一、背景
ptrace是Unix系列系统的系统调用之一。其主要功能是实现对进程的追踪。对目标进程,进行流程控制,用户寄存器值读取&写入操作,内存进行读取&修改。这样的特性,就非常适合,用于编写实现,远程代码注入。大部分的病毒会使用到这一点,实现,自用空间注入,rip位置直接注入,text段与data段之间的空隙注入。
二、测试环境
- Linux ubuntu 4.15.0-34-generic x86_64
三、主要流程
实验使用的方式是,直接rip位置代码注入。注入的shellcode,主要实现,使用syscall,进行系统调用。调用mmap(),在目标进程的0x00100000地址位置,申请8192大小的内存空间,将指定的注入程序,注入到这申请的空间中。并且将rip调整至其entry入口地址。
- attach目标进程。
- 读取user_reg,获取rip的值。
- 将shellcode注入到rip位置。
- 使用PTRACE_CONT参数,恢复程序执行。
- 当shellcode执行完成mmap匿名内存空间申请成功后。发送int3中断信号给追踪进程。
- 将要注入的elf可执行文件open,并且read(注意read要64位对齐)到缓冲区。
- PTRACE_POKE将elf可执行文件写入到被注入进程shellcode创建的内存空间上。
- 读写user_reg将rip设置到elf可执行文件的入口点,也就是:mmap申请内存的起始地址+phdr->entry。
- 使用PTRACE_CONT参数,恢复程序执行,完成注入。
四、代码实现
GitHub : https://github.com/HotIce0/code_injection
- code_injection.c 代码注入的执行程序
- inject_me.c 被执行远程注入的程序
- test.c 要注入elf可执行程序
五、重点
- gcc -fpie -pie 用于生产与位置无关的目标代码。
- gcc -nostdlib 用于生成,不使用标准链接库的代码。
- #define WORD_ALIGN(x) ((x + 7) & ~7) 用于64位对齐。因为,在64位的ptrace的文档中说明,PTRACE_POKE && PTRACE_PEEK一次操作的内存大小是64位,使用malloc申请的内存空间如果不是64位的整数倍,可能会出现内存非法访问。segement fault。
// Open specify ELF file.
fd = open(h.exec