动态链接库劫持--libc

最新推荐文章于 2023-11-30 11:48:03 发布
最新推荐文章于 2023-11-30 11:48:03 发布
阅读量3.6k 收藏 3
点赞数
分类专栏: PWN 文章标签: PWN 动态链接库劫持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luozhaotian/article/details/79819247
版权
这篇博客详细记录了动态链接库劫持的过程,特别是针对libc.so.6的劫持。作者通过Exploit Exercises - Nebula 15练习,逐步解释了如何劫持__libc_start_main、puts、__gmon_start__等函数,并讨论了在自定义system函数和处理版本信息不匹配等问题时遇到的挑战。
摘要由CSDN通过智能技术生成

动态链接库劫持--libc

概述

动态链接库劫持,本文是做这个题目的笔记:Exploit Exercises - Nebula 15。

Exploit Exercises - Nebula 15

2.1 问题描述

根据题目的要求,我们需要用strace命令观察flag15的系统调用情况。

 

最终目标是通过这个程序拿到flag。

 

整个过程都是在调用一个叫libc.so.6的动态链接库:

level15@nebula:/home/flag15$ strace ./flag15

execve("./flag15", ["./flag15"], [/* 16 vars */]) = 0

brk(0)                                  = 0x99ef000

access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)

mmap2(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb78c3000

access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/tls/i686/sse2/cmov/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/tls/i686/sse2/cmov", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/tls/i686/sse2/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/tls/i686/sse2", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/tls/i686/cmov/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/tls/i686/cmov", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/tls/i686/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/tls/i686", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/tls/sse2/cmov/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/tls/sse2/cmov", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/tls/sse2/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/tls/sse2", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/tls/cmov/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/tls/cmov", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/tls/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/tls", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/i686/sse2/cmov/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/i686/sse2/cmov", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/i686/sse2/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/i686/sse2", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/i686/cmov/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/i686/cmov", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/i686/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/i686", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/sse2/cmov/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/sse2/cmov", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/sse2/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/sse2", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/cmov/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/cmov", 0xbfc05494) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15", {st_mode=S_IFDIR|0775, st_size=100, ...}) = 0

open("/etc/ld.so.cache", O_RDONLY)      = 3

fstat64(3, {st_mode=S_IFREG|0644, st_size=33815, ...}) = 0

mmap2(NULL, 33815, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb78ba000

close(3)                                = 0

access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)

open("/lib/i386-linux-gnu/libc.so.6", O_RDONLY) = 3

read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0p\222\1\0004\0\0\0"..., 512) = 512

fstat64(3, {st_mode=S_IFREG|0755, st_size=1544392, ...}) = 0

mmap2(NULL, 1554968, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x4fe000

mmap2(0x674000, 12288, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x176) = 0x674000

mmap2(0x677000, 10776, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x677000

close(3)                                = 0

mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb78b9000

set_thread_area({entry_number:-1 -> 6, base_addr:0xb78b98d0, limit:1048575, seg_32bit:1, contents:0, read_exec_only:0, limit_in_pages:1, seg_not_present:0, useable:1}) = 0

mprotect(0x674000, 8192, PROT_READ)     = 0

mprotect(0x8049000, 4096, PROT_READ)    = 0

mprotect(0xe86000, 4096, PROT_READ)     = 0

munmap(0xb78ba000, 33815)               = 0

fstat64(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 2), ...}) = 0

mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb78c2000

write(1, "strace it!\n", 11strace it!

)            = 11

exit_group(11)                          = ?

level15@nebula:/home/flag15$

 2.2 思路

主要思路:

1. 生成libc.so.6

2. 劫持程序的导入函数或者利用_init函数

__libc_start_main

__gmon_start__

Puts

3. 劫持函数中可以执行system(“/bin/sh”)

4. System函数可以来自系统的libc.so.6,这需要静态链接libgcc;

5. System函数也可以是自定义实现的

 

为了实现目标,首先要知道SO的路径名称、导入表中有哪些信息

查看Dynamic section

可以看到名称为libc.so.6,路径为/var/tmp/flag15

level15@nebula:/home/flag15$ readelf -d ./flag15

 

Dynamic section at offset 0xf20 contains 21 entries:

  Tag        Type                         Name/Value

 0x00000001 (NEEDED)                     Shared library: [libc.so.6]

 0x0000000f (RPATH)                      Library rpath: [/var/tmp/flag15]

 0x0000000c (INIT)                       0x80482c0

 

查看重定位表

可以看到导入了3个函数:puts、__gmon_start__、__libc_start_main;

level15@nebula:/var/tmp/flag15$ readelf -r /home/flag15/flag15 

 

Relocation section '.rel.dyn' at offset 0x2a0 contains 1 entries:

 Offset     Info    Type            Sym.Value  Sym. Name

08049ff0  00000206 R_386_GLOB_DAT    00000000   __gmon_start__

 

Relocation section '.rel.plt' at offset 0x2a8 contains 3 entries:

 Offset     Info    Type            Sym.Value  Sym. Name

0804a000  00000107 R_386_JUMP_SLOT   00000000   puts

0804a004  00000207 R_386_JUMP_SLOT   00000000   __gmon_start__

0804a008  00000307 R_386_JUMP_SLOT   00000000   __libc_start_main

 

查看版本信息

level15@nebula:/home/flag15$ readelf -V ./flag15

 

Version symbols section '.gnu.version' contains 5 entries:

 Addr: 0000000008048276  Offset: 0x000276  Link: 5 (.dynsym)

  000:   0 (*local*)       2 (GLIBC_2.0)     0 (*local*)       2 (GLIBC_2.0)  

  004:   1 (*global*)   

 

Version needs section '.gnu.version_r' contains 1 entries:

 Addr: 0x0000000008048280  Offset: 0x000280  Link: 6 (.dynstr)

  000000: Version: 1  File: libc.so.6  Cnt: 1

  0x0010:   Name: GLIBC_2.0  Flags: none  Version: 2

2.3 劫持__libc_start_main

参考https://mike-boya.github.io/blog/2016/02/22/exploit-exercises-nebula-level15/

 

Dummy_libc.c

#include <stdlib.h>

 

int __libc_start_main(int (*main) (int, char * *, char * *),

int argc, char * * ubp_av,

void (*init) (void), void (*fini) (void),

void (*rtld_fini) (void), void (* stack_end)) {

system(
最低0.47元/天 解锁文章
MillionSky
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
动态链接库劫持生成器
12-25
动态链接库劫持生成器可以通过劫持dll文件获取相关数据
centos6.5系统动态链接库文件libc-2.14
02-23
本文将深入探讨CentOS 6.5系统中的动态链接库文件`libc-2.14`,以及如何解决因库版本过低导致的Hadoop运行问题。 首先,`libc`是Linux系统中最重要的C语言标准库,全称为GNU C Library,它包含了大量用于系统调用、...
Linux LD_PRELOAD动态链接库劫持
SHELLCODE_8BIT的博客
12-02 766
【代码】LD_PRELOAD。
动态链接库的静态链接导致程序的DLL劫持漏洞-借助QQ程序xGraphic32.dll描述
热门推荐
Less Is More
12-19 1万+
动态链接库的静态链接导致程序的DLL劫持漏洞 借助QQ程序xGraphic32.dll描述   不想啰嗦这么多了,直接开题。   一、       库 首先明确一下库的概念,库里存放的都是二进制编码。纵观编程技术的发展路线,可以看到一条清晰的发展脉络:代码>静态库>动态库。 假如我们要编写一个程序叫做Calc.exe,而现在有现成的库,库里面存放的是已经编译好的函数Add(),Sub
利用 LD_PRELOAD劫持动态链接库,绕过 disable_function
最新发布
qq_68163788的博客
11-30 1291
LD_PRELOAD是一个环境变量,它允许用户在程序加载动态链接库(共享对象)时指定要预先加载的库。这个功能可以用来替换程序中的特定函数,或者添加额外的功能。 使用LD_PRELOAD可以在不修改源代码的情况下,对程序的行为进行修改。这对于调试、性能分析或者添加额外的安全检查非常有用。例如,可以使用LD_PRELOAD来替换标准库中的malloc和free函数,从而实现内存泄漏检测或者统计内存使用情况。 需要注意的是,LD_PRELOAD只对动态链接的程序有效
linux 库函数 劫持,Linux hook技术之-Ring3下动态链接库.so函数劫持
weixin_34094282的博客
05-04 580
劫持普通函数当然没有什么意思了!我们要劫持的是系统函数!我们知道,Unix操作系统中对于GCC而言,默认情况下,所编译的程序中对标准C函数(fopen、printf、execv家族等等函数)的链接,都是通过动态链接方式来链接libc.so.6这个函数库的,我们只要在加载libc.so.6之前加载我们自己的so文件就可以劫持这些函数了。二、Demo我们从一个简单的c程序(sample.c)开始下面的...
Linux 库文件劫持
travelnight的博客
09-09 2023
Linux库文件劫持
libc-2.3.4.so
05-31
2. 动态链接:`libc-2.3.4.so`作为动态链接库,程序运行时会自动加载并使用,减少了程序的启动时间和内存占用。 3. 内存管理:提供malloc()、calloc()、realloc()和free()等函数,方便程序进行动态内存分配和释放。 ...
libc-database:建立libc偏移量数据库以简化开发
04-01
libc数据库现在具有Web服务和前端。 访问尝试一下! 如果您对API感兴趣,请阅读 。 建立一个libc偏移量数据库 如果您遇到错误,请检查下面的“要求”部分。 获取所需的libc类别并提取符号偏移量。 它不会下载任何...
libc-2.24.so
05-23
64位linux下glibc 2.24的动态链接库,耗费了很多时间才弄来的。
libc-2.31.so
12-21
用于分析ELF文件格式
动态库劫持挖矿病毒处理
u010101453的博客
05-20 287
动态库劫持病毒的定位与扫毒
linux库函数劫持技术
fivedoumi的专栏
10-29 2491
原文地址:linux库函数劫持技术 作者:CUKdd 众所周知,在Windows平台下可以使用挂钩(Hook)技术,将系统中的鼠标、键盘等事件拦截下来,以添加实现自己的功能。同样的,在Linux系统中也有类似的技术,都可以起到挂钩(Hook)拦截的作用。虽然可以实现拦截的功能,但是它们的实现原理是不同的(这点一定要注意)。 目前为止,笔者所知道的Linux系统下的一
应急响应中Linux库文件劫持
dayouzi的博客
02-13 1195
在日常的应急工作中,经常遭遇挖矿病毒的案例,但是往往用ps,top等命令是看不到异常的,且即使kill掉进程和计划任务项往往过一会进程就会重新起来。这种情况往往是存在预加载恶意动态链接库的后门,其实网上有很多详细的文章去讲解这个技术,这里笔者也是为了插个眼。动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术。
Linux X86 程序启动 – main函数是如何被执行的?
luomuxiaoxiao98的专栏
12-11 2060
欢迎访问我的个人博客: luomuxiaoxiao.com 一、目标读者 二、覆盖范围 三、调用过程分析 3.1 main函数的调用 main函数如何被调用 3.2 _start函数分析 3.2.1 首先,_start是如何启动的? 3.2.2 _start函数就是我们开始的地方 3.2.3 调用__libc_start_main之前的设置 3.2.4 环境变量哪里去了? 3.3 __l...
__libc_start_main 是什么
CHOOOU的博客
08-10 3256
Name __libc_start_main – initialization routine Synopsis int __libc_start_main(int (main) (int, char , char ), int argc, char * ubp_av, void (init) (void), void (*fini) (void), void (*rtld_fini)...
__libc_start_main函数的说明
周狼赤壁的技术博客
07-18 1万+
__libc_start_mainName __libc_start_main -- initialization routineSynopsis<br /> <br />int __libc_start_main(int *(main) (int, char * *, char * *), int argc, char * * ubp_av, void (*init) (void), void (*fini) (void), void (*rtld_fini) (void), void (* stack
__libc_start_main
xu的blog
05-15 4686
__libc_start_main Name __libc_start_main -- initialization routine Synopsis int __libc_start_main(int *(main) (int, char * *, char * *), int argc, char * * ubp_av, void (*init) (void), void (*fini
修改高版本glibc编译出的elf以支持低版本glibc环境客户机执行
w16212的专栏
08-29 2324
修改高版本glibc编译出的elf以支持低版本glibc环境客户机执行
linux-libc-headers
07-28
linux-libc-headers 是 Linux 系统中的一个软件包,用于提供 Linux 内核函数和头文件的开发环境。它包含了用于编译和开发 Linux 内核的必要的 C 语言头文件、宏定义和函数声明等信息。 linux-libc-headers 的主要作用是为开发者提供了与内核相关的开发环境,使他们能够更方便地开发和调试内核模块、设备驱动程序和其他与内核相关的软件。通过使用 linux-libc-headers 提供的头文件,开发者可以使用内核函数和宏定义,为特定的硬件、操作系统或内核版本编写自己的代码。 linux-libc-headers 的更新通常会与内核的更新保持同步,因为内核和头文件之间存在紧密的联系。因此,使用 linux-libc-headers 可以确保开发者使用的是与目标内核版本兼容的头文件。 为了使用 linux-libc-headers,开发者需要在 Linux 系统中安装相应的软件包,并将其添加到编译器的搜索路径中。这样,编译器在编译过程中就能找到所需的头文件并使用其中的定义。 总之,linux-libc-headers 是一个重要的开发工具,它为开发者提供了与 Linux 内核相关的 C 语言头文件和函数声明等信息,使他们能够更方便地开发和调试与内核相关的软件。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值