[DreamHack System Hacking] Linux Library exploit > _rtld_global

 

라이브러리 코드를 분석하면서 어떤 방식으로 프로세스를 종료하는지 알아보자.

 

 

_rtld_global 실습 예제

// Name: rtld.c
// Compile: gcc -o rtld rtld.c
int main() {
  return 0;
}

다음의 코드는 종료하는 과정을 알아보기 위한 예제 코드이다.

 

 

 

_rtld_global

__Gl_exit

앞서 컴파일 한 예제 코드는 별다른 코드를 실행하지 않고 프로그램을 종료한다.

디버깅을 통해 더 자세히 알아보자.

 

main 함수 내에 리턴하는 명령어에 브레이크 포인트를 설정한다.

 

step into (si)를 통해 다음 코드를 확인한다.

디버깅 결과를 확인해보면, main 함수 내에서 리턴 명령어를 실행했을 때 스택 최상단에 있는 __libc_start_main+231 의 코드가 실행되고, 내부에서 __GI_exit 함수를 호출하는 걸 알 수 있다.

다음은 __GI_exit 함수 내부의 모습이다.

또 다른 __run_exit_handlers 함수를 확인할 수 있다. 해당 함수는 코드의 크기가 크므로, 라이브러리 코드를 통해 분석해보자.

 

 

 

 

__run_exit_handlers

다음은 __run_exit_handlers 함수의 코드이다.

void
attribute_hidden
__run_exit_handlers (int status, struct exit_function_list **listp,
		     bool run_list_atexit, bool run_dtors)
{
	  const struct exit_function *const f = &cur->fns[--cur->idx];
	  switch (f->flavor)
	    {
	      void (*atfct) (void);
	      void (*onfct) (int status, void *arg);
	      void (*cxafct) (void *arg, int status);
	    case ef_free:
	    case ef_us:
	      break;
	    case ef_on:
	      onfct = f->func.on.fn;
#ifdef PTR_DEMANGLE
	      PTR_DEMANGLE (onfct);
#endif
	      onfct (status, f->func.on.arg);
	      break;
	    case ef_at:
	      atfct = f->func.at;
#ifdef PTR_DEMANGLE
	      PTR_DEMANGLE (atfct);
#endif
	      atfct ();
	      break;
	    case ef_cxa:
	      cxafct = f->func.cxa.fn;
#ifdef PTR_DEMANGLE
	      PTR_DEMANGLE (cxafct);
#endif
	      cxafct (f->func.cxa.arg, status);
	      break;
	    }
	}

 

exit_function 구조체의 멤버 변수에 따른 함수 포인터를 호출하는 걸 확인할 수 있다.

리턴 명령어를 실행해 프로그램을 종료한다면 _dl_fini 함수를 호출한다.

exit_function 구조체의 모습은 다음과 같다.

struct exit_function
{
/* `flavour' should be of type of the `enum' above but since we need
   this element in an atomic operation we have to use `long int'.  */
long int flavor;
union
  {
void (*at) (void);
struct
  {
    void (*fn) (int status, void *arg);
    void *arg;
  } on;
struct
{
    void (*fn) (void *arg, int status);
    void *arg;
    void *dso_handle;
  } cxa;
  } func;
};

 

 

 

 

_dl_fini

다음은 로더에 존재하는 _dl_fini 함수 코드의 일부이다.

# define __rtld_lock_lock_recursive(NAME) \
  GL(dl_rtld_lock_recursive) (&(NAME).mutex)
  
void
_dl_fini (void)
{
#ifdef SHARED
  int do_audit = 0;
 again:
#endif
  for (Lmid_t ns = GL(dl_nns) - 1; ns >= 0; --ns)
    {
      /* Protect against concurrent loads and unloads.  */
      __rtld_lock_lock_recursive (GL(dl_load_lock));

코드를 살펴보면, _dl_load_lock 을 인자로 __rtld_lock_lock_recursive 함수를 호출하는 걸 확인할 수 있다.

매크로를 확인해보면, 해당 함수는 dl_rtld_lock_recursive라는 함수 포인터임을 알 수 있다.

 

해당 함수 포인터는 _rtld_global 구조체의 멤버 변수이다.

해당 구조체는 매우 방대하기 때문에 함수 포인터와 전달되는 인자인 dl_load_lock 만을 살펴보자.

 

 

 

 

 

_rtld_global

다음은 gdb에서 _rtld_global 구조체를 출력한 모습이다. 구조체 내 _dl_rtld_lock_recursive 함수 포인터에는 rtld_lock_default_lock_recursive 함수 주소를 저장하고 있다.

구조체의 함수 포인터가 저장된 영역은 읽기 및 쓰기 권한이 존재하기 때문에 덮어쓰는 것 또한 가능하다.

 

 

 

 

 

_rtld_global 초기화

다음은 프로세스를 로드할 때 호출되는 dl_main 코드의 일부이다.

static void
dl_main (const ElfW(Phdr) *phdr,
	 ElfW(Word) phnum,
	 ElfW(Addr) *user_entry,
	 ElfW(auxv_t) *auxv)
{
  GL(dl_init_static_tls) = &_dl_nothread_init_static_tls;
#if defined SHARED && defined _LIBC_REENTRANT \
    && defined __rtld_lock_default_lock_recursive
  GL(dl_rtld_lock_recursive) = rtld_lock_default_lock_recursive;
  GL(dl_rtld_unlock_recursive) = rtld_lock_default_unlock_recursive;

_rtld_global 구조체의 dl_rtld_lock_recursive 함수 포인터가 초기화되는 걸 확인할 수 있다.