使用Pin监控,解析connect()系统调用获取服务器端IP

最新推荐文章于 2024-07-10 11:33:49 发布
最新推荐文章于 2024-07-10 11:33:49 发布
阅读量1.6k 收藏
点赞数
分类专栏: 漏洞分析 文章标签: pin 系统调用 struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanchaoqi/article/details/44619687
版权

使用Pin监控,解析connect()系统调用获取服务器端IP

connect()函数:

#include <sys/types.h>    
#include <sys/socket.h>

int connect(int sockfd, const struct sockaddr *addr,socklen_t addrlen);

connect()函数通常用于客户端建立tcp连接。
参数列表:
sockfd:指定数据发送的套接字。
serv_addr:指定数据发送的目的地,包括套接字sockfd想要连接的主机地址和端口号。
addrlen:指定serv_addr结构体的长度。
返回值:
成功则返回0,失败返回-1,错误原因存于errno中。

既然serv_addr中存放了服务器端的IP地址,所以我们要从客户端获取服务器端的IP地址,只要得到connect()函数的addr参数就可以了。

struct sockaddr *addr:

struct sockaddr {
    unsigned  short  sa_family;     /* address family, AF_xxx */
    char  sa_data[14];              /* 14 bytes of protocol address */
};

sa_family是地址家族,一般都是“AF_xxx”的形式。好像通常大多用的是都是AF_INET。
sa_data是14字节协议地址。
此数据结构用做bind、connect、recvfrom、sendto等函数的参数,指明地址信息。

但一般编程中并不直接针对此数据结构操作,而是使用另一个与sockaddr等价的数据结构

struct  sockaddr_in {
    short  int  sin_family;               /* Address family */
    unsigned  short  int  sin_port;       /* Port number */
    struct  in_addr  sin_addr;            /* Internet address */
    unsigned  char  sin_zero[8];          /* Same size as struct sockaddr */
};

struct  in_addr {
    unsigned  long  s_addr;
};

sockaddr_in和sockaddr是并列的结构,指向sockaddr_in的结构体的指针也可以指向sockadd的结构体,并代替它。也就是说,我们可以使用sockaddr_in建立所需要的信息,在最后用进行类型转换就可以了。

我们要的IP地址就在s_addr中。

在Pin中获取IP地址

查看unistd_64.h得到connect()的系统调用号为42,所以使用Pin监控Client端的运行,并筛选出42号系统调用。结果如下:

0x7ff9a794561e: 42(0x4, 0x7fff1466d780, 0x10, 0x0, 0x0, 0x4)returns: 0x0

这个就是我们要得到的connect()系统调用的相关信息。显然第二个参数是serv_addr结构体的内存地址,所以我们现在要做的是从这块内存中提取出IP地址,即serv_addr的第三个成员变量值sin_addr。sin_addr也是一个in_addr类型的结构体,所以最终要拿到的数据还是unsigned long s_addr

获得s_addr有两种方法:

  • 直接用内存操作
    这是我最开始想到的方法,主要思路是既然有了内存地址,那么就可以根据结构体的定义来计算成员变量的偏移量,然后直接将内存数据取出。

    这种方法不但麻烦,而且有一个致命的问题,那就是数据对齐。许多计算机系统对基本数据类型合法地址做出了一些限制,要求某种类型对象的地址必须是某个K(2、4或8)值的倍数。不一样的操作系统(比如Linux和Windows)的强制对齐规则是不一样的,对于结构体类型我们直接计算变量的偏移很有可能会得到错误的值。关于数据对齐的知识在《深入理解计算机系统》一书中有详细的介绍。

  • 使用指针访问
    既然知道了结构体的内存地址,那我可以在程序中声明一个sockaddr_in结构体变量,然后将内存地址进行强制类型转换赋给该变量,这样就可以通过直接访问该结构体变量来访问成员变量,而不需要进行直接的内存操作了。
    最后要使用inet_ntoa()函数将in_addr类型的IP地址转换为点分十进制,并打印出来。
    代码如下:

if(num == 42)
    {
        fprintf(trace,"0x%lx: %ld(0x%lx, 0x%lx, 0x%lx, 0x%lx, 0x%lx, 0x%lx)",
             (unsigned long)ip,
             (long)num,
             (unsigned long)arg0,
             (unsigned long)arg1,
             (unsigned long)arg2,
             (unsigned long)arg3,
             (unsigned long)arg4,
             (unsigned long)arg5);

        struct sockaddr_in addr;
        addr =  *((sockaddr_in *)arg1);
        fprintf(trace,"\nIP:%s\n",inet_ntoa(addr.sin_addr));
    }
}

结果如下:

0x7fca80ee061e: 42(0x4, 0x7fffeb46b2c0, 0x10, 0x0, 0x0, 0x4)
IP:127.0.0.1
returns: 0x0
hanchaoqi
关注
专栏目录
基于树莓派4B设计的智能家居系统(华为云IOT)
09-05 1万+
本次设计主要以树莓派为主要的硬件开发平台,以Raspbian操作系统为软件开发平台。主板树莓派通过HTTP协议和MQTT协议分别与上位机和下位机通信,搭建的服务器用来储存数据和日志记录。搭配有线和无线组合通信方式设计出一套完整的智能家居系统
基于STM32+物联网设计的货车重量检测系统(OneNet)
10-24 3823
基于STM32和物联网技术设计的货车重量检测系统可以实现快速、精准地对货车载重进行检测,并且将检测结果实时上传到云平台,方便用户远程查看和数据管理。其中,OneNet是一种基于HTTP协议的物联网云平台,具有稳定、灵活、易用等优点。 系统主要由三部分组成:硬件模块、软件程序和云平台。硬件模块包括STM32单片机、称重传感器、WIFI模块等;软件程序则负责采集传感器数据,进行处理和上传;而云平台则扮演着数据存储和展示的角色。
使用UDP的connect获取本机IP
MeRcy_PM的博客
02-26 4431
使用UDP connect获取本机出口IP
Intel Pin 捕获系统调用
"my"的博客
11-20 261
参考文章:https://blog.netspi.com/dynamic-binary-analysis-intel-pin/
使用strace 工具跟踪系统调用和信号
weixin_30484247的博客
03-03 74
使用strace来执行程序,它会记录程序执行过程中调用,接收到的信号,通过查看记录结果,就可以知道程序打开哪些文件,进行哪些读写,映射哪些内存,向系统申请多少内存等信息 strace 移植 下载strace源码:strace-4.5.15.tar.bz2 解压:tar xjfstrace-4.5.15.tar.bz2, 如果想要在自己板子上运行,还需要进行配置,我使用的是韦东山制...
易语言socket网站IP
08-19
socket网站IP系统结构:IP地址_,gethostbyname,WSAStartup,inet_addr,socket,getpeername,Connect,GetDateFormat,GetLocalTime,GetTimeFormat,recv,closesocket,WSACleanup,CreateThread,CloseHandle,RtlMoveMemory_HOSTENT,RtlMoveMemory_整数
Hook技术拦截IP包Pack
07-08
Ip包拦截,截获包,相当理想 程序改变Revc,Send的函数头部,指向自己
基于物联网技术设计的微型消防小车控制系统(STM32+ESP8266局域网)(181)
最新发布
07-10 1180
基于物联网技术的小微型消防车控制系统。通过远程控制功能,用户能够灵活操作消防车的行驶,方便快速抵达火灾现场。环境感知功能实时采集烟雾浓度、温湿度信息,为灭火决策提供科学依据。火源定位功能采用自动和手动两种模式,准确迅速地定位火源,并通过报警提示用户。灭火功能则根据火源定位结果,自动或手动启动干粉灭火器进行高效灭火。这些功能的结合实现了对小型火灾的全面应对,提升了消防效率与安全性,减少了火灾带来的损失。通过本项目的设计与实现,为消防领域提供了一种创新且实用的解决方案。
IOT-OS之RT-Thread(十八)--- 如何使用MQTT 协议实现OneNET 远程监控
流云
05-16 2919
物联网时代,我们想把周边的嵌入式设备接入Internet,依托云平台提供的各种服务,实现对嵌入式设备的远程监测和控制,甚至是远程OTA 升级等。各大云平台厂商经常谈到的“云-管/网-边-端”是什么?我们如何将本地设备接入云平台呢?以OneNET 云平台为例,平台域和设备域分别如何配置才能让设备顺利接入云平台?物联网设备接入云平台常用MQTT 协议通信,Paho-MQTT 的实现原理是怎样的?OneNET SDK的实现逻辑是怎样的?我们如何开发应用实现数据点上传、响应下发命令、远程OTA 升级等功能呢?
基于STM32设计的智能门锁(手机APP开锁、随机密码开锁、按键开锁)
10-31 5279
密码锁采用STM32单片机作为主控芯片,并通过WiFi模块(ESP8266)连接网络,可以实现远程开锁功能。用户可以使用手机APP将开锁指令发送到密码锁,从而实现无线开锁,提高了使用的便利性。 除了远程开锁外,该密码锁还支持密码输入开锁。用户可以通过在密码锁上输入正确的开锁密码进行开锁。
一款改自IPHookIP数据包监控过滤程序
06-13
一款改自IPHookIP数据包监控过滤程序 By ccc 2009-6-13 完成(ch2zh1@tom.com) IP包过滤程序采用IPHook驱动器程序,在内核层用钩子回调函数(IpHookFilter)勾住系统自带的IP过滤驱动器(System32\Drivers\IpFltDrv.sys),从而返回过滤驱动器传输的所有IP包数据。可以通过回调函数的返回值(PF_DROP、PF_FORWARD、PF_PASS),指示滤波驱动器对包的处理,是抛弃还是通过。 应用启动驱动器过程可以使用驱动器的安装,或使用系统的服务控制器(ServiceControl)直接启动和停止驱动程序。 服务控制器利用OpenSCManager等服务控制函数控制驱动程序的加载与卸载。这就使得应用程序可以在运行时自动加载和卸载需要的驱动程序。而不必设置驱动程序的安装过程。 初始的IPHook.sys只提供了IP包的监视过程即,仅仅返回IP头信息。在应用中解释并显示这个头信息。经过写改的IPHook增加了对IP包的过滤处理,有几个设置命令: START_IP_HOOK :启动钩子过滤命令,建立连接IP滤波器的回调函数(原始命令) STOP_IP_HOOK :停止钩子过滤命令,撤销IP滤波器回调函数(原始命令) ADD_IP_HOOKADDR :添加过滤IP地址,回调函数判断IP包,以决定是放弃还是通过(新命令) DEL_IP_HOOKADDR :删除过滤IP地址(新命令) ADD_IP_HOOKPORT :添加过滤端口号(新命令) DEL_IP_HOOKPORT :删除过滤端口号(新命令) ADD_IP_OVER_HOOK :添加置换的IP地址,用于对指定目的的IP包置换源地址和端口号(New) DEL_IP_OVER_HOOKIP地址置换。(New) 应用程序可一次设置和删除对个滤波地址和端口号。对于重复设置,IPHook可以正确识别并加以剔除。这是一个演示程序主要想说明windows2000驱动程序编程过程,及应用自动加载和卸载驱动的方式。 驱动程序的源码在DrvChecked.rar中,要想正确编译,必须安装windows2000 DDK,并在VS2003下设置包含目录指向DDK的目录,库目录也要指向DDK的库目录: C:\NTDDK\inc C:\NTDDK\inc\ddk C:\NTDDK\libchk\i386 并且在排列上一定要排在头两个位置上。 这个驱动程序在VC++下是可以正确编译通过的。驱动程序名:DrvChecked.sys。使用时应该改为:iphook.sys。delphi下的应用程序为:IPPacketMonitor.exe,它使用IPHook.sys。 任何人可以自己编译和修改这个驱动程序,使之能够按照一定的方式运行,这里给出的只是本人的一个想法,希望能给各位带来一点帮助。任何应用程序都可以想打开文件一样使用这个驱动程序,关于使用方法请参考Release Notes.htm提供的线索。 有什么问题和建议请电邮:ch2zh1@tom.com
socket编程获取IP地址
06-03
用socket写的获取本地IP地址,里面已经具有生成器
mini hook拦截connect函数(全局钩子)
g710710的专栏
03-30 7932
1.将NtHookEngine.dll和NtHookEngine.lib放入相应工程的位置 2.代码如下:EST_DLL.cpp // TEST_DLL.cpp : Defines the entry point for the DLL application. // #include "stdafx.h" #include "TEST_DLL.H" #include #inclu
socket编程之connect()
qq_55537010的博客
09-04 7556
connect()函数入门到精通
求生之路2服务器ip直连,求生之路2怎么联机方法图文攻略 包括局域网_3DM单机
weixin_42332131的博客
07-29 8531
求生之路2联机方法图文攻略特别提示:如果你是寻找联机工具,可以点击右方直接下载。 求生之路2联机工具下载联机时请检查双方游戏版本是否一致,不同的版本将无法联机。求生之路2局域网联机方法:1.使用MAP命令建立主机,单人战役模式建立的游戏将无法联机。方法:使用“~”键打开控制台,输入“Map 地图代码 游戏模式”即可建立主机。(如 Map c1m1_hotel coop 还不会的同学点击右侧看教程 ...
TCP之系统调用connect()之一
九天小哥的专栏
12-22 7441
客户端通过调用connect()系统调用建立与服务器的连接,对应到TCP协议层次,核心操作就是TCP的三次握手(从客户端角度),由于整个过程涉及内容较多,分两部分来看connect()的实现,这篇笔记是第一部分,包括系统调用入口以及SYN报文发送过程。 1. 内核入口 /* * Connect to a remote host. There is regrettably still a litt...
shell+Python实现简单的链路监控
weixin_34111819的博客
11-12 509
背景:游戏公司,服务器上有充值服,世界服,经分服务器等,和前端的game有链接通信,为防止链接通信故障导致线上业务中断,需要一个小脚本时刻监控线上链接状况。 涉及:shell、python2.6、126免费邮箱 配置: 1 2 3 4 5 6 7 vim/usr/lightserver/server/operationanalysiss...
Java连接sap无明显报错信息,Kettle连接SAP报错问题
weixin_42123191的博客
03-09 1544
请问下你是怎么连接到sap的,我现在连接报错UnabletoconnecttotheSAPERPserver:CannotgetSAPfunctionConnecttoSAPgatewayfailedConnectionparameters:TYPE=ADEST=BWASHOST=IP SYSNR=21PCS=1LOCATIONCPIC(TCP/IP...
java url访问服务器地址_HttpURLConnection怎么获取服务器IP? (转载)
weixin_42461035的博客
02-16 617
首先,http协议得客户端IP不可考。再个,IP应该在HTTPheader中查询27publicstaticStringgetIpAddress(HttpServletRequestrequest){28Stringip=request.getHeader("x-forwarded-for");29if(ip==null|...
光纤通信系统基础:光中继器与监控解析
4. 监控系统监控系统对整个光纤通信网络进行实时监测,确保其正常运行。它可以检测光纤线路的损耗、色散、温度等参数,并在发现问题时发出警告,以便及时进行故障排查和修复。 5. 其他组件:如图所示,光纤通信...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值