Linux RE----LD_PRELOAD

最近在学习CTF Wiki，记录一下，用来以后给自己看方便

给个链接：https://ctf-wiki.github.io/ctf-wiki/reverse/linux/ld_preload/

其实虽然直接接触过64位的一些逆向，但是完全基于Linux的只是来逆向破解还真的没有，一步步来吧

原理(摘自原文)

正常情况下, Linux 动态加载器ld-linux(见man手册ld-linux(8))会搜寻并装载程序所需的共享链接库文件, 而LD_PRELOAD是一个可选的环境变量, 包含一个或多个指向共享链接库文件的路径. 加载器会先于C语言运行库之前载入LD_PRELOAD指定的共享链接库，也就是所谓的预装载(preload)。

预装载意味着会它的函数会比其他库文件中的同名函数先于调用, 也就使得库函数可以被阻截或替换掉. 多个共享链接库文件的路径可以用冒号或空格进行区分. 显然不会受到LD_PRELOAD影响的也就只有那些静态链接的程序了.

当然为避免用于恶意攻击, 在ruid != euid的情况下加载器是不会使用LD_PRELOAD进行预装载的.

解析

那说白了关键就是库函数可以被预装载的函数替换掉，我们可以用自己需要的改造之后的函数替换掉库函数中同名的函数，从而达成我们的需求

例题

以2014年Hack In The Box Amsterdam: Bin 100为例

运行一波文件，不断输出看不到尽头……如下

打扰了，直接拖进IDA，有main函数，在函数里能直接找到相关判断的字符串，YOU WIN，直接转成伪C代码，其实特别长，试着分析一下

我自己是先找输出的哪些字符是放在哪篇区域中，看一下是怎么输出的来判断主要流程，发现是放在funny中

这些都结束以后就是个输出key的操作，还有异或什么的，具体这么多printf其实很浪费时间，我们可以把第三层循环体中输出音符及funny中的字符的过程给省略掉(nop)，如下

接下来就是根据LD_PRELOAD来修改sleep函数，也能省下很多时间

要先准备好我们需要的时间函数，我们可以看到一开始定义了一个时间是201527，要经过这么多秒，才能输出key，那我们直接把时间函数改了

static int t = 0x31337;

void sleep(int sec) {
    t += sec;
}

int time() {
    return t;
}

这里的话0x31337就是201527的16进制，time函数是可以返回当前时间的，那我们直接把时间改到运行的201527秒后就OK了

改完之后生成动态链接文件：gcc --shared time.c -o time.so

然后运行文件是选择time.so文件：LD_PRELOAD=./time.so ./patched.elf

结果如下，虽然还是有一些延迟(半分钟左右)，但是已经快很多了啦

当然这里只是为了LD_PRELOAD而LD_PRELOAD，我们试试看直接把那个时间改了

在IDA里面change bytes

改完之后运行速度的确是快了，但是key生成的不一样，且flag也乱码，僵硬，可能是有些问题吧……