linux安全源码,从源码分析:Linux共享库安全风险剖析 之 运行时加载顺序风险

最新推荐文章于 2023-07-11 09:27:50 发布
最新推荐文章于 2023-07-11 09:27:50 发布
阅读量200 收藏
点赞数
文章标签: linux安全源码

一:概述

在Linux开发过程中,我们会遇到这样的情况,明明可执行程序elf与共享库so在同一个目录,但是进入此目录执行./elf 却会提示so找不到?这种情况对于从Windows平台过渡过来的程序员是比较费解的。这里其实就涉及到Linux上可执行程序搜索需要的库的一个范围和顺序问题。首先,是范围问题,我们可以通过查询ld的说明文档知晓范围。其次,是顺序问题,如果第三方程序制作了一个与系统库同名的so库,并把它放在了优先加载的位置,即优先于系统库目录的位置,定然就会发生劫持,这是一个风险点。

网络上比较流行的Linux动态库劫持的方式是通过/etc/ld.so.preload或者环境变量LD_PRELOAD来劫持的,这种方式很容易被发现,因为它会影响所有后续启动的进程,比如有些挖矿进程隐身的时候就使用了此技术,这种方式我们先不谈,本文,我们谈一谈库加载顺序可能导致的风险,这个风险不容易被发现,但值得警惕。

二:so共享库运行时加载顺序验证

1)准备

Linux共享库的运行时加载顺序为:

1:环境变量LD_LIBRARY_PATH指定的路径

2:连接时 -rpath指定的共享库查找路径

3:ldconfig 配置文件ld.so.conf指定的路径

4:/lib

5:/usr/lib

因为Windows搜索dll的路径会搜索本地目录和PATH路径,我们也捎带测试一下这两种情况。

在作者的机器上,/lib为/usr/lib的软链接,

f621e0d82c816fd12de72e4474a73d69.png

所以,我们只测试前四种情况+PATH+本地!

65dcaee677297636387a3e652bca704e.png

为了公平验证所有运行时加载顺序,

我们在这几个目录都放置好同名但print输出不同的so库文件,-rpath指定好主程序的加载目录,配置好PATH路径,配置好ld.so.conf。运行主程序,查看输出结果,不断删除起作用的项,可逐一验证运行时加载顺序:

编写七个文件如下

user@kali:~/pro$ cat a1.c

#include

void myprint()

{

printf("Hello a1[LD_LIBRARY_PATH]\n");

}

user@kali:~/pro$ cat a2.c

#include

void myprint()

{

printf("Hello a2[rpath]\n");

}

user@kali:~/pro$ cat a3.c

#include

void myprint()

{

printf("Hello a3[ld.so.conf]\n");

}

user@kali:~/pro$ cat a4.c

#include

void myprint()

{

printf("Hello a4[/lib--/usr/lib]\n");

}

user@kali:~/pro$ cat a5.c

#include

void myprint()

{

printf("Hello a5 PATH\n");

}

user@kali:~/pro$ cat a6.c

#include

void myprint()

{

printf("Hello a6 local\n");

}

user@kali:~/pro$ cat main.c

#include

extern void myprint();

int main()

{

myprint();

return 0;

}

编译和设置,步骤如下:

// 创建文件夹

user@kali:~/pro$ mkdir dir_ld_conf dir_path dir_ld_path dir_rpath

其中:

dir_ld_conf 用来验证ld.so.conf的作用

dir_ld_path 用来验证LD_LIBRARY_PATH的作用

dir_path 用来验证环境变量PATH的作用

dir_rpath 用来验证链接时rpath的作用

// a1.c 验证LD_LIBRARY_PATH

user@kali:~/pro$ gcc -shared -o ./dir_ld_path/liba.so a1.c

user@kali:~/pro$ export LD_LIBRARY_PATH=/home/user/pro/dir_ld_path

user@kali:~/pro$ echo $LD_LIBRARY_PATH

/home/user/pro/dir_ld_path

// a2.c 验证rpath

user@kali:~/pro$ gcc -shared -o ./dir_rpath/liba.so a2.c

// a3.c 验证ld.so.conf

user@kali:~/pro$ gcc -shared -o ./dir_ld_conf/liba.so a3.c

// 编辑,加入/home/user/pro/dir_ld_conf

user@kali:~/pro/dir_ld_conf$ sudo vim /etc/ld.so.conf

c3682a2d60abbc3e3f242950281fb17e.png

// 刷新缓存

user@kali:~/pro/dir_ld_conf$ sudo ldconfig

// a4.c 验证/lib /usr/lib

user@kali:~/pro$ sudo gcc -shared -o /lib/liba.so a4.c

5ee68fc4bc41b07420542f9715287da9.png

// a5.c 验证PATH

user@kali:~/pro$ gcc -shared -o ./dir_path/liba.so a5.c

user@kali:~/pro$ export PATH=/home/user/pro/dir_path:$PATH

user@kali:~/pro$ echo $PATH

/home/user/pro/dir_path:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games

// a6.c 验证本地

user@kali:~/pro$ gcc -shared -o liba.so a6.c

// 编译主程序[带rpath]

user@kali:~/pro$ gcc -o main main.c -L. -la -Wl,-rpath,dir_rpath

此时目录结构如下:

c8213664a919833fc3a96d193b794c4a.png

我们看一下动态节.dynamic的内容:

b318bfa373fae7f34d5f81d4c756d25a.png

可见rpath指定的路径已经被写入了可执行文件中。

2)手工验证

一切就绪,我们开始验证:

user@kali:~/pro$ ./main

Hello a1[LD_LIBRARY_PATH]

可见 LD_LIBRARY_PATH第一个起作用

删除dir_ld_path之后

user@kali:~/pro$ ./main

Hello a2[rpath]

可见-rpath连接选项第二个起作用

删除dir_rpath之后

user@kali:~/pro$ ./main

Hello a3[ld.so.conf]

可见ld.so.conf配置文件第三个起作用

删除 dir_ld_conf之后

user@kali:~/pro$ ./main

Hello a4[/lib--/usr/lib]

可见 /lib 目录生效,第四个起作用

删除/lib/liba.so之后

user@kali:~/pro$ ./main

./main: error while loading shared libraries: liba.so: cannot open shared object file: No such file or directory

可见只有这四个可以起作用,我们设置的PATH中的路径和本地路径都没有起作用。

如果感兴趣的话,也可以用strace追踪一下main的系统调用过程,也能发现调用过程是这样的顺序。

至此,可以得出结论:Linux的共享库so的寻找顺序为:

1:LD_LIBRARY_PATH

2:-rpath连接选项

3:ld.so.conf配置文件

4:/lib和/usr/lib

3)源代码验证

既然Linux是开源系统,最权威的验证方式,当然是源代码了,库的寻找顺序,系统是交给动态链接器来管理的,Linux的ELF动态链接器是Glibc的一部分,作者从glibc-2.29版本中的dl-load.c文件中找到这么一个函数记载了运行时加载顺序的寻找过程:

struct link_map _dl_map_object (struct link_maploader, const char *name,

int type, int trace_mode, int mode, Lmid_t nsid)

几个主要的代码片段如下:

616549a4411f578dcbef8fcc8e1b97a6.png

a4859b183d12c56ec809a16b4c351a0d.png

d1dd93202a5ba7e762fda9f087ece08f.png

74df8fdaba42be63997a2ca62941cfea.png

最开始是RPATH与RUNPATH同时存在时的处理方式,RPATH是旧式的编译器用的方式,RUNPATH是最新的编译器支持的方式,这两种方式可以通过在链接时指定–enable-new-dtags/–disable-new-dtags来控制。

总体的处理逻辑为:

if(对象没有RUNPATH) {

if(对象有RPATH){

使用RPATH

} else {

递归查找加载者(loader)的RPATH(或者有RUNPATH退出)

}

if(可执行程序没有RUNPATH) {

使用可执行程序的RPATH

}

}

查找LD_LIBRARY_PATH

查找正被加载对象的RUNPATH

查找ld.so.cache

查找默认路径

作者的编译器是最新的,默认就会使用RUNPATH。

从源码也可以看出,我们之前的验证是正确的。

使用–disable-new-dtags或旧式编译器的人可能会发现有时候-rpath优先于LD_LIBRARY_PATH,原因就在于程序进入了RUNPATH与RPATH的处理逻辑。可以使用readelf -d 查看动态节到底有没有RPATH或RUNPATH来进行分析

三:运行时加载顺序可能的风险分析

明白了这些运行时加载顺序,最后简单概括一下:

1:LD_LIBRARY_PATH的环境变量的影响范围是全局的,同LD_PRELOAD影响一样,会有风险点,过多的使用可能会影响到其他应用程序的运行,所以多用于调试模式。

2:-rpath链接选项是程序生成时指定的,一般程序运行前都已经生成了,所以这项暂时构成不了威胁。

3:ld.so.conf配置文件与LD_LIBRARY_PATH一样,都有同样的风险

4:/lib和/usr/lib 是系统文件,所属权限属于root,因为每个so库在各Linux系统中的位置有差异,要在这个位置预防so动态库劫持,就需要对库的位置进行精确定位,精准拦截。

Topbook
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux的LCD驱动分析及移植.doc
11-30
Linux 的 LCD 驱动分析及移植 Linux 的 LCD 驱动分析及移植是指在 Linux 操作系统中对 LCD 控制器的驱动码进行分析和移植。该驱动程序主要用于控制 LCD 屏幕的显示,包括对 LCD 控制器的寄存器设置、LCD ...
linux-linux内核分析.zip
最新发布
02-26
linux linux_linux内核分析
Linux安全模块(LSM)入门及Yama分析
qq_44109982的博客
11-03 4983
LSM是什么 由于Linux内核开发中安全人员的边缘地位(误),安全模块并没有并入主线,而是作为单独的模块存在。 LSM的设计思想是在最少改变内核代码的情况下,提供一个能够成功实现强制访问控制模块需要的结构或者接口。LSM对内核主要有5处改动: 1、在特定的内核数据结构中加入安全域; 2、在内核代码中不同的关键点插入对安全钩子函数的调用 3、加入一个通用的安全系统调用 4、提供了函数允许内核模块注册为安全模块或者注销 5、将capabilities逻辑的大部分移植为一个可选的安全模块 LSM机制之所以简单
Linux中制作c动态共享) 及其 优缺点
weixin_48328037的博客
01-25 1249
动态命名:lib+ 名称 + .so 静态命名:lib+ 名称 + .a (接静态) 1.生成与位置无关的obj文件 2.生成共享 移动 到 lib中 3.测试 同样也可以使用这种方式:(避免和静态重复二义) 方式1.这种方式要配置 将 动态移动到 /lib中(不推荐) 方式2.将动态 放到 LD_LIBRARY_PATH中 export LD_LIBRARY_PATH=./lib 这个是临时的测试导入到环境中。 如果要永久设置,可...
Windows和Linux动态的生成及使用
目前在做 ROS相关的工作,主要是写ROS相关和C++的学习心得
04-23 2347
c和C++使用动态链接的主要意义在于:节省系统资当应用程序需要链接大量的函数时,使用静态链接会导致应用程序的体积变得很大,而且每个应用程序都需要拥有一份完整的代码,这会浪费系统资。相比之下,动态链接可以被多个应用程序共享,从而避免了重复加载代码的情况,减少了系统资的浪费。简化代码维护使用动态链接可以将函数和应用程序的代码分离开来,这样有利于代码的维护和升级。如果需要更新函数,只需要替换动态链接即可,不需要重新编译和部署应用程序。
警惕利用Linux预加载型恶意动态链接的后门
cleanfield的专栏
01-17 1821
一、动态链接预加载型rootkit概述 动态链接预加载机制是系统提供给用户运行自定义动态链接的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接的一种技术,这种技术可以重写系统的函数,只需要在预加载的链接中重新定义相同名称的函数,程序调用函数时,重新定义的函数即会短路正常的函数,这种技术可以用来重写系统中有漏洞的函数,达到修复漏洞的目的,如get_host_byname导致ghost漏洞的这类函数。这种技术也可以被不怀好意的攻击者用来写rootkit,通过重写mkdir, m
[ubuntu]动态加载优先级
俗科技的博客
07-11 1244
众所周知, Linux 动态的默认搜索路径是 /lib 和 /usr/lib。动态被创建后,一般都复制到这两个目录中。当程序执行时需要某动态, 并且该动态还未加载到内存中,则系统会自动到这两个默认搜索路径中去查找相应的动态文件,然后加载该文件到内存中,这样程序就可以使用该动态中的函 数,以及该动态的其它资了。在 Linux 中,动态的搜索路径除了默认的搜索路径外,还可以通过以下三种方法来指定。众所周知, Linux 动态的默认搜索路径是 /lib 和 /usr/lib。
Linux 内核IPSec(xfrm)协议栈分析
06-21
该文档从分析上入手分析linux 内核收发数据包流程,内核路由查询流程。很清楚的分析了一个数据包如何通过查询路由进入内核ipsec协议栈的处理、Linux 内核ipsec协议栈详细的加解密流程以及加解密完后如何将...
Linux进程-zhangwl.rar_linux_linux 进程_linux进程_分析_进程 linux
09-22
Linux 分析系列之进程 进程的生成,进程的使用,进程的创建
Linux 4.4.0内核分析TCP实现
05-17
Linux 4.4.0 内核分析 TCP 实现 Linux 4.4.0 内核分析 TCP 实现是关于 Linux 操作系统内核码中 TCP 协议的实现机理的分析。TCP(Transmission Control Protocol)是一种面向连接的传输层协议,它提供了...
Linux系统程序运行时加载动态路径顺序
木牛的博客
12-03 2649
程序运行时加载动态路径顺序(Linux) 在linux系统中,如果程序需要加载动态,它会按照一定的顺序(优先级)去查找: 链接时路径(Link-time path)和运行时路径(Run-time path)不是一回事,当然,当你知道这个概念的时候,你当然明白。那么自制的在没有指定运行的路径时,一般是不会找到你特定目录的,先来说说链接的搜寻顺寻: 在命令前加环境变量设置,该环境变量只对该命令有效,当该命令执行完成后,该环境变量就无效了。如下述命令:# 下面对编译时的查找与运行的查找做一
Linux-加载so动态linux环境下加载动态需要注意事项
weixin_43999761的博客
08-16 1648
如:动态libDemo.so,Native.load(Demo,TestService.class)例如:linux-x86-64,将动态放到linux-x86-64文件夹内。2.linux会自动补全动态名的lib,因此Native.load中动态名不需加上lib,不需要带.so后缀。输入命令:vim /etc/ld.so.conf将动态路径添加,保存退出。不需要将动态放到项目中一起打包,但需要注意带后缀.so。一.服务器配置动态路径。二.项目-加载动态路径。配置动态自动搜索路径。...
Linux动态加载共享,Linux共享的动态加载(附测试案例)
weixin_31936393的博客
05-13 552
共享的动态加载是指可以在程序运行的过程中去加载所需的共享。常用于某些系统或者应用程序的自动升级。在C语言的程序动态加载共享,需要调用一组特殊的函数,它们被声明于一个专门的头文件dlfcn.h,并在一个独立的中予以实现。使用这组函数需要包含此头文件,并链接该。使用共享的动态加载时需要用到的函数1、dlopen函数:打开一个动态链接,并返回动态链接的句柄void *dlopen(co...
Linux LD_PRELOAD动态链接劫持
SHELLCODE_8BIT的博客
12-02 748
【代码】LD_PRELOAD。
Linux 文件劫持
travelnight的博客
09-09 1882
Linux文件劫持
linux加载和链接动态共享
weixin_45298607的博客
05-05 1187
在简单的学习了linux动态链接器接口后,用一个简单的例子展示了如何从应用程序加载和链接共享
linux动态链接的加载顺序
深之JohnChen的专栏
04-19 8591
一、Linux 动态选择顺序指: 1. 编译程序时用到动态,该从那些地方查找,按照怎么样的顺序查找? 2. 运行程序时需要动态,该从那些地方查找,按照怎么样的顺序查找? 二、gcc 编译程序时查找SO顺序如下: 1. gcc 编译时参数-L指定的路径 2. 环境变量 LIBRARY_PATH 3. 系统默认位置 /lib /usr/lib 三、Linux 程...
Linux静态与动态吐血详解
tanhuifang520的博客
07-06 358
Linux静态与动态详解 一、编译 1、静态 g++ -c test.cpp ar -crv libtest.a test.o 2、动态 g++ -fPIC -static libtest.so test.cpp 二、应用 g++ -L. -ltest-I. a.cpp 1、调用多个时会从最后一个开始,一个一个的链接到应用程序。 2、若先链接的依赖后面的,就会导致依赖错误即报错找不到...
linux 动态加载so调用外部so,运行时出现undefined symbol
xuyonjin的博客
05-17 8607
        linux 应用程序application中动态加载 libA.so, 而libA.so调用了libB.so中的函数funcB();application运行时出现undefined symbol: funcB用ldd -r application,发现确实没有加载动态链接libB.so。用-lB编译选项,编译后发现仍然没有加载动态链接libB.so。因为application...
linux0.11分析
11-30
Linux 0.11是Linux内核的早期版本,也是最基本的版本之一。对于想要深入了解Linux内核的人来说,分析Linux 0.11码是一个很好的起点。以下是Linux 0.11分析的一些方法和步骤: 1.了解Linux 0.11的基本结构和组成部分,包括进程管理、内存管理、文件系统、设备驱动程序等。 2.阅读Linux 0.11的代码,可以从进程管理开始,逐步深入到其他部分。可以使用一些工具来帮助分析代码,例如cscope和ctags。 3.了解Linux 0.11的编译和调试方法。可以使用一些工具来帮助编译和调试,例如gcc和gdb。 4.分析Linux 0.11的内存管理部分,包括物理内存管理和虚拟内存管理。可以了解Linux 0.11的内存分配算法和页面置换算法。 5.分析Linux 0.11的进程管理部分,包括进程调度、进程通信和进程同步。可以了解Linux 0.11的进程调度算法和进程通信机制。 6.分析Linux 0.11的文件系统部分,包括文件系统的结构和文件的读写操作。可以了解Linux 0.11的文件系统类型和文件系统缓存。 7.分析Linux 0.11的设备驱动程序部分,包括字符设备和块设备。可以了解Linux 0.11的设备驱动程序框架和设备驱动程序的注册和注销。 8.了解Linux 0.11的系统调用和中断处理部分,包括系统调用的实现和中断处理程序的编写。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值