隐藏linux参数,隐藏与篡改Linux命令行参数

64ea3493fafbc8f6e3e6651ba6f36b5e.png

【CSDN 编者按】有时候会遇到这样的需求,不希望命令行的某些参数被ps出来,比如命令行参数里可能存在一些用户名和密码之类的东西,在Linux下如果你想隐藏这些东西的话,你该如何操作?

作者 | dog250 责编 | 欧阳姝黎

如果一个程序的命令行是一个password之类的不便展示的字符串,如何不让ps打印出来呢?

ps是从/proc/$pid/cmdline里拿的命令行,而/proc/$pid/cmdline则是在内核空间解析用户程序的stack区域获取的数据,那么答案很简单,只需要覆盖掉这个区域即可,下面是个示例:

#include#include#includeint main(int argc, char **argv)char orig[16];// 获取stack上的命令行strcpy(orig, argv[1]);// 获取命令行之后第一时间覆盖stack上的命令行strcpy(argv[1], "skinshoe");getchar();}

如果应用程序不可修改代码重新编译,有没有什么统一的办法呢?当然有,用LD_PRELOAD很方便:

// inject.c#define _GNU_SOURCE#include#include#include#includeint (*_main) (int, char * *, char * *);static int pixie_main(int argc, char **argv, char **env){char tmp[16];strcpy(tmp, argv[1]);strncpy(argv[1], "pixie", strlen(argv[1]));argv[1] = tmp;return _main(argc, argv, env);}int (*orig_start_main)(int (*main)(int, char **, char **),int argc,char **argv,void (*init) (void),void (*fini) (void),void (*_fini) (void),void (*stack_end));int __libc_start_main(int (*main)(int, char **, char **),int argc, char **argv,void (*init)(void),void (*fini)(void),void (*_fini)(void),void (*stack_end)){orig_start_main = dlsym(RTLD_NEXT, "__libc_start_main");_main = main;return orig_start_main(pixie_main, argc, argv, init, fini, _fini, stack_end);}

编译之:

gcc -O2 -fPIC -shared -o libinject.so inject.c -ldl

下面是一个“不能改的现有程序”:

// demo.c#include#includeint main(int argc, char **argv){printf("%s\n", argv[1]);getchar();}

用LD_PRELOAD执行之:

LD_PRELOAD=./libinject.so ./demo 12345

此时,demo程序打印的依然是12345,然后ps看到的就是pixie了。

把LD_PRELOAD部署到路径里就好了。这是劫库的标准手法。

事事都是双刃剑,能做好事就能做坏事,用上面的把戏其实是可以任意修改任意程序的命令行的:

int (*_main) (int, char * *, char * *);static int pixie_main(int argc, char **argv, char **env)argv[1] = "pixie";return _main(argc, argv, env);

试试看:

root@zhaoya-VirtualBox:~# LD_PRELOAD=./libinject.so ls -als: cannot access 'pixie': No such file or directoryroot@zhaoya-VirtualBox:~# LD_PRELOAD=./libinject.so /bin/echo hellopixie

2020-2021中国开发者调查报告重磅来袭,直接扫码或微信搜索「CSDN」公众号,后台回复关键词「开发者」,快速获取完整的报告内容!

?纳尼?!波多野结衣要发NFT写真集了!

?利用 GitHub Actions 在 GitHub 上进行加密挖矿??库克考虑卸任苹果CEO,谁会是下一任接班人?

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值