网络安全---Ring3下动态链接库.so函数劫持

已于 2023-08-20 07:24:58 修改
阅读量3.6k 收藏 1
点赞数 1
分类专栏: 网络安全 文章标签: web安全 安全
于 2023-08-20 05:16:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68976043/article/details/132388246
版权
本文介绍了动态链接库劫持原理,重点讲解了LD_PRELOAD的作用,以及如何在Docker环境中实现劫持。通过实例展示了如何在PHP环境下解决函数被禁用的问题,总结了寻找可劫持函数并利用环境变量的方法。
摘要由CSDN通过智能技术生成

一、动态链接库劫持原理

1.1、原理

Unix操作系统中,程序运行时会按照一定的规则顺序去查找依赖的动态链接库,当查找到指定的so文件时,动态链接器(/lib/ld-linux.so.X)会将程序所依赖的共享对象进行装载和初始化,而为什么可以使用so文件进行函数的劫持呢?

这与LINUX的特性有关,先加载的so中的全局符号会屏蔽掉后载入的符号,也就是说如果程序先后加载了两个so文件,两个so文件定义了同名函数,程序中调用该函数时,会调用先加载的so中的函数,后加载的将会屏蔽掉;所以要实现劫持,必须要抢得先机,

环境变量LD_PRELOAD以及配置文件/etc/ld.so.preload就可以让我们取得这种先机,它们可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库,我们只要在通过LD_PRELOAD加载的.so中编写我们需要hook的同名函数,即可实现劫持!

1.2、LD_PRELOAD函数讲解

LD_PRELOAD是一个环境变量,用于在运行时指定要在程序加载时优先加载的共享库(动态链接库)。这个环境变量允许你在程序启动之前将特定的共享库加载到内存中,从而可以在程序执行期间修改或替换系统库中的函数。

二、实例

1.1进入我们之前部署的docker环境(进入bypass绕过实例),这里我们以第1种为例子

 1.2

Dockerfile:

  docker-compose.yml:

 1.3部署docker文件下的环境

1.4使用蚁剑连接

查看木马连接成功:

1.5 所有的命令无法执行: (shell废除)

限制所有执行函数:

三、问题解决 

函数被禁用????无法劫持怎么办??

3.1方法:

第一:php需要启动一个新的进程

第二:控制环境变量

3.2出现子进程

 3.3实现

四、总结

 第一步:编写php文件--》查看哪一个php函数可以执行进程---》使用strace追踪php函数---》找到最容易写的函数劫持,利用php重新设置其环境变量

凌晨五点的星
关注
专栏目录
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
杨秀璋的专栏
03-19 1万+
作为Web渗透的初学者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透,你需要学好Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。安全领域通常分为网络安全Web渗透)和系统安全(PWN逆向)两个方向。非常基础的一篇文章,希望能够帮助到您!
Linux rootkit 深度分析 – 第1部分:动态链接器劫持
最新发布
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
08-11 815
Rootkit 通常是攻击者用来完全控制受感染资源并隐藏恶意活动的一种恶意软件。它们通常是持续性攻击活动的一部分,例如窃取敏感信息或进行间谍活动。Rootkit 可能难以检测和删除,因为它们利用高级技术来隐藏它们在系统上的存在。
动态链接库劫持生成器
12-25
动态链接库劫持生成器可以通过劫持dll文件获取相关数据
Linux LD_PRELOAD动态链接库劫持
SHELLCODE_8BIT的博客
12-02 780
【代码】LD_PRELOAD。
动态链接库的静态链接导致程序的DLL劫持漏洞-借助QQ程序xGraphic32.dll描述
热门推荐
Less Is More
12-19 1万+
动态链接库的静态链接导致程序的DLL劫持漏洞 借助QQ程序xGraphic32.dll描述   不想啰嗦这么多了,直接开题。   一、       库 首先明确一下库的概念,库里存放的都是二进制编码。纵观编程技术的发展路线,可以看到一条清晰的发展脉络:代码>静态库>动态库。 假如我们要编写一个程序叫做Calc.exe,而现在有现成的库,库里面存放的是已经编译好的函数Add(),Sub
动态链接库劫持--libc
MillionSky的专栏
04-04 3714
动态链接库劫持--libc1 概述动态链接库劫持,本文是做这个题目的笔记:Exploit Exercises - Nebula 15。2 Exploit Exercises - Nebula 152.1 问题描述根据题目的要求,我们需要用strace命令观察flag15的系统调用情况。 最终目标是通过这个程序拿到flag。 整个过程都是在调用一个叫libc.so.6的动态链接库:level15@n...
linux 库函数 劫持,Linux hook技术之-Ring3动态链接库.so函数劫持
weixin_34094282的博客
05-04 598
劫持普通函数当然没有什么意思了!我们要劫持的是系统函数!我们知道,Unix操作系统中对于GCC而言,默认情况下,所编译的程序中对标准C函数(fopen、printf、execv家族等等函数)的链接,都是通过动态链接方式来链接libc.so.6这个函数库的,我们只要在加载libc.so.6之前加载我们自己的so文件就可以劫持这些函数了。二、Demo我们从一个简单的c程序(sample.c)开始下面的...
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1253
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1239
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 882
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
安全技术】关于几种dll注入方式的学习
HBohan的博客
10-11 1137
何为dll注入 DLL注入技术,一般来讲是向一个正在运行的进程插入/注入代码的过程。我们注入的代码以动态链接库(DLL)的形式存在。DLL文件在运行时将按需加载(类似于UNIX系统中的共享库(share object,扩展名为.so))。然而实际上,我们可以以其他的多种形式注入代码(正如恶意软件中所常见的,任意PE文件,shellcode代码/程序集等)。 全局钩子注入 在Windows大部分应用都是基于消息机制,他们都拥有一个消息过程函数,根据不同消息完成不同功能,windows通过钩子机制来截获和监视.
利用 LD_PRELOAD劫持动态链接库,绕过 disable_function
qq_68163788的博客
11-30 1452
LD_PRELOAD是一个环境变量,它允许用户在程序加载动态链接库(共享对象)时指定要预先加载的库。这个功能可以用来替换程序中的特定函数,或者添加额外的功能。 使用LD_PRELOAD可以在不修改源代码的情况下,对程序的行为进行修改。这对于调试、性能分析或者添加额外的安全检查非常有用。例如,可以使用LD_PRELOAD来替换标准库中的malloc和free函数,从而实现内存泄漏检测或者统计内存使用情况。 需要注意的是,LD_PRELOAD只对动态链接的程序有效
Windows x86/x64 动态库劫持
如人饮水冷暖自知
03-15 3350
从调用约定开始简述x64动态库劫持技术,并通过AheadLib实现对x64架构下动态库的劫持,以及如何在目标函数调用前后记录传递的参数和返回值。 原文:论Windows x64下动态库劫持技术
Windows提权笔记-动态库劫持(dll劫持、包含多种绕过UAC方法)
墨痕诉清风的博客
03-12 659
dll 劫持是也是绕过 UAC 常用的方法,在 UACME 项目中很多绕过方法都是使用 dll 劫持。dll 劫持也是一个比较大的主题。一般操作如下,假设受信任的程序 c:\windows\system32\test\test.exe 会加载 c:\windows\system32\test.dll (不在 KnowsDLLS里面),
Linux 库文件劫持
travelnight的博客
09-09 2165
Linux库文件劫持
linux 库函数劫持技术,黑盒测试-动态库劫持-so注入-Dll注入
weixin_35433920的博客
05-09 364
在一些比较复杂的出程序中,特别是被混淆过的程序,要对这种程序进行静态分析是很困难的,这时候黑盒测试就成了分析函数的不二之选,本分将会讲述Windows如何利用Dll注入进行黑盒测试。方法编写注入dll、so进行注入测试举例用IDA查看源程序。mainint __cdecl main(int argc, const char **argv, const char **envp){size_t v3;...
Linux函数调用劫持的方法总结(带图)
weixin_38371073的博客
05-20 3652
参考文章: https://www.cnblogs.com/LittleHann/p/3854977.html https://lwn.net/Articles/132196/ https://blog.csdn.net/andy205214/article/details/77148573 https://www.cnblogs.com/arnoldlu/p/9752061.html 1.概览 Ring3劫持 基于环境变量LD_PRELOAD的动态库劫持 Ring0中劫持 Kerne.
linux 库函数 劫持,Linux下利用动态链接劫持函数并注入代码
weixin_42332497的博客
05-04 369
关于环境变量$ LD_PRELOAD$LD_PRELOAD是一个环境变量,用于加载动态库,他的优先级是最高的/*优先级顺序:(1)$LD_PRELOAD(2)$LD_LIBRARY_PATH(3)/etc/ld.so.cache(4)/lib(5)/usr/lib*/一个挑战就是,这玩意可以产生一个shell,就像下面这样:$ LP_PRELOAD = ./payload.so /bin/true...
OPNET:网络仿真利器,NS-2详解与应用
2. 运行模拟:OPNET的核心功能是运行模拟,通过构建模型来模拟网络的动态行为,包括节点编辑器、过程编辑器和网络编辑器等工具,帮助用户精细调整网络组件和配置。 3. 分析结果:模拟完成后,OPNET提供详尽的分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值