Linux无文件渗透执行elf方式
概要
比如说你使用了一个开源组件,开源组件以bin的形式提供,但是你并不想直接./bin去运行它,而是想把开源bin直接集成到自己的代码中,这样对外相当于隐藏了开源bin,直接提供你自身代码的bin。这种场景可以简单应用到Linux elf in-memory execution这种方式。
方法
可以通过下面四个步骤来实现。
xxd
将你依赖的开源bin通过xxd -i生成头文件
xxd -i bin bin.h
xxd命令使用二进制或十六进制格式显示文件内容。若未指定outfile参数,则将结果显示在终端屏幕上;否则输出到outfile中。详细的用法可参考linux命令xxd。
这个头文件中有两个变量bin, bin_len。bin中保存的就是bin的十六进制数据,bin_len是bin的data长度。
eg:
unsigned char bin[] = {
...
};
unsigned int bin_len= xxx;
memfd_create
通过memfd_create创建匿名fd
int mem_fd = memfd_create("elf", MFD_CLOEXEC);
int ret = ftruncate(mem_fd, bin_len);
if (ret == -1) {
std::cout << "ftruncate err: " << strerror(errno);
close(mem_fd);
return -1;
}
write
将头文件写到刚才创建的mem_fd中
ret = write(mem_fd, bin, bin_len);
if (ret == -1) {
std::cout << "write err: ", strerror(errno);
close(mem_fd);
return -1;
}
execve
通过execve拉起服务
std::string name("in-memory-bin");
argv[0] = (char*)name.c_str();
char cmdline[256];
sprintf(cmdline, "/proc/self/fd/%d", mem_fd);
if (execve(cmdline, argv, nullptr) < 0) {
close(mem_fd);
}