如何在init_array中植入代码

元始天尊

没搜到网上有相应的帖子，自己研究了下
源码是这样滴：
crtbegin_dynamic/static.c

1. 
   
2. typedef struct
   
3. {
   
4.     void (**preinit_array)(void);
   
5.     void (**init_array)(void);
   
6.     void (**fini_array)(void);
   
7.     void (**ctor_list)(void);
   
8. } structors_array_t;
   
9. 
   
10. extern int main(int argc, char **argv, char **env);
    
11. 
    
12. extern void __libc_init(
    
13.   unsigned int *elfdata,
    
14.   void (*onexit)(void),
    
15.   int (*slingshot)(int, char**, char**),
    
16.   structors_array_t const * const structors
    
17. );
    
18. 
    
19. __attribute__ ((section (".preinit_array")))
    
20. void (*__PREINIT_ARRAY__)(void) = (void (*)(void)) -1;
    
21. 
    
22. __attribute__ ((section (".init_array")))
    
23. void (*__INIT_ARRAY__)(void) = (void (*)(void)) -1;
    
24. 
    
25. __attribute__ ((section (".fini_array")))
    
26. void (*__FINI_ARRAY__)(void) = (void (*)(void)) -1;
    
27. 
    
28. __attribute__ ((section (".ctors")))
    
29. void (*__CTOR_LIST__)(void) = (void (*)(void)) -1;
    
30. 
    
31. __attribute__((visibility("hidden")))
    
32. void _start() {
    
33.   structors_array_t array;
    
34.   void *elfdata;
    
35. 
    
36.   array.preinit_array = &__PREINIT_ARRAY__;
    
37.   array.init_array =    &__INIT_ARRAY__;
    
38.   array.fini_array =    &__FINI_ARRAY__;
    
39.   array.ctor_list =    &__CTOR_LIST__;
    
40. 
    
41.   elfdata = __builtin_frame_address(0) + sizeof(void *);
    
42.   __libc_init(elfdata, (void *) 0, &main, &array);
    
43. }
    

复制代码

拿init_array来说：执行main之前，先进行init_array初始化，而数组第一个元素被编译器置为-1，本来是个函数指针数组，再看__libc_init实现，
发现对init_array处理是判断是否为0

libc_init_static/dynamic.cpp

1. 
   
2. static void call_array(void(**list)()) {
   
3.   // First element is -1, list is null-terminated
   
4.   while (*++list) {
   
5.     (*list)();
   
6.   }
   
7. }
   
8. __noreturn void __libc_init(void* raw_args,
   
9.                             void (*onexit)(void) __unused,
   
10.                             int (*slingshot)(int, char**, char**),
    
11.                             structors_array_t const * const structors) {
    
12.   KernelArgumentBlock args(raw_args);
    
13.   __libc_init_tls(args);
    
14.   __libc_init_AT_SECURE(args);
    
15.   __libc_init_common(args);
    
16. 
    
17.   apply_gnu_relro();
    
18. 
    
19.   call_array(structors->preinit_array);
    
20.   call_array(structors->init_array);
    
21. 
    
22.   if (structors->fini_array != NULL) {
    
23.     __cxa_atexit(__libc_fini,structors->fini_array,NULL);
    
24.   }
    
25. 
    
26.   exit(slingshot(args.argc, args.argv, args.envp));
    
27. }
    

复制代码

可见，判断init_array是否执行的依据是该项是否为0，因此只要想办法吧函数指针加到init_array段已经有的-1的后面就好了！
下面提供这种方法，无需改源码：

1. 
   
2. #include <stdio.h>
   
3. 
   
4. volatile int  testnum=0;
   
5. 
   
6. void func1(void){testnum=1;};
   
7. void func2(void){testnum=2;};
   
8. void func3(void){testnum=3;};
   
9. void func4(void){testnum=4;};
   
10. 
    
11. //__attribute__ ((section (".preinit_array")))
    
12. //__attribute__ ((section (".fini_array")))
    
13. //__attribute__ ((section (".ctors")))
    
14. __attribute__ ((section (".init_array"))) void(*initfunc[])(void)={&func1,&func2,&func3,&func4};//放入多个函数
    
15. __attribute__ ((section (".init_array"))) void(*initfunc1)(void)=&func1;//放入单个函数
    
16. 
    
17. int main(int argc, char *argv[])
    
18. {
    
19.         printf("testnum=%d\n",testnum);
    
20. }
    

复制代码

__star__

居然没人顶超神