修改任意Linux进程地址空间实施代码注入

最新推荐文章于 2024-07-09 11:26:49 发布
最新推荐文章于 2024-07-09 11:26:49 发布
阅读量272 收藏 9
点赞数 4
文章标签: linux 算法 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83974256/article/details/139943108
版权 
# 代码就不展示了,很简单,就是把75 c7改成75 00即可。
[root@localhost test]# ./a.out 5446 4006a3 # base(0x400000)+offset(0x6a2+1)

看看psss的情况:

value:5446   address:0x7ffd4943cf18  pid:5446
value:5446   address:0x7ffd4943cf18  pid:5446
value:5446   address:0x7ffd4943cf18  pid:5446
break the loop!

成功跳出了死循环!

接下来玩一个简单的进程注入,来调用一个僵尸函数。

请看原始程序代码:

// pokestack.c
#include <stdio.h>
#include <stdlib.h>

void say\_hi()
{
	printf("skinshoe\n");
	exit(0);
}

int main(int argc, char \*\*argv)
{
	int tf = atoi(argv[1]);
	long a = 0x1122334455667788;
	while (tf) {
		printf("value:%lx address:%p pid:%d\n", a, &a, getpid());
		sleep(120); // 在120秒内完成手工操作。用getchar亦可。
	}

	printf("break the loop!\n");
}

请注意,say_hi函数没有任何地方调用它,我们接下来就通过修改其mem文件,让这个程序调用say_hi。

先把它跑起来:

[root@localhost test]# ./pokestack 1
value:1122334455667788   address:0x7fff75a4ba80  pid:5553

按照老样子,这次我们定位其stack中被压栈的sleep返回地址的位置,我们的目标就是改掉它。

如果你不想每次都去查stack的位置,你可以关闭一些ASLR的保护,比如:

sysctl -w kernel.randomize_va_space=0

但是这里为了让事情更加真实,不采用这个伎俩,在真实的环境中,也几乎没有关闭ASLR的。

所以我们依然要查stack的位置,毕竟它被随机化了,每次都不一样:

[root@localhost test]# cat /proc/5553/smaps |grep -E \\[stack\\]
7fff75a2c000-7fff75a4d000 rw-p 00000000 00:00 0                          [stack]
[root@localhost test]# dd if=/proc/5553/mem of=./pokestack.dd skip=140735166988288 bs=1 count=557056
记录了135168+0 的读入
记录了135168+0 的写出
135168字节(135 kB)已复制,0.165683 秒,816 kB/秒
[root@localhost test]# hexdump ./pokestack.dd >./pokestack.hex

我们开始寻找pokestack.hex里面sleep的return address的位置,找到了下面的行:

001fa60 bb70 75a4 7fff 0000 06ff 0040 0000 0000

4006ff就是了。

至于说是如何找到的,不是本文的内容,无非就是按照模式去匹配了:

  • 返回main函数肯定是400000附近…

让我们改掉它,改成say_hi的地址:

# 0x7FFF75A4BA68是stack基地址和0x001fa60+0x8的加和。
# 0x000000000040067d是say\_hi的地址。
# 将0x7FFF75A4BA68位置的值改成0x000000000040067d
[root@localhost test]# ./a.out 5553 0x7FFF75A4BA68 0x000000000040067d

等待sleep返回后,看效果:

value:1122334455667788   address:0x7fff75a4ba80  pid:5553

skinshoe
[root@localhost test]#

效果不错。

接下来让我们把一段独立的代码注入到一个已经运行的进程:

// pokestack.c
#include <stdio.h>
#include <stdlib.h>

int main(int argc, char \*\*argv)
{
	\_\_asm("mov $123, %rdi\n"); // 这句是为了导出exit系统调用参数123的指令码。。。
	while (1) {
		printf("pid:%d\n", getpid());
		sleep(120);
	}
}

导出stack的信息:

[root@localhost test]# cat /proc/6033/smaps |grep -E -A2 \\[stack\\]
7ffe66868000-7ffe66889000 rw-p 00000000 00:00 0                          [stack]
Size:                136 kB
Rss:                  16 kB

注意,stack没有可执行权限,所以要在binary的text段进行注入。

如果stack可执行,那么事情就会简单的多,直接将要注入的代码覆盖stack的起始位置就好了(由于stack从高向低伸展,一般伸展不到这么远的地方),让stack变得可执行也不是那么困难,用下面的方式编译即可:

[root@localhost test]# gcc -O0 -z execstack pokestack.c -o pokestack

但是这里为了让事情更加真实,不采用这个伎俩,在真实的环境中,也几乎没有让stack可执行的。

现在我们看一下binary的text段信息:

[root@localhost test]# cat /proc/6033/smaps |grep -A2 r-xp.\*pokestack
00400000-00401000 r-xp 00000000 fd:00 75346995                           /usr/test/pokestack
Size:                  4 kB
Rss:                   4 kB

下面是实施注入的代码:

#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>

int main(int argc, char \*\*argv)
{
	char name[32];
	int fd;
	int pid;
	unsigned long caddr, raddr;
	unsigned long ret_addr;
	// code 仅仅是一个exit(123)的系统调用
	char code[14] = {0x48, 0xc7, 0xc7, 0x7b, 0x00, 0x00, 0x00, 0xb8, 0x3c, 0x00, 0x00, 0x00, 0x0f, 0x05};

	pid = atoi(argv[1]);
	caddr = strtoul(argv[2], NULL, 16);
	raddr = strtoul(argv[3], NULL, 16);

	sprintf(name, "/proc/%d/mem", pid);
	fd = open(name, O_RDWR);

	lseek(fd, caddr, SEEK\_SET);
	write(fd, &code, sizeof(code));

	lseek(fd, raddr, SEEK\_SET);
	write(fd, &caddr, sizeof(caddr));
}

不再解释代码,我们直接看效果:

# 0x7FFE66887998依然是用dd方法导出的stack找到的return address地址位置。
[root@localhost test]# ./a.out 6033 0x00400000 0x7FFE66887998

看看6033号进程的结局:

[root@localhost test]# ./pokestack
pid:6033
[root@localhost test]# echo $?
123

成功以123退出。

下面,我们来个打印怎么样?来打印一堆a。

我们需要注入printf的调用,然而一般都是用相对偏移调用的call,校准的过程并不容易,因此我们采用下面的方法:

push printf@GLIBC
ret

然而printf何在?于是乎,先简单一点,我们直接调用write系统调用。

先看原始代码:

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char \*\*argv)
{
	while (1) {
		printf("pid:%d\n", getpid());
		getchar();
	}
}

跑起来:

[root@localhost test]# ./pokestack
pid:14917

pid:14917
... # 继续敲任意键,依然会getchar,这就是个死循环

一步一步地获取信息:

[root@localhost test]# cat /proc/14917/smaps |grep -E \\[stack\\]
7ffc08ac1000-7ffc08ae2000 rw-p 00000000 00:00 0                          [stack]
[root@localhost test]# dd if=/proc/14917/mem of=./pokestack.dd skip=140720453980160 bs=1 count=557056
[root@localhost test]# hexdump ./pokestack.dd >./pokestack.hex
...

在pokestack.hex里找到了下面的行:

001f4a0 0000 0000 0000 0000 05dc 0040 0000 0000

拼接偏移:

0x7ffc08ac1000 + 0x001f4a0 + 0x08 = 0x7FFDF4F9E818

来制作我们的注入code并且实施注入,下面是代码:

#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>

int main(int argc, char \*\*argv)
{
	char name[32];
	int fd;
	int pid;
	unsigned long caddr, raddr;
	unsigned long ret_addr;
	char code[58] = {/\*0x00\*/ 0x61, 0x61, 0x61, 0x0a,
					 /\*0x04\*/ 0x00, 0x00, 0x00, 0x00,
					 /\*0x08\*/ 0x00, 0x00, 0x00, 0x00,
					 /\*0x0c\*/ 0x00, 0x00, 0x00, 0x00,
					 /\*0x10\*/ 0x48, 0xc7, 0xc7, 0x01, 0x00, 0x00, 0x00, // mov 1, rdi
					 		  0x48, 0xc7, 0xc6, 0x00, 0x00, 0x40, 0x00, // mov 400000, rsi
					 		  0x48, 0xc7, 0xc2, 0x04, 0x00, 0x00, 0x00, // mov 4, rdx
							  0xb8, 0x01, 0x00, 0x00, 0x00,				// mov 1, eax
					 		  0x0f, 0x05,						// write syscall
							  0x48, 0xc7, 0xc7, 0x7b, 0x00, 0x00, 0x00, // mov 123, rdi
							  0xb8, 0x3c, 0x00, 0x00, 0x00, 			// mov 60, eax
							  0x0f, 0x05};						// exit syscall

	pid = atoi(argv[1]);
	caddr = strtoul(argv[2], NULL, 16);
	raddr = strtoul(argv[3], NULL, 16);

	sprintf(name, "/proc/%d/mem", pid);
	fd = open(name, O_RDWR);

	lseek(fd, caddr, SEEK\_SET);
	write(fd, &code[0], sizeof(code));

	caddr += 0x10; // 从mov 1, rdi开始执行
	lseek(fd, raddr, SEEK\_SET);
	write(fd, &caddr, sizeof(caddr));
}

来实施注入:

[root@localhost test]# ./a.out 14917 0x00400000 0x7FFC08AE04A8

看效果:

[root@localhost test]# ./pokestack
pid:14917

pid:14917

aaa
[root@localhost test]# echo $?
123
[root@localhost test]#

不错,跳出了死循环并以123退出。

是不是比ptrace好玩呢?

我们还是希望可以直接调用GLIBC的库函数,而不是直接调用系统调用,其实这并不难。

先看下面的代码:

#include <stdio.h>
char abc1[] = "aaaa\n";
int main()
{
	printf("\n\n"); // 为了让该程序加载时解析到printf函数
	\_\_asm("mov $0x000000000060102c, %rdi"); // abc1的地址给rdi寄存器作为参数
	\_\_asm("push $0x40053d"); // main函数\_asm("ret")后面的位置
	\_\_asm("push $0x0000000000400400"); // printf的位置
	\_\_asm("ret");
}

其中的数字都是从objdump里手工找到的。

执行一下试试看,看是不是打印出了aaaa呢。

我们就用此方法来实施注入,还是原来的那个程序,我再贴一遍:

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char \*\*argv)
{
	while (1) {
		printf("pid:%d\n", getpid());
		getchar();
	}
}

跑起来:

[root@localhost test]# ./pokestack
![](https://img-blog.csdnimg.cn/img_convert/9a8cb5f8c0ec69e6499adead0da6e95b.png)



最全的Linux教程,Linux从入门到精通

======================

1.  **linux从入门到精通(第2版)**

2.  **Linux系统移植**

3.  **Linux驱动开发入门与实战**

4.  **LINUX 系统移植 第2版**

5.  **Linux开源网络全栈详解 从DPDK到OpenFlow**



![华为18级工程师呕心沥血撰写3000页Linux学习笔记教程](https://img-blog.csdnimg.cn/img_convert/59742364bb1338737fe2d315a9e2ec54.png)



第一份《Linux从入门到精通》466页

====================

内容简介

====

本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷,并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘,内容为本书配套多媒体教学视频。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件,供读者免费下载。



![华为18级工程师呕心沥血撰写3000页Linux学习笔记教程](https://img-blog.csdnimg.cn/img_convert/9d4aefb6a92edea27b825e59aa1f2c54.png)



**本书适合广大Linux初中级用户、开源软件爱好者和大专院校的学生阅读,同时也非常适合准备从事Linux平台开发的各类人员。**

> 需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论
2401_83974256
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux修改其他进程内存,深入Linux | 如何在任意进程修改内存保护(含PoC)
weixin_33304896的博客
04-28 791
前言最近,我们遇到一个非常具体的问题:改变任意进程的内存区域的保护标志。这项任务看似微不足道,但是我们着实遇到了一些麻烦,在此过程中也学到了关于Linux机制和内核开发相关的东西。以下是一些简要概述,其中包括了当时采取的三种方案,每次也在寻求更好解决方案。 概述在现代操作系统中,每个进程都有自己的虚拟地址空间(从虚拟地址映射到物理地址)。此虚拟地址空间由内存页(某些固定大小的连续内存块)组成,每个...
Linux内存保护属性,[译]如何在任意进程修改内存保护属性
weixin_31998371的博客
05-01 741
最近,我们面临着一个非常特殊的任务:在任意进程中更改内存区域的保护标志。 这项任务看似微不足道,但是我们遇到了一些障碍,并在此过程中学到了新的东西,主要是关于Linux机制和内核开发。 以下是我们工作的简要概述,包括我们采取的三种方法以及每次寻求更好解决方案的原因。引言在现代操作系统中,每个进程都有自己的虚拟地址空间(从虚拟地址到物理地址的映射)。 此虚拟地址空间由内存页(某些固定大小的连续内存块...
2024年最新修改任意Linux进程地址空间实施代码注入,2024年最新腾讯大牛教你自己写物联网嵌入式开发框架
2401_85013615的博客
05-14 655
请注意,say_hi函数没有任何地方调用它,我们接下来就通过修改其mem文件,让这个程序调用say_hi。按照老样子,这次我们定位其stack中被压栈的sleep返回地址的位置,我们的目标就是改掉它。但是这里为了让事情更加真实,不采用这个伎俩,在真实的环境中,也几乎没有让stack可执行的。但是这里为了让事情更加真实,不采用这个伎俩,在真实的环境中,也几乎没有关闭ASLR的。注意,stack没有可执行权限,所以要在binary的text段进行注入。接下来玩一个简单的进程注入,来调用一个僵尸函数。
修改Linux的swap空间实现进程注入
Netfilter
09-17 9834
连续两夜的大雨,舒服,下班回到家继续杂耍。 昨晚杂耍了一把/proc/$pid/mem,写了一个关于进程代码注入的文章: https://blog.csdn.net/dog250/article/details/108618568 这个方法无非还是利用了内核导出到procfs里的一个mem文件,而且幸亏它可写!这并不是一个通用的方法,至于说ptrace,stap这种,则更多的体现为一种工具,而非手艺。 swap空间够通用了吧,哪个系统都有,它是现代操作系统的基础设施的重要组成部分,本文就拿swap空间开涮。
如何在linux系统中修改其他进程的内存,如何在任意进程修改内存保护属性
weixin_29324401的博客
04-29 1519
最近,我们在进行一项安全研究时,需要在任意进程修改内存空间的保护标志。起初,我们发现这项任务看起来很简单,但在实际操作中,却发现困难重重,还好这些都不是什么大问题。在解决这些问题的过程中,我们还学到了一些新的东西,主要是关于 Linux 机制和内核开发的。在以下的详解中,我们会介绍我们所采取的三种方法以及每次寻求更好解决方案的原因。背景介绍在现代操作系统中,每个进程都有自己的虚拟地址空间(从虚拟...
linux c恶意代码,攻击者如何向正在运行的Linux进程注入恶意代码
weixin_29337389的博客
05-13 729
概述目前,已经有很多详细的技术文章,讲解攻击者是如何将被感染的文件注入到二进制代码中,以便下次启动受感染的程序时执行恶意代码。但是,针对正在运行的进程,攻击者可以采取什么方式实现感染呢?本文将主要介绍攻击者如何在内存中向正在运行的进程实现注入,换而言之,本文主要介绍如何编写自己的调试器。相关研究成果在展开细节之前,我们首先介绍一些相关的基础知识和研究成果。我们的第一个示例与恶意软件无关,而是一个多...
Linux下使用ptrace向sshd进程注入任意代码
weixin_33862514的博客
09-19 791
本文讲的是在Linux下使用ptrace向sshd进程注入任意代码, 虽然最近Win32 API提供了不少支持,但我还是想解决一些Linux进程注入代码的问题,目的是将共享对象加载到另一个进程地址空间中,而无需使用LD_PRELOAD或停止进程。 我的目标就是可以使用ptrace从sshd进程恢复纯文本凭据,虽然有许多其他方法要比在SEGV中可以更...
浅谈Linux进程隐藏
qq_63980959的博客
03-07 1077
💡 本文不会涉及内核层面,只是从应用层介绍linux进程隐藏的一些知识点,抛砖引玉,探索更多的思路LD_PRELOAD。
Linux 平台一种进程代码注入方法
stonesharp的专栏
10-30 3582
用于在目标程序的 main 函数执行前完成一些操作   特定情况下用来调试还是不错的。 源代码 /* fakemain.c * Heiher */   #include   #define __USE_GNU #include   static void do_something(void) { printf("Hello!\n"); }   int __lib
dlinject:在没有ptrace的情况下将共享库(即任意代码注入实时linux进程
02-04
在不使用ptrace的情况下,将共享库(即任意代码注入实时linux进程中。 受和启发。 用法 .___.__ .__ __ __ __| _/| | |__| ____ |__| ____ _____/ |_ ______ ___.__. / __ | | | | |/ \ | |/ __ \_/ ___\ __\ ...
新版脏牛Linux内核提权漏洞CVE-2022-0847
03-09
5.8 <= Linux kernel 中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致权限提升,因为非特权进程可以将代码注入进程。 修复版本:Linux 5.16.11、5.15.25 和 5.10.102 中修复。
基于Linux操作系统的安全编程.pdf
09-07
- **格式字符串漏洞**:避免使用不安全的格式字符串函数,如printf系列函数,防止攻击者控制输出格式以获取敏感信息或执行任意代码。 - **未初始化的变量**:确保变量在使用前已被正确初始化,防止利用未定义的值...
PHP在linux上执行外部命令的方法
10-20
执行外部命令时应特别注意安全性,因为这可能导致任意代码执行。应避免使用不受信任的输入作为命令的一部分,防止命令注入攻击。可以通过以下措施提高安全性: - 使用参数化构造命令,而不是字符串拼接。 - 对用户...
易语言-eWOW64Ext v1.1 - 加载任意 32/64 模块|动态调用|64 位汇编|64 位进程读写
06-25
eWOW64Ext提供了这样的功能,允许开发者在运行时读取或修改其他64位进程的内存,这对于调试、注入代码或者进行系统级别的操作非常关键。 综合以上特点,易语言-eWOW64Ext v1.1 是一个强大的工具,它扩展了易语言的...
linux/shell】linux如何去除字符串中空格
qq_35902025的博客
07-06 392
linux如何去除字符串中空格 tr命令可以用来替换或删除字符 sed是一个流编辑器,可以用来处理文本
RedHat运维-LinuxSELinux基础4-端口绑定SELinux上下文
a15735748145a的博客
07-06 624
12. 将60001/tcp端口上的SELinux上下文由http_port_t调整为gopher_port_t的方法是______________________;13. 将60002/tcp端口上的SELinux上下文由gopher_port_t调整为ssh_port_t的方法是______________________;14. 将60003/tcp端口上的SELinux上下文由ssh_port_t调整为http_port_t的方法是_______________________;
Linux】:程序替换
最新发布
Yikefore的博客
07-09 591
程序替换的详细介绍以及各种程序替换接口介绍以及使用!
Linux workqueue介绍
l00102795的博客
07-08 730
不是所有的驱动程序都必须有自己的工作队列。驱动程序可以使用内核提供的缺省工作队列。由于这个工作队列由很多驱动程序共享,任务可能会需要比较长一段时间才能开始执行。为了解决这一问题,工作函数中的延迟应该保持最小或者不要延时。
64位linux操作系统进程地址空间对应的物理地址是否有限制
06-03
尽管64位系统的地址空间非常大,但是实际上,每个进程任意时刻只能访问到其中的一部分物理内存。这是因为在Linux中,进程地址空间被划分为几个不同的段,每个段对应着不同的物理内存区域。这些段包括代码段、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值