Background: Library - Static Link vs. Dynamic Link

---

라이브러리 📚

여러 컴파일 언어들은 자주 사용되는 함수들의 정의를 묶어서 하나의 lib 파일로 생성
이를 여러 프로그램이 공유해서 사용할 수 있도록 지원합니다.

라이브러리를 사용하면 같은 함수들 반복적 정의 필요 X
즉, 코드 개발의 효율성이 향상되는 장점!!

또한 각 언어에 범용적 사용되는 함수들은 표준 lib가 제작되어 개발자들이 편리하게 사용하죠
대표적인 C의 표준 라이브러리인 libc는 우분투에 기본 탑재된 lib입니다.
실습환경에선 /lib/x86_64-linux-gun/libc-2.27.so 가 있죠

그리고 기타 함수들의 사용에 있어서 정의 없이 사용할 수 있는 이유도 이 이유 때문입니다.

대표적인 라이브러리

---

링크🖇️

링크(Link)는 많은 프로그래밍 언어에 컴파일의 마지막 단계로써..
프로그램에서 어떤 lib의 함수를 사용하면, 호출된 함수와 실제 lib함수가 링크 과정에 연결됨

리눅스에서 C 소스 코드는 전처리, 컴파일, 어셈블 과정을 거쳐 ELF 형식을..
갖춘 오브젝트 파일(Object file)로 번역되며 위에 명령어로 hello-world.c로 어셈블됩니다.
아례와 같은 명령어로 어셈블 할 수 있습니다.

오브젝트 파일은 실행 가능한 형식을 갖추고 있지만, lib 함수들의 정의의 위치를 모르기에 실행 X
다음 명령어를 실행해보면, puts의 선언이 stdio.h에 있어서 심볼(Symbol;)로 기록되나 그에 대한 내용은..
심볼과 관련된 정보들을 찾아서 최종 실행 파일에 기록하는 것이 링크 과정에서 하는 일 중 하나입니다.

이게... 바로 이렇게 뜨면 안되는데.. 링크로 알아서 해주네요

참고로 밑에 코드들은 위에 실행한 것들 확인 용도 코드입니다.
한번쯤 하셔도 좋고, 안해도 좋고..

// Name: hello-world.c
// Compile: gcc -o hello-world hello-world.c
 
#include <stdio.h>
 
int main() {
  puts("Hello, world!");
  return 0;
}

---

이제 예제를 완전히 컴파일하고 다음 명령어를 통해 링크 전 후를 비교해봅시다.
위에 이미지들이 이미 libc에서 puts의 정의를 찾아 연결한 것을 확인할 수 있습니다.

여기서 libc를 같이 컴파일하지 않았음에도 libc에서 해당 심볼을 탐색한 것은,
libc가 있는 /lib/x86_64-linux-gun/가 표준 lib 경로에 포함되어 있기 때문입니다.
gcc는 소스 코드를 컴파일할 때 표준 lib의 lib 파일들을
모두 탐색 밑에 명령어로 표준 lib 경로 확인 가능

링크를 거치고 나면 프로그램에서 puts를 호출할 때, puts의 정의가 있는 libc에서
puts의 코드를 찾고 해당 코드를 실행하게 됩니다.

그리고 저 명령어들에 대하여 익숙하지 않는다면.. 구글링해서 공부해야겠죠..
저도 막히거나 모를때 그때마다 해봐요 ㅠ

---

라이브러리와 링크의 종류

라이브러리는 크게 동적/정적 라이브러리로 구분됨

• 동적 링크(Dynamic Link) : 동적 라이브러리를 링크한 것
• 정적 링크(Static Link) : 정적 라이브러리를 링크한 것

동적 링크

동적 링크된 바이너리를 실행하면 동적 lib가 프로세스의 메모리에 매핑됨!
그리고 실행 중에 lib 함수를 호출 시 매핑된 lib에 호출할 함수 주소를 찾아 그 함수를 실행!
마치 이 과정은 사람이 도서관에 방문에 원하는 책 위치 찾고
그 책에서 정보 습득하는 과정과 유사함

---

정적 링크

똑같이 비유하면 이 것은 도서관의 모든 책을 암기하는 것과 같습니다.
정적 링크를 하면 바이너리에 정적 lib의 모든 함수가 포함됩니다.

즉, 해당 함수 호출 시, lib에 참조가 아닌 자신의 함수 호출하듯 한다는 이야기!!
lib에서 원하는 함수를 찾을 필요 없어 탐색 비용이 절감되는 듯하지만,
여러 바이너리에서 lib를 사용하면 그 lib의 복제가 여러 번 이루어지기에 용량 낭비도 되겠죠

그럼 이 둘의 차이점을 알아보기 위해 hello-world.c를 통해 간단하게 알아봅시다!

---

동적 링크 vs 정적 링크

먼저 앞의 hello-world.c를 정적 컴파일하여 static을, 동적으론 dynamic을 생성합시다

용량

각 용량을 비교하면 static이 dynamic보다 100배 가까이 더 큰 용량을 차지한답니다.

호출 방법

static에선 puts가 있는 0x40a770을 직접 호출하며 반면 dynamic은 0x401030(plt)을 호출하죠
이런 차이가 있는 이유는 위에서 많이 설명했고, plt는 dynamic의 과정에서 사용되는 테이블입니다

왼쪽이 static 오른쪽은 dynamic

---

PLT와 GOT

PLT(Procedure Linkage Table)
GOT(Global Offset Table)

이 둘은 lib에서 동적 링크된 심볼 주소 찾을 때 사용되는 테이블입니다.

바이너리가 실행되면 ASLR에 의해 lib가 임의의 주소에 매핑됩니다.
이 상태에서 lib 함수를 호출 → 함수 이름을 바탕 lib에 심볼들 탐색 → 함수 정의 발견 그 주소로 실행 흐름
이 전 과정을 통틀어 runtime resolve라고 하는데, 이는 나중에 자세히.. 보자고요

그런데 만약 반복적으로 호출되는 함수의 정의를 매번 탐색한다면 비효율적이겠죠
그래서 ELF는 GOT라는 테이블을 두고, resolve된 함수의 주소를 해당 테이블에 저장합니다.
그리고 나중에 다시 해당 함수를 호출 시 저장된 주소를 꺼내 사용하죠

그럼 예제 코드를 이용해 실제 바이너리에서 어떻게 이런 동작이 일어나는지 살펴봅시다!

// Name: got.c
// Compile: gcc -o got got.c
 
#include <stdio.h>
 
int main() {
  puts("Resolving address of 'puts'.");
  puts("Get address from GOT");
}
 

---

resolve되기 전

먼저 got.c를 컴파일하고, 실행 후 GOT를 확인해보면 아직 puts의 주소를 찾기 전이므로
함수의 주소가 아닌 puts@plt+6라는 PLT 내부의 주소가 적혀있죠

gdb ./got → start → got

이제 puts@plt를 호출하는 지점에 중단점을 설정하고, 내부로 따라가 보겠습니다.
PLT에서는 먼저 puts의 GOT인 0x555...8018에 쓰인값으로 실행 흐름을 옮깁니다.

현재 GOT에는 puts@plt+6의 주소가 쓰여있으므로, 바로 다음 줄의 코드를 실행!

b *main+11 → c → si → ni

함수 내부로 들어온 모습(si)

다시 원래 로직으로 돌아와 다음으로 넘어간 모습(ni)

여기서 코드를 조금 더 실행시키면 dl_runtime_resolve_xsavec라는 함수가 실행되는데,
이 함수에서 puts의 주소가 구해지고, GOT에 주소가 써집니다.

ni.. → finish → got

ni.. 여러번?을 통해 여기까지 오시면..

finish로 이 내부 함수를 종결 그럼 plt 할당 되겠죠 확인 ㄱ

짜란!! PLT가 할당됬기에 GOT도 갱신됬죠!!

---

resolve된 후

두 번째로 puts@plt를 호출할 때는 GOT에 puts의 주소가 쓰여있어서 바로 puts가 실행됩니다.

바로 si를 진행해 내부 함수로 들어간 모습!

---

시스템 해킹의 관점에서 본 PLT와 GOT

PLT와 GOT는 동적 링크된 바이너리에서 lib 함수의 주소를 찾고, 기록할 때 사용되는 중요 테이블!
그런데, 해커 관점에선 PLT → GOT를 참조해 실행 흐름에 옮길 때, GOT의 값 검증 X(보안 취약)

따라서 앞의 예에서 GOT에 저장된 puts의 주소를 공격자가 임의로 변경 하면,
두 번째로 puts가 호출 시 공격자가 원하는 코드가 실행할 수 있습니다.
이 공격 기법이 가능한지 gdb를 이용해 간단한 실습을 해봅시다.

앞의 got 바이너리의 두 번째 puts 호출 직적에 puts의 GOT 값을..
"AAAAAAAA"로 변경 후 실행하면 실제로 입력한대로 실행 흐름이 옮겨진답니다.

gdb ./got → b* main+29 → r
→ set *(unsigned long long*)0x555555558018 = 0x4141414141414141 → c

break 걸어준 곳에 있는 Puts의 주소 즉, got를 수정할 수 있는 부분이겠죠

해당 위치의 메모리의 값을 우리가 지정한 값으로 초기화

Countine하면 이제 GOT가 변경된 모습을 친히 보여주죠

뭐 당연한거겠지만 직접해보시면 환경마다 다르니까 마냥 따라만 하지 말고 알아봐야겠죠?

이런 공격 기법을 GOT Overwrite라고 부르며, 임의 주소에 값을 쓸 수 있을 때,
RCE를 하기 위한 방법으로도 사용될 수 있습니다. 

---

참고 자료

Background: Library - Static Link vs. Dynamic Link

 

리눅스 Symbolic Link - 심볼링릭크 소개와 사용법

 

참고 이미지