可以更改动态 libc.so 地址吗？答案

【问题标题】：Possible to change dynamic libc.so address?可以更改动态 libc.so 地址吗？
【发布时间】：2012-05-14 20:51:01
【问题描述】：

命令

gcc main.c -o main
ldd main

产量

linux-gate.so.1 => (0x00f67000)
libc.so.6 => /lib/i386-linux-gnu/libc.so.6 (0x00b7d000)
/lib/ld-linux.so.2 (0x00ae5000)

是否可以更改 libc.so.6 将在内存中映射的地址？例如，将 libc.so.6 映射到例如 0xb0000000。

我正在运行 Xubuntu 32 位：Linux 3.2.0-23-generic i686 i686 i386 GNU/Linux

【问题讨论】：

你为什么要问？另请阅读en.wikipedia.org/wiki/Address_space_layout_randomization
为了执行一些 ret2libc 缓冲区溢出攻击，有效负载字符串必须包含一些 libc 函数的地址，这些函数在我的二进制文件的 plt 部分中不存在。该字符串不应包含任何 \x00 字节，因此我希望 libc 库在内存中更高。请注意，这只是一个自定义的“培训二进制文件”。我的系统上暂时禁用了 ASLR（它只是一个用于此目的的虚拟机，因此没有任何危害）。

标签： linux gcc ld

【解决方案1】：

有一个prelink 实用程序(wiki page) 能够更改so 库的加载地址（称为“基地址”）。

有一些关于预链接如何工作的信息：http://www.acsu.buffalo.edu/~charngda/elf.html

这个预链接有什么作用？当动态库加载到内存中时，它将动态库的基地址更改为用户程序地址空间中的实际地址。当然，ld.so 可以识别 GNU_PRELINKED 标签，并将动态库加载到它的这个基地址（记住 mmap 的第一个参数是首选地址；当然，这取决于操作系统。）

通常，动态库是作为位置无关代码构建的，即 -fPIC 编译器命令行选项，因此基地址为 0。例如，普通的 libc.so 具有如下 ELF 程序头（@987654325 @命令）...

根据man prelink，有一个预链接实用程序选项可以将给定库重新定位（重新定位）到指定地址：

-r --reloc-only=ADDRESS 无需预先链接，只需将给定的共享库重新链接到指定的基地址即可。

prelink --reloc-only=0x7896000 libc.so.6 应该足以实现您想要的更改。

PS：您可以在本地的 libc 副本上执行此重定位，然后通过 export LD_LIBRARY_PATH=/path/to/your/rebased/copy:$LD_LIBRARY_PATH 提供指向它的路径

【讨论】：