Linux动态链接中的PLT和GOT

动态链接和静态链接的简单理解

可以理解为:如果文章引用了别人的一部分文字,把别人的段落复制到我的文章中·,就属于静态链接,动态链接就可以理解为给一个超链接让自己去看

PLT和GOT

Linux下的动态链接是通过PLT & GOT实现的,使用测试代码test.c来进行理解

   #include <stdio.h>
void print_banner()
{
    printf("Welcome to World of PLT and GOT\n");
}
int main(void)
{
    print_banner();
    return 0;
}

使用下列命令:

编译:gcc -Wall -g -o test.o -c test.c -m32

链接:gcc -o test test.o -m32

现在的Linux系统为x86_64系统,因为后续需要对中间文件test.o以及可执行文件test反编译,分析汇编指令,因此使用-m32来生成i386架构指令

通过objdump -d test.o查看反汇编

00000000 <print_banner>:
   0:	f3 0f 1e fb          	endbr32 
   4:	55                   	push   %ebp
   5:	89 e5                	mov    %esp,%ebp
   7:	53                   	push   %ebx
   8:	83 ec 04             	sub    $0x4,%esp
   b:	e8 fc ff ff ff       	call   c <print_banner+0xc>
  10:	05 01 00 00 00       	add    $0x1,%eax
  15:	83 ec 0c             	sub    $0xc,%esp
  18:	8d 90 00 00 00 00    	lea    0x0(%eax),%edx
  1e:	52                   	push   %edx
  1f:	89 c3                	mov    %eax,%ebx
  21:	e8 fc ff ff ff       	call   22 <print_banner+0x22>
  26:	83 c4 10             	add    $0x10,%esp
  29:	90                   	nop
  2a:	8b 5d fc             	mov    -0x4(%ebp),%ebx
  2d:	c9                   	leave  
  2e:	c3                   	ret    

0000002f <main>:
  2f:	f3 0f 1e fb          	endbr32 
  33:	55                   	push   %ebp
  34:	89 e5                	mov    %esp,%ebp
  36:	83 e4 f0             	and    $0xfffffff0,%esp
  39:	e8 fc ff ff ff       	call   3a <main+0xb>
  3e:	05 01 00 00 00       	add    $0x1,%eax
  43:	e8 fc ff ff ff       	call   44 <main+0x15>
  48:	b8 00 00 00 00       	mov    $0x0,%eax
  4d:	c9                   	leave  
  4e:	c3                   	ret    

Disassembly of section .text.__x86.get_pc_thunk.ax:

00000000 <__x86.get_pc_thunk.ax>:
   0:	8b 04 24             	mov    (%esp),%eax
   3:	c3                   	ret

print_banner()内调用了printf(),printf()函数在glibc动态库里。在编译和链接阶段,链接器无法知道进程运行起来后printf函数的加载地址,所以上面call <print_banner+0x22>是无法填充的,只有进程运行起来以后,printf函数的地址才能确定。

接下来要做的就是修改(重定位)call指令,简单的办法就是将指令中的printf_banner改为printf真正的函数地址,但是会出现两个问题:

目前的操作系统不允许修改代码段,只能够修改数据段

如果printf_banner是类似于printf()一样的函数,在动态链接库(.so对象内),那么修改它就没有办法做到系统内所有进程共享同一个动态库。

因此,printf函数地址只能回写到数据段内,而不能回写到代码段上。

回写:指运行时修改,即运行时重定位,与之对应的还有链接时重定位。

编译阶段,是将.c文件的源代码翻译成汇编指令的中间文件,即上面生成的.o中间文件。分析上面生成的printf_banner的汇编指令:

00000000 <print_banner>:
   0:	f3 0f 1e fb          	endbr32 
   4:	55                   	push   %ebp
   5:	89 e5                	mov    %esp,%ebp
   7:	53                   	push   %ebx
   8:	83 ec 04             	sub    $0x4,%esp
   b:	e8 fc ff ff ff       	call   c <print_banner+0xc>
  10:	05 01 00 00 00       	add    $0x1,%eax
  15:	83 ec 0c             	sub    $0xc,%esp
  18:	8d 90 00 00 00 00    	lea    0x0(%eax),%edx
  1e:	52                   	push   %edx
  1f:	89 c3                	mov    %eax,%ebx
  21:	e8 fc ff ff ff       	call   22 <print_banner+0x22>
  26:	83 c4 10             	add    $0x10,%esp
  29:	90                   	nop
  2a:	8b 5d fc             	mov    -0x4(%ebp),%ebx
  2d:	c9                   	leave  
  2e:	c3                   	ret

可以注意到,call指令的操作数为e8 fc ff ff ff,由x86的小端序可以翻译为0xfffffffc,即有符号数-4。这里应该存放printf函数的地址,但是由于编译阶段无法知道printf函数的地址,所以预先放一个-4,用重定位项来描述:这个地址在链接时会被修正,它的修正值是根据printf的地址(符号)来修正,修正方式按相对引用方式。这个过程被称为链接时重定位,与上面的运行时重定位原理完全一样,只是修正的时机不一样。

链接阶段,是将一个或多个中间文件(.o文件)通过链接器将它们链接成一个可执行文件,链接阶段的主要任务:

  1. 将各个中间文件之间同名的section合并
  2. 对代码段、数据段以及各符号段进行地址分配
  3. 链接时重定位修正

除了重定位过程,其他的动作不能够修改中间文件的函数体内指令,重定位也不能修改编译过程生成的汇编指令,只能修改指令中的操作数。

但是在编译阶段,编译器没有办法知道printf函数是在glibc运行库还是在其他的.o中,那么编译器只能生成调用printf的指令,不管printf在glibc还是在其他.o定义都能工作。如果是在其他的.o中定义了printf函数,那么在链接阶段,printf的地址就已经确定,可以直接重定位。如果printf定义在动态库内(定义在动态库内不知道地址),链接阶段无法做重定位。

前面说运行时重定位无法修改代码,只能将printf重定位到数据段,那么就需要call指令感知到重定位好的数据段内容。链接器生成一段额外的小代码片段,通过这段代码获取printf函数地址,并完成对它的调用。

链接器生成的额外代码如下:

.text
...

// 调用printf的call指令
call printf_stub
...

printf_stub:
    mov rax, [printf函数的储存地址] // 获取printf重定位之后的地址
    jmp rax // 跳过去执行printf函数

.data
...
printf函数的储存地址:
  这里储存printf函数重定位后的地址

链接阶段能够发现printf函数在定义动态库时,链接器会生成一段代码printf_stub,printf_stub取代原来的printf,因此转化为链接阶段对printf_stub做链接重定位,而运行时才对printf做运行时重定位。

总结来说,动态链接每个函数需要两个东西:

  1. 用来存放外部函数地址的数据段
  2. 用来获取数据段记录的外部函数地址的代码

如果可执行文件中调用多个动态库函数,那每个函数都需要这两样东西,这样每样东西就形成一个表,每个函数使用其中一项。对应两个表,用来存放外部函数地址的数据表称为全局偏移表(GOT,Global Offset Table)存放额外代码的表称为程序链接表(PLT,Procedure Link Table)

用大佬的文章里的示意图来说明PLT&GOT是怎么运行的:

PLT和GOT原理雏形

可执行文件里面保存的是PLT表的地址,对应PLT地址指向的是GOT的地址,GOT表指向的是glibc的地址,当然这个图不能完整地描述Linux下的PLT&GOT真实过程。

延迟重定位

前面说到的PLT从GOT表中获取地址并完成调用,这个前提是GOT必须在PLT执行之前,所有函数都已经完成运行时重定位。

在Linux中,fork之后的父子进程内存的写时拷贝机制、Linux用户态内存空间分配、C++库的string类写时拷贝机制、动态链接中的延迟重定位机制,都会尽可能地延迟退后,直到无法回避才做最后的修正工作。

当可执行文件调用的动态库很多时,在进程初始化时都会对这些函数做地址解析和重定位工作,大大增加进程的启动时间, 所以Linux提出延时重定位机制,只有动态库函数被调用时,才会对地址解析和重定位工作。

要实现等到调用函数时才做中定位工作的机制就要有一个状态描述该GOT表是否已完成重定位。

首先能想到的办法就是在GOT表中增加一个状态位,用来描述GOT表项是否已完成重定位,那么每个函数就有两个GOT表项了。

相应的伪代码如下:

void printf@plt()
{
    if (printf@got[0] != RELOCATED) { // 如果没完成重定位
        调用重定位函数
        printf@got[1] = 地址解析发现的printf地址;
        printf@got[0] = RELOCATED;
    }

    jmp *printf@got[1];
}

使用这个方案会导致占用内存增加一倍,但是仔细观察能发现,这两项明显不会出现同时使用的情况,那么直接用一个GOT项来实现。Linux动态链接器就使用了类似方案。

把上面的伪代码倒过来写就可以得到新的伪代码:

void printf@plt()
{
address_good:
    jmp *printf@got            // 链接器将printf@got填成下一语句lookup_printf的地址

lookup_printf:
        调用重定位函数查找printf地址,并写到printf@got

        goto address_good;
}

在链接成可执行文件test时,链接器将printf@got表项的内容填写lookup_printf的地址。

即程序第一次调用printf时,通过printf@got表引导到查找printf的plt指令的后半部分,在后半部分中跳转到动态链接器中将printf地址解析出来,并重定位回printf@got项内。

在第二次调用printf时,通过printf@got直接跳到printf执行。

通过 objdump -d test > test.asm 可以看到其中 plt 表项有三条指令:

Disassembly of section .plt:

080482d0 <common@plt-0x10>:
 80482d0:	ff 35 04 a0 04 08    	pushl  0x804a004
 80482d6:	ff 25 08 a0 04 08    	jmp    *0x804a008
 80482dc:	00 00                	add    %al,(%eax)
	...

080482e0 <puts@plt>:
 80482e0:	ff 25 0c a0 04 08    	jmp    *0x804a00c
 80482e6:	68 00 00 00 00       	push   $0x0
 80482eb:	e9 e0 ff ff ff       	jmp    80482d0 <_init+0x28>

080482f0 <__libc_start_main@plt>:
 80482f0:	ff 25 10 a0 04 08    	jmp    *0x804a010
 80482f6:	68 08 00 00 00       	push   $0x8
 80482fb:	e9 d0 ff ff ff       	jmp    80482d0 <_init+0x28>

(将第一项plt表修改成**<common@plt>**项,objdump -d输出结果会使用错误的符号名。那是因为该项是没有符号的,而objdump输出时,给它找了一个地址接近符号,所以会显示错误的符号名,为了避免引起误解,直接删掉)

每个plt指令中的jmp指令都是访问相应的got表项,在函数第一次调用之前,这些got项的内容都是链接器生成的,它的值指向plt中jmp的下一条指令。

可以通过gdb查看got表内容:(先 gdb test 然后 b main,再 run, 再 x/x 地址x/xw 地址 就可以)

image-20230712164219794

0x080182e6即jmp下一条的指令地址。

push $0x0将数据压到栈上,作为将要执行的函数的参数。

jmp 80482d0跳转到第一个表项,所有的plt都跳转到common@plt中执行,这是动态链接做符号解析和动态链接的公共入口,并不是每个plt表都有的重复的一份指令。

公共GOT表项

将前面提到的公共plt摘取出来:

080482d0 <common@plt-0x10>:
 80482d0:	ff 35 04 a0 04 08    	pushl  0x804a004
 80482d6:	ff 25 08 a0 04 08    	jmp    *0x804a008
 80482dc:	00 00                	add    %al,(%eax)

pushl 0x804a004是将地址压到栈上,向最终调用的函数传递参数,jmp *0x804a008跳到最终的函数去执行,即跳到能解析动态库函数地址的代码里面执行

gdb-peda$ file test
Reading symbols from test...done.
gdb-peda$ x/xw 0x804a008
0x804a008:	0x00000000
gdb-peda$ b main
Breakpoint 1 at 0x8048435: file test.c, line 8.
gdb-peda$ r
Starting program: /home/giantbranch/Desktop/PWN/test 
...
gdb-peda$ x/xw 0x804a008
0x804a008:	0xf7fee000

可以看出,进程还没有运行时,值为0x00000000,当进程运行起来时,值变为了0xf7fee000,如果做更进一步的调试会发现这个地址位于动态链接器内,对应的函数为**_dl_runtime_resolve**。

接下来需要解决三个问题:

  • _dll_runtime_resolve是怎么知道要查找printf函数的
  • _dll_runtime_resolve找到printf函数地址后,怎么知道回写到哪个GOT表项
  • 到底 _dll_runtime_resolve是什么时候被写到GOT表的

前两个问题,以printf@plt为例:

printf@plt>:
   jmp *0x804a00c
   push $0x00
   jmp common@plt

第二条指令中,每个xxx@plt的第二条指令push的操作数都不一样,相当于函数的id,动态链接器通过它可以知道要解析哪个函数。

使用readelf -r test命令可以查看test可执行文件中的重定位信息,查看.rel.plt这段:

giantbranch@ubuntu:~/Desktop/PWN$ readelf -r test

Relocation section '.rel.dyn' at offset 0x290 contains 1 entries:
 Offset     Info    Type            Sym.Value  Sym. Name
08049ffc  00000206 R_386_GLOB_DAT    00000000   __gmon_start__

Relocation section '.rel.plt' at offset 0x298 contains 2 entries:
 Offset     Info    Type            Sym.Value  Sym. Name
0804a00c  00000107 R_386_JUMP_SLOT   00000000   puts@GLIBC_2.0
0804a010  00000307 R_386_JUMP_SLOT   00000000   __libc_start_main@GLIBC_2.0

和前面各函数plt指令中的push操作数结合起来看:

printf对应push 0x0, _libc_start_main对应push 0x8,这些操作数对应这两个函数在.rel.plt段的偏移量,在 _dl_runtime_resolve函数内,根据这个offset和.rel.plt段的信息,就知道要解析的函数。.rel.plt最左边的offset字段,它就是GOT表项的地址,也即 _dl_runtime_resolve做完符号解析之后,重定位回写的空间。

第三个问题, 可执行文件在Linux内核通过exeve装载完成后,不直接执行,而是先跳到动态链接器(Id-linux-XXX)执行,在Id-linux-XXX内将_dl_runtime_resolve地址写到GOT表内。

在i386架构下,除了每个函数占用一个GOT表项以外,GOT表项还保留了三个公共表项,也就是GOT表的前三项,分别为:

  • GOT[0]:本ELF动态段(。dynamic段)的装载地址
  • GOT[1]:本ELF的link_map数据结构描述符地址
  • GOT[2]:_dl_runtime_resolve函数的地址

动态链接器在加载完ELF后,都会将这三个地址写入GOT表的前三项。

关于GOT[1]地址,只有link_map结构,结合.rel.plt段的偏移量,才能真正找到该elf的.rel.plt表项。

总结

关系图

下图为编译完成后,PLT和GOT的关系图:

图中重点标注了从调用printf函数语句的汇编指令call puts@plt跳转过程,序号为跳转顺序

PLT表结构有如下特点:

  • PLT表的第一项为公共表项,剩下的是每个动态库函数为一项
  • 每项PLT都从对应的GOT表项中读取目标函数地址

GOT表结构有如下特点:

  • GOT表中的前3个为特殊项,分别用于保存.dynamic段地址、本镜像的link_map数据结构地址和_dl_runtime_resolve函数地址,但在编译时,无法获取知道link_map地址和dl_runtime_resolve函数地址,所以编译时填零地址,进程启动时有动态链接器进行填充
  • 3个特殊项后面依次是每个动态库函数的GOT表项

可以抽象为以下的伪代码:

plt[0]:
  pushl got[1]
  jmp  *got[2]

plt[n]:                // n >= 1
  jmp *got[n+2]        // GOT前3项为公共项,第3项开始才是函数项,plt[1]对应的GOT[3],以此类推
  push (n-1)*8
  jmp plt[0]

got[0]  = address of .dynamic section
got[1]  = address of link_map object( 编译时填充0)
got[2]  = address of _dl_runtime_resolve function (编译时填充为0)
got[n+2]  = plt[n] + 6 (即plt[n]代码片段的第二条指令)

进程启动以后的GOT表

PLT属于代码段,在进程加载和运行过程都不会发生改变,PLT指向GOT表的关系在编译时已完全确定,唯一能变化的是GOT表。

Linux加载进程时,通过execve系统调用进入内核态,将镜像加载到内存,然后返回用户态执行。返回用户态时,它的控制权并不是交给可执行文件,而是给动态链接器去完成一些基础的功能,比如上述的GOT[1],GOT[2]的填写就是这个阶段完成的,下面是动态链接器填完GOT[1],GOT[2]后的GOT图:

使用readelf -d test(可以在ELF中寻找动态节并显示)命令显示ELF文件的.dynamic段,通过PLTGOT项,动态链接器可以知道GOT表的首地址

giantbranch@ubuntu:~/Desktop/PWN$ readelf -d test

Dynamic section at offset 0xf14 contains 24 entries:
  Tag        Type                         Name/Value
 0x00000001 (NEEDED)                     Shared library: [libc.so.6]
 0x0000000c (INIT)                       0x80482a8
 0x0000000d (FINI)                       0x80484b4
 0x00000019 (INIT_ARRAY)                 0x8049f08
 0x0000001b (INIT_ARRAYSZ)               4 (bytes)
 0x0000001a (FINI_ARRAY)                 0x8049f0c
 0x0000001c (FINI_ARRAYSZ)               4 (bytes)
 0x6ffffef5 (GNU_HASH)                   0x80481ac
 0x00000005 (STRTAB)                     0x804821c
 0x00000006 (SYMTAB)                     0x80481cc
 0x0000000a (STRSZ)                      74 (bytes)
 0x0000000b (SYMENT)                     16 (bytes)
 0x00000015 (DEBUG)                      0x0
 0x00000003 (PLTGOT)                     0x804a000
 0x00000002 (PLTRELSZ)                   16 (bytes)
 0x00000014 (PLTREL)                     REL
 0x00000017 (JMPREL)                     0x8048298
 0x00000011 (REL)                        0x8048290
 0x00000012 (RELSZ)                      8 (bytes)
 0x00000013 (RELENT)                     8 (bytes)
 0x6ffffffe (VERNEED)                    0x8048270
 0x6fffffff (VERNEEDNUM)                 1
 0x6ffffff0 (VERSYM)                     0x8048266
 0x00000000 (NULL)                       0x0

参考