emp3r0r - Linux下的进程注入和持久化(初级)

已于 2022-08-25 11:09:43 修改
阅读量1.5k 收藏
点赞数
分类专栏: 渗透常识研究 文章标签: 安全
于 2021-02-03 13:26:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/113592843
版权
渗透常识研究 专栏收录该内容
179 篇文章 87 订阅 ¥29.90 ¥99.00
订阅专栏
本文详细介绍了如何在Linux下通过ptrace实现进程注入和持久化,包括shellcode的编写、注入方法以及在emp3r0r框架中的应用。通过创建守护进程,在不影响目标进程的情况下执行自定义代码,实现隐蔽的持久化存在。
摘要由CSDN通过智能技术生成

背景

本文所介绍的内容是emp3r0r框架持久化模块的一部分。

Linux有一个独特的东西叫procfs,把“Everything is a file”贯彻到了极致。从/proc/pid/maps我们能查看进程的内存地址分布,然后在/proc/pid/mem我们可以读取或者修改它的内存。

所以理论上我们只需要一个dd和procfs即可将代码注入一个进程,也确实有人写了相关的工具。

但既然Linux提供了一个接口(只有这么一个,不像你们Windows),我们在通常情况下直接调用它就可以了。

ptrace

对,这唯一的接口就是ptrace。

这东西是用来操作进程的,大多用于调试器,它提供的功能足够我们完成本文所需的shellcode注入以及进程恢复了。

我们的思路是:

  1. attach到目标进程,将其接管

  2. 把shellcode写到RIP指向的位置,在此之前先备份原有的代码

  3. 恢复进程运行

  4. shellcode执行到中断,trap#SIGTRAP)并被我们接管

  5. 我们把原先的代码写回去,寄存器也都恢复

  6. 继续原进程的执行

进程的恢复

看了上面的思路,这个似乎并不难。但别忘了&

了解本专栏 订阅专栏 解锁全文
墨痕诉清风
关注
专栏目录
订阅专栏
emp3r0rlinux用户开发的linux后开发框架
02-04
emp3r0r linux用户开发的linux后开发框架 仍在积极发展中 目录 期望什么(在将来的版本中) 封隔器:cryptor + memfd_create packer:在旧版Linux内核中使用shm_open dropper:shellcode注入器-python 端口映射...
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
08-21
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
向正在运行的Linux应用程序注入代码
linuxheik的专栏
04-17 1184
向正在运行的Linux应用程序注入代码  0x80 @ 系统安全 2012-12-06 共 7468 人围观  小编的话:感谢0×80的认真翻译,辛苦:) ,各位同学,不要吝惜你的顶和评论哦! 原作者:Gregory Shpitalnik 翻译:0×80 1、简介 假设Linux上正在运行某程序,像Unix守护程序等,我们不想终止该程序,但是同时
linux进程inject,linux-inject:注入代码到运行的Linux进程
weixin_33907300的博客
04-29 1092
最近,我遇到了linux-inject,它是一个注入程序,可以注入一个.so文件到一个运行中的应用程序进程中。类似于LD_PRELOAD环境变量所实现的功能,但它可以在程序运行过程中进行动态注入,而LD_PRELOAD是定义在程序运行前优先加载的动态链接库。事实上,linux-inject并不取代任何功能。换句话说,可以看成是忽略了LP_PRELOAD.它的文档很匮乏,理由可能是开发人员认为大多数...
linux-inject:注入代码到运行的Linux进程
hpp24的专栏
08-05 7731
最近,我遇到了linux-inject,它是一个注入程序,可以注入一个.so文件到一个运行中的应用程序进程中。类似于LD_PRELOAD环境变量所实现的功能,但它可以在程序运行过程中进行动态注入,而LD_PRELOAD是定义在程序运行前优先加载的动态链接库。事实上,linux-inject并不取代任何功能。换句话说,可以看成是忽略了LP_PRELOAD. 它的文档很匮乏,理由可能是开发人员认
Linux 平台一种进程代码注入方法
linuxheik的专栏
04-27 1424
Linux 平台一种进程代码注入方法 Posted on 2012年06月7日 用于在目标程序的 main 函数执行前完成一些操作  特定情况下用来调试还是不错的。 源代码 /* fakemain.c * Heiher */   #include   #define __USE_GNU #include   static void do_som
emp3r0r - Linux下的进程注入持久化 .pdf
09-05
【emp3r0r - Linux进程注入持久化】 在Linux操作系统中,进程注入持久化是高级渗透测试和安全研究的重要技术。emp3r0r是一个针对Linux平台的框架,其持久化模块专注于实现这一目标。Linux的特性使得进程注入...
EMP3288-MIPI-V3-01.pcb EMP3288-MIPI-V3-2021413-162.DSN
10-19
瑞芯微RK3288 核心板参考PCB设计,包含原理图 PCB,Orcad格式原理图,pads格式pcb,8层板,2*100 BTB接口
VHDL.rar_ 相位测量_emp7128_phase-measuring _相位测量
09-19
VHDL(VHSIC Hardware Description Language)是一种高级硬件描述语言,用于电子设计自动化领域,特别是在数字系统的设计中。在给定的“VHDL.rar”压缩包中,重点是利用EMP7128芯片进行相位测量。EMP7128是一款高...
将shllcode注入Linux中正在运行的进程(C/C++代码实现)
chen1415886044的博客
07-30 990
进程注入是一种在单独的活动进程的地址空间中执行任意代码的方法。在另一个进程的上下文中运行代码可以允许访问该进程的内存、系统/网络资源,以及可能提升的权限。通过进程注入执行也可能逃避安全产品的检测,因为在合法进程下执行是被掩盖的。 有许多不同的方法可以将代码注入进程,其中许多方法滥用合法功能。这些实现适用于每个主要的操作系统,但通常是特定于平台的。 更复杂的样本可以利用命名管道或其他进程间通信(IPC)机制作为通信信道来执行对分段模块的多个进程注入,并进一步逃避检测。
向正在运行的Linux应用程序注入代…
空山无人,水流花开
04-28 1473
此文的过程完全参考链接:http://www.freebuf.com/articles/system/6388.html,谢谢0x08, linux的ELF可执行文件格式我原来研究过一段时间,今天看到这个好开心,试验了下,失败了一次,第二次成功了,很激动,发截图过程开心一下。 原来守护程序代码: //app.c 调用的print的动态链接库 dynlib.c dynlib.h extern
使用K55实现Linux x86_64进程注入
weixin_43977912的博客
01-24 2256
关于K55 K55是一款 Payload注入工具,该工具可以向正在运行的进程注入x86_64 shellcode Payload。该工具使用现代C++11技术开发,并且继承了某些传统的C Linux函数,比如说ptrace()等等。在目标进程中生成的shellcode长度为27个字节,并且能够在目标进程的地址空间中执行/bin/sh(生成一个Bash shell)。将来,我们还会支持允许用户通过命令行参数输入自己的shellcode。 工具安装 广大研究人员可以使用下列命令将该项目源码克隆至本地,然后完成工
linux进程注入,[翻译]向正在执行的linux程序中注入代码
weixin_39585378的博客
04-28 312
[翻译]向正在执行的linux程序中注入代码2016-5-30 11:224181[翻译]向正在执行的linux程序中注入代码2016-5-30 11:224181ps:文章是介绍Linux注入的,个人认为Linux和Android的注入基本相同,故放到Android安全板块了。原链接:http://www.codeproject.com/Articles/33340/Code-Injection...
无需Ptrace就能实现Linux进程间代码注入
weixin_33806300的博客
09-12 857
本文讲的是无需Ptrace就能实现Linux进程间代码注入, ptrace系统调用 ptrace系统调从名字上看是用于进程跟踪的,它提供了父进程可以观察和控制其子进程执行的能力,并允许父进程检查和替换子进程的内核镜像(包括寄存器)的值。其基本原理是: 当使用了ptrace跟踪后,所有发送给被跟踪的子进程的信号(除了SIGKILL),都会被转发给父进程,...
探索Linux进程注入艺术:linux-injector
最新发布
gitblog_00094的博客
05-26 325
探索Linux进程注入艺术:linux-injector linux-injectorUtility for injecting executable code into a running process on x86/x64 Linux项目地址:https://gitcode.com/gh_mirrors/li/linux-injector 项目简介 linux-injector 是一个功能...
linux手动注入网络数据_追溯 Linux 上的库注入
weixin_35501172的博客
12-23 166
注入Linux 上不如 Windows 上常见,但它仍然是一个问题。下来看看它们如何工作的,以及如何鉴别它们。-- Sandra Henry-stocker库注入Library injections在 Linux 上不如 Windows 上常见,但它仍然是一个问题。下来看看它们如何工作的,以及如何鉴别它们。尽管在 Linux 系统上几乎见不到,但库(Linux 上的共享目标文件)注入仍是一个...
linux c恶意代码,攻击者如何向正在运行的Linux进程注入恶意代码
weixin_29337389的博客
05-13 764
概述目前,已经有很多详细的技术文章,讲解攻击者是如何将被感染的文件注入到二进制代码中,以便下次启动受感染的程序时执行恶意代码。但是,针对正在运行的进程,攻击者可以采取什么方式实现感染呢?本文将主要介绍攻击者如何在内存中向正在运行的进程实现注入,换而言之,本文主要介绍如何编写自己的调试器。相关研究成果在展开细节之前,我们首先介绍一些相关的基础知识和研究成果。我们的第一个示例与恶意软件无关,而是一个多...
线程注入
Gavin_Fool的博客
06-24 690
在Android项目开发中用到的一个非常实用的处理业务的方法。记录一下,顺便大家可以一起学习一下。 目的:有多种业务,但是返回的数据格式和展示方式都一样。这样可以让多个线程实现同一个Runnable,在run()中去处理不同的业务。再将不同的线程注入到需要用到该线程的地方使用。下面以项目中应用场景举例。我们需要在手机端实时监测监督员和车辆的实时位置,并在地图上显示。那么获取数据的接口不同
EPSON EMP-1715 投影机详细使用指南与功能解析
配置菜单是该文档的核心部分,详细列出了功能一览表、图像菜单、信号菜单、设定菜单、扩展菜单(适用于EMP-1715/1705型号)和网络菜单,允许用户个性化设置投影仪的行为和性能。信息菜单和重置菜单则涉及系统状态的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值