CTFのpwn問やると避けて通れないこの用語、やっとちょっとわかったので忘れる前のメモ書きです。

動的リンクと遅延リンク

まず、この2つの用語を理解するためには、動的リンクと遅延リンクの概念を理解する必要があります。

プログラムのコードを書いた後、そのプログラムは機械語に翻訳が行う(コンパイルする)必要があるのは前説明した通りなのですが、その後リンクという作業を行う必要があります。

このリンクというのは、プログラムの実行に必要な変数や関数をつなぎ合わせる作業です。わかりやすい例だとprintf()を使うにはlibcとつなぎ合わせる必要があるということです。

で、このリンク作業を実行ファイルを作るときに全部やって実行ファイルですべて完結するのが静的リンク、実行時に別ファイル(共有ライブラリ)にある関数とつなぎ合わせてあげるのが動的リンクです。

その動的リンクの中で、関数が呼び出されてからリンクを行うのが遅延リンクです。(ちなみに遅延リンク無効の動的リンク、Full RELROは実行時に全てリンクを行います)

GOTとPLT

前節で説明した技術を実現するために使われるのがPLTとGOTです。(Winは違うのを使ってるらしいけど知らんし興味が薄いのでノーコメントで)

動的リンクを実現するための技術です。ELFファイルだと.got、.plt.got(遅延リンク有効時のみ)がこれに相当します。

リンクが必要な関数をここに切り離してまとめ、テキスト領域(機械語で書かれている、プログラム本体に相当する領域)はここを参照して関数実行するようにしておき、動的リンカは実行はじめにここを関数本体へのポインタに書き換えてあげることで動的リンクが実現されています。

遅延リンクを実現するための技術です。ELFファイルだと.pltがこれに相当します。

動作としては、関数呼び出しをここ経由にしておき、PLTはGOTを参照して関数を実行します。

最初GOTにはPLTのリンクを行う処理のアドレスを書いておきます。

初めて関数が呼び出されると、GOTはPLTのリンクを行う処理を指しているため、リンクが行われ、その後リンクによって解決した関数本体へのポインタをGOTに書き込みます。 PLTはリンク処理までもっていき、実際のリンク処理は動的リンカが行います。

それ以降はPLTを呼び出すとGOTには関数へのポインタが入っているため、関数本体がすぐに実行されます。(参考:[1])

実行ファイルを覗くと.got以外に「.plt.got」というセクションがあります。これどっちの名前もついているため、ずっとどっちだよって言ってました。

正解は「PLTが書き換えるためのGOT領域」でした。

じゃあ遅延リンク有効なら.gotセクション要らなくねってなったんですけど、こっちは動的リンカがプログラム実行時に書き換える用のセクションとしての役割があるらしく、簡単なプログラムを書いて確認したところ、__libc_start_mainが.gotセクションにありました。

.plt.gotはその仕様上、書き込みをしなければならないため、遅延リンク有効の場合はどうあがいてもGOT Overritenの脅威がある(という自分での認識)。

遅延リンク無効でも.pltセクションは健在です←なんで？

.plt.gotは使用されず、動的リンカが.gotのポインタを最初に書き換えて、関数呼び出し時は.plt→.got→関数となります。

また、.gotは書き込み不可となっているため、GOTを書き換えてすきな関数を実行するのができません。

参考サイト[2]だけでなく実際に自分でも調べてみましたが、GCC 9.3.0でも同じ動作でした。Clangだと変わったりするのかなぁ

リンカ・ローダ実践開発テクニック(境井弘亮著　CQ出版社)