出call write的执行流程如下图：然后我们F9到断在call _read，发现其流程也和上图差不多，唯一的区别在于addr1和push num中的数字不一样，call _read时push的数字是0接下来我们让程序执行到第二个call _write，F7跟进后发现jmp ds:0ff_804a018旁边的箭头不再指向下面的push 18h。我们查看.got.plt，发现其内容已经直接变成了write函数在内存中的真实地址。

由此我们可以得出一个结论，只有某个库函数第一次被调用时才会经历一系列繁琐的过程，之后的调用会直接跳转到其对应的地址。那么程序为什么要这么设计呢？

要想回答这个问题，首先我们得从动态链接说起。为了减少存储器浪费，现代操作系统支持动态链接特性。即不是在程序编译的时候就把外部的库函数编译进去，而是在运行时再把包含有对应函数的库加载到内存里。由于内存空间有限，选用函数库的组合无限，显然程序不可能在运行之前就知道自己用到的函数会在哪个地址上。比如说对于libc.so来说，我们要求把它加载到地址0×1000处，A程序只引用了libc.so，从理论上来说这个要求不难办到。但是对于用了liba,so, libb.so, libc.so……liby.so, libz.so的B程序来说，0×1000这个地址可能就被liba.so等库占据了。因此，程序在运行时碰到了外部符号，就需要去找到它们真正的内存地址，这个过程被称为重定位。为了安全，现代操作系统的设计要求代码所在的内存必须是不可修改的，那么诸如call read一类的指令即没办法在编译阶段直接指向read函数所在地址，又没办法在运行时修改成read函数所在地址，怎么保证CPU在运行到这行指令时能正确跳到read函数呢？这就需要got表（Global Offset Table，全局偏移表）和plt表（Procedure Linkage Table，过程链接表）进行辅助了。

正如我们刚刚分析过的流程，在延迟加载的情况下，每个外部函数的got表都会被初始化成plt表中对应项的地址。当call指令执行时，EIP直接跳转到plt表的一个jmp，这个jmp直接指向对应的got表地址，从这个地址取值。此时这个jmp会跳到保存好的，plt表中对应项的地址，在这里把每个函数重定位过程中唯一的不同点，即一个数字入栈（本例子中write是18h,read是0，对于单个程序来说，这个数字是不变的），然后push got[1]并跳转到got[2]保存的地址。在这个地址中对函数进行了重定位，并且修改got表为真正的函数地址。当第二次调用同一个函数的时候，call仍然使EIP跳转到plt表的同一个jmp，不同的是这回从got表取值取到的是真正的地址，从而避免重复进行重定位。

我们通过调试已经大概搞清楚got表，plt表和重定位的流程了，但是作为一名攻击者来说，只了解这些东西并不够。ret2dl-resolve的核心原理是攻击符号重定位流程，使其解析库中存在的任意函数地址，从而实现got表的劫持。为了完成这一目标，我们就必须得深入符号解析的细节，寻找整个解析流程中的潜在攻击点。我们可以在下载到glibc源码，这里我用了glibc-2.27版本的源码。

其采用了GNU风格的语法，可读性比较差，我们对应到IDA中的反汇编结果中修正符号如下_dl_fixup的实现位于glibc/elf/dl-runtime.c，我们首先来看一下函数的参数列表

*都是一样的，不同的函数差别只在于reloc_arg部分。我们继续追踪reloc_arg这个参数的流向。
如果你真的阅读了源码，你会发现这个函数里头找不到reloc_arg，那么这个参数是用不着了吗？不是的，我们往上面看，会看到一个宏定义

strtab的首地址和利用参数reloc_offset寻找对应的PLTREL结构体项，然后会利用这个结构体项reloc寻找symtab中的项sym和一个rel_addr.我们先来看看这个结构体的定义。这个结构体定义在glibc/elf/elf.h中，32位下该结构体为

这个结构体中有两个成员变量，其中r_offset参与了初始化变量rel_addr，这个变量在_dl_fixup的最后return处作为函数elf_machine_fixup_plt的参数传入，r_offset实际上就是函数对应的got表项地址。另一个参数r_info参与了初始化变量sym和一些校验，而sym和其成员变量会作为参数传递给函数_dl_lookup_symbol_x和宏DL_FIXUP_MAKE_VALUE中，显然我们必须关注一下它。不过首先我们得看一下reloc->r_info参与的其他部分代码。
首先我们看到这么一行代码

这行代码用了一大堆宏，ELFW宏用来拼接字符串，在这里实际上是为了自动兼容32和64位，R_TYPE和前面出现过的R_SYM定义如下：

 

 
 

 
 

 
 

 这里省略了部分代码，我们可以从函数名判断出，只有这个if成立，真正进行重定位的函数_dl_lookup_symbol_x才会被执行。ELFW(ST_VISIBILITY)会被解析成宏定义
 
 

 
 

 我们可以看到传入_dl_lookup_symbol_x函数的参数中，第一个参数为strtab+sym->st_name，第三个参数是sym指针的引用。strtab在函数的开头已经赋值为strtab的首地址，查阅资料可知strtab是ELF文件中的一个字符串表，内容包括了.symtab和.debug节的符号表等等。我们根据readelf给出的偏移来看一下这个表。
 
 

 可以看到这里面是有read、write、__libc_start_main等函数的名字的。那么函数_dl_lookup_symbol_x为什么要接收这个名字呢？我们进入这个函数，发现这个函数的代码有点多。考虑到我们关心的是重定位过程中不同的reloc_arg是如何影响函数的重定位的，我们在此不分析其细节。
 
 
 
 
 

 我们看到函数名字会被计算hash，这个hash会传递给do_lookup_x，从函数名和下面对分支的注释我们可以看出来do_lookup_x才是真正进行重定位的函数，而且其返回值res大于0说明寻找到了函数的地址。我们继续进入do_lookup_x，发现其主要是使用用strtab + sym->st_name计算出来的参数new_hash进行计算，与strtab +
 
 

 至此，我们已经分析完了reloc_arg对函数重定位的影响，我们用下面这张图总结一下整个影响过程：
我们以write函数为例进行调试分析，write的reloc_arg是0×18使用readelf查看程序信息，找到JMPREL在0x事实上该信息存储在.rel.plt节里我们找到这块内存，按照结构体格式解析数据，可知r->offset = 0x ,
 r->info=407，与readelf显示的.rel.plt数据吻合。所以是symtab的第四项，我们可以通过#include<elf.h>导入该结构体后使用sizeof算出Elf32_Sym大小为0×10，通过上面readelf显示的节头信息我们发现symtab并不会映射到内存中，可是重定位是在运行过程中进行的，显然在内存中会有相关数据，这就产生了矛盾。通过查阅资料我们可以得知其实symtab有个子集dymsym，在节头表中显示其位于080481cc对照结构体，st_name是0×31，接下来我们去strtab找，同样的，strtab也有个子集dynstr，地址在0804822c.加上0×31后为0804825d
 
 

 通过一系列冗长的源码阅读+调试分析，我们捋了一遍符号重定位的流程，现在我们要站在攻击者的角度看待这个流程了。从上面的分析结果中我们知道其实最终影响解析的是函数的名字，那么如果我们强行把write改成system呢？我们来试一下。我们强行修改内存数据，然后继续运行，发现劫持got表成功，此时write表项是system的地址。那么我们是不是可以修改dynstr里面的数据呢？通过查看内存属性，我们很不幸地发现.rel.plt. .dynsym .dynstr所在的内存区域都不可写。这样一来，我们能够改变的就只有reloc_arg了。基于上面的分析，我们的思路是在内存中伪造Elf32_Rel和Elf32_Sym两个结构体，并手动传递reloc_arg使其指向我们伪造的结构体，让Elf32_Sym.st_name的偏移值指向预先放在内存中的字符串system完成攻击。为了地址可控，我们首先进行栈劫持并跳转到0x0804834B为此我们必须在bss段构造一个新的栈，以便栈劫持完成后程序不会崩溃。ROP链如下：
 
 

 

 测试结果：我们可以看到调用成功了。我们发现其实跳转到write_plt_without_push_reloc_arg上，还是会直接跳转到PLT[0]，所以我们可以把这个地址改成PLT[0]的地址。接下来我们开始着手在新的栈上伪造两个结构体：
 
 

 我们把新栈的地址向后调整了一点，因为在调试深入到_dl_fixup的时候发现某行指令试图对got表写入，而got表正好就在bss的前面，紧接着bss，为了防止运行出错，我们进行了调整。此外，需要注意的是伪造的两个结构体都要与其首地址保持对齐。完成了结构体伪造之后，我们将这些内容放在新栈中，调试的时候确认整个伪造的链条正确，pwn
 


 

 


 

 我们可以可以推断出reloc_arg已经不像32位中是作为一个偏移值存在，而是作为一个数组下标存在。此外，两个关键的结构体也做出了调整：Elf32_Rel升级为Elf64_Rela, Elf32_Sym升级为Elf64_Sym，这两个结构体的大小均为0×18
 


 

 此外，_dl_runtime_resolve的实现位于glibc/sysdeps/x86_64/dl-trampoline.h中，其代码加了宏定义之后可读性很差，核心内容仍然是调用_dl_fixup，此处不再分析。
最后，在64位下进行ret2dl-resolve还有一个问题，即我们在分析源码时提到但是应用中却忽略的一个潜在数组越界：
 


 

 这里会使用reloc->r_info的高位作为下标产生了ndx，然后在link_map的成员数组变量l_versions中取值作为version。为了在伪造的时候正确定位到sym，r_info必然会较大。在32位的情况下，由于程序的映射较为紧凑，
 reloc->r_info的高24位导致vernum数组越界的情况较少。由于程序映射的原因，vernum数组首地址后面有大片内存都是以0×00填充，攻击导致reloc->r_info的高24位过大后从vernum数组中获取到的ndx有很大概率是0，从而由于ndx异常导致l_versions数组越界的几率也较低。我们可以对照源码，IDA调试进入_dl_fixup后，将断点下在if
 


 

 &l->l_versions[ndx];就不会产生非法内存访问。仔细观察会发现0xx之间几乎所有的2字节word型数据都符合要求。因此，大部分情况下32位的题目很少会产生ret2dl-resolve在此处造成的段错误。
 


 

 


 

 


 

 64位下的ret2dl-resolve与32位下的ret2dl-resolve除了上述一些变化之外，exp构造流程并没有什么区别，在此处不再赘述，详细脚本可见于附件。
 


 

 理论上来说，ret2dl-resolve对于所有存在栈溢出，没有Full RELRO(如果开启了Full RELRO，所有符号将会在运行时被全部解析，也就不存在_dl_fixup了)且有一个已知确定的栈地址(可以通过stack
 pivot劫持栈到已知地址)的程序都适用。但是我们从上面的64位ret2dl-resolve中可以看到其必须泄露link_map的地址才能完成利用，对于32位程序来说也可能出现同样的问题。如果出现了不存在输出的栈溢出程序，我们就没办法用这种套路了，那我们该怎么办呢？接下来的几节我们将介绍一些不依赖泄露的攻击手段。
 


 

 从上面32位和64位的攻击脚本我们不难看出来，虽然构造payload的过程很繁琐，但是实际上大部分代码的格式都是固定的，我们完全可以自己把它们封装成一个函数进行调用。当然，我们还可以当一把懒人，直接用别人写好的库。是的，我说的就是一个有趣的，没有使用说明的项目ROPutils()
这个python库的作者似乎挺懒的，不仅不写文档，而且代码也好几年没更新了。不过这并不妨碍其便利性。我们直接看代码roputils.py，其大部分我们会用到的东西都在ROP*和FormatStr这几个类中，不过ROPutils也提供了其他的辅助工具类和函数。当然，在本节中我们只会介绍和ret2dl-resolve相关的一些函数的用法，不做源码分析和过多的介绍。
我们可以直接把roputils.py和自己写的脚本放在同一个文件夹下以使用其中的功能。以~/XMAN 2016-level3/level4为例。其实我们会发现fake
 dl-resolve并不一定需要进行栈劫持，我们只要确保伪造的link_map所在地址已知，且地址能被作为参数传入_dl_fixup即可。我们先来构造一个栈溢出，调用read读取伪造的link_map到.bss中。
 



buf += rop.fill(0x20, buf)  #如果fill的第二个参数被指定，相当于将第二个参数命名的字符串填充至指定长度
 

 然后我们直接使用io.interact(0)就可以打开一个shell了。关于roputils的用法可以参考其github仓库中的examples，其他练习程序不再提供对应的roputils写法的脚本。
 
 

 .dynstr三个重定位相关的节区均为不可写。然而ELF文件中有一个.dynamic节，其中保存了动态链接器所需要的基本信息，而我们的.dynstr也属于这些基本信息中的一个。更棒的是，如果一个程序没有开启RELRO(即checksec显示No RELRO).dynamic节是可写的。（Partial RELRO和Full
 RELRO会在程序加载完成时设置.dynamic为不可写，因此尽管readelf显示其为可写也不可相信）.dynamic节中只包含Elf32/64_Dyn结构体类型的数据，这两个结构体定义在glibc/elf/elf.h下
 
 

 从结构体的定义我们可以看出其由一个d_tag和一个union类型组成，union中的两个变量会随着不同的d_tag进行切换。我们通过readelf看一下.dynstr的d_tag其标记为0×05，union变量显示为值0x0804820c。我们看一下内存中.dynamic节中.dynstr对应的Elf32_Dyn结构体和指针指向的数据。
 
 

 因此，我们只需要在栈溢出后程序中仍然存在至少一个未执行过的函数，我们就可以修改.dynstr对应结构体中的地址，从而使其指向我们伪造的.dynstr数据，进而在解析的时候解析出我们想要的函数。
 
 

 我们以32位的程序为例，打开~/fake_dynstr32/fake_dynstr32这个程序满足了我们需要的一切条件——No RELRO，栈溢出发生在vuln中，exit不会被调用，因此我们可以用上述方法进行攻击。首先我们把所有的字符串从里面拿出来，并且把exit替换成system
 
 

 注意由于memset的一部分也会被system覆盖掉，我们应该把剩余的部分设置为\x00，防止后面的符号偏移值错误。memset由于是在read函数运行之前运行的，所以它的符号已经没用了，可以被覆盖掉。
接下来我们构造ROP链依次写入伪造的dynstr字符串和其保存在Elf32_Dyn中的地址。
 
 

 此时还剩下函数exit未被调用，我们通过前面的步骤伪造了.dynstr，将其中的exit改成了system，因此根据_dl_fixup的原理，此时函数将会解析system的首地址并返回到system上。64位下的利用方式与32位下并没有区别，此处不再进行详细分析。
 
 

 由于各种保护方式的普及，现在能碰到No RELRO的程序已经很少了，因此上节所述的攻击方式能用上的机会并不多，所以这节我们介绍另外一种方式——通过伪造link_map结构体进行攻击。
在前面的源码分析中，我们主要把目光集中在未解析过的函数在_dl_fixup的流程中而忽略了另外一个分支。
 
 
 

 通过注释我们可以看到之前的if起的是判断函数是否被解析过的作用，如果函数被解析过，_dl_fixup就不会调用_dl_lookup_symbol_x对函数进行重定位，而是直接通过宏DL_FIXUP_MAKE_VALUE计算出结果。这边用到了link_map的成员变量l_addr和Elf32/64_Sym的成员变量st_value。这里的l_addr是实际映射地址和原来指定的映射地址的差值，st_value根据对应节的索引值有不同的含义。不过在这里我们并不需要关心那么多，我们只需要知道如果我们能使l->l_addr
 sym->st_value指向一个函数的在内存中的实际地址，那么我们就能返回到这个函数上。但是问题来了，如果我们知道了system在内存中的实际地址，我们何苦用那么麻烦的方式跳转到system上呢？所以答案是我们不知道。我们需要做的是让l->l_addr和sym->st_value其中之一落在got表的某个已解析的函数上（如__libc_start_main），而另一个则设置为system函数和这个函数的偏移值。既然我们都伪造了link_map，那么显然l_addr是我们可以控制的，而sym根据我们的源码分析，它的值最终也是从link_map中获得的（很多节区地址，包括.rel.plt,
 .dynsym, dynstr都是从中取值，更多细节可以对比调试时的link_map数据与源码进行学习）
 
 

 所以这两个值我们都可以进行伪造。此时只要我们知道libc的版本，就能算出system与已解析函数之间的偏移了。
说到这里可能有人会想到，既然伪造的link_map那么厉害，那么我们为什么不在前面的dl-resolve中直接伪造出.dynstr的地址，而要通过一条冗长的求值链返回到system呢？我们来看一下上面的这行代码
 
 

 根据位于glibc/include/Link.h中的link_map结构体定义，这里的l_scope是一个当前link_map的查找范围数组。我们从link_map结构体的定义可以看出来其实这是一个双链表，每一个link_map元素都保存了一个函数库的信息。当查找某个符号的时候，实际上是通过遍历整个双链表，在每个函数库中进行的查询。显然，我们不可能知道libc的link_map地址，所以我们没办法伪造l_scope，也就没办法伪造整个link_map使流程进入_dl_lookup_symbol_x，只能选择让流程进入“函数已被解析过”的分支。
回到主题，我们为了让函数流程绕过_dl_lookup_symbol_x，必须伪造sym使得ELFW(ST_VISIBILITY) (sym->st_other), 0) == 0，根据sym的定义，我们就得伪造symtab和reloc->r_info，所以我们得伪造DT_SYMTAB,
 
后面的link_map数据由于我们用不上就不构造了。根据我们的分析，我们留出来四个8字节数据区用来填充相应的数据，其他部分都置为0.
接下来我们伪造出三个结构体
 

 
 

 现在我们需要做的就是栈劫持，伪造参数跳转到_dl_fixup了。前两者好说，_dl_fixup地址也在got表中的第2项。但是问题是这是一个保存了函数地址的地址，我们没办法放在栈上用ret跳过去，难道要再用一次万能gadgets吗？不，我们可以选择这个把这行指令地址放到栈上，用ret就可以跳进_fix_up.现在我们需要的东西都齐了，只要把它们组装起来，pwn