dlinject分析,一种不使用ptrace的linux代码注入

已于 2024-09-29 20:33:22 修改
阅读量339 收藏 4
点赞数 21
文章标签: linux python 系统安全
于 2024-09-29 18:26:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuyun0565/article/details/142641333
版权

原理是通过直接操作Linux进程的内存,将一个动态链接库(.so 文件)注入到正在运行的进程中。这种注入过程通常涉及高级的系统编程技巧,涉及到操作系统的低层机制。以下是对该脚本的详细分析:

1. ELF文件解析

ELF(Executable and Linkable Format)是Linux系统中可执行文件和共享库的标准格式。脚本利用pyelftools库读取ELF文件,并查找动态链接器(ld.so)中的 _dl_open 函数地址,以便稍后使用。

  • lookup_elf_symbol(elf_name, sym_name):
    通过该函数,脚本可以找到特定符号(如 _dl_open)在内存中的偏移地址。这个地址之后会用于调用 _dl_open 函数,将动态链接库加载到目标进程中。

2. Process Memory Injection

脚本的主要功能是将自己生成的机器代码(shellcode)注入到目标进程中,并执行它。这通常涉及对目标进程内存的读写操作。

  • dlinject(pid, lib_path, stopmethod="sigstop"):
    这是脚本的核心函数,负责对目标进程进行注入。具体步骤如下:

    1. 定位目标进程的ld.so加载器:
      通过查看 /proc/{pid}/maps 文件,脚本找到目标进程的动态链接器ld.so的基址和路径。ld.so负责加载共享库,并包含_dl_open函数。

    2. 计算_dl_open的绝对地址:
      使用 lookup_elf_symbol 函数确定 _dl_openld.so 中的偏移地址,并计算其在目标进程中的绝对地址。

    3. 暂停目标进程:
      为了避免在注入过程中出现竞争条件,脚本提供了两种暂停目标进程的方法:

      • SIGSTOP: 使用os.kill发送SIGSTOP信号来暂停目标进程。
      • cgroup_freeze: 利用cgroupfreezer子系统将进程冻结,这需要管理员权限。

    4. 生成并写入第一阶段的Shellcode:
      第一阶段的shellcode由汇编指令组成,由assemble()函数通过调用gcc将汇编代码编译成二进制数据。注入过程如下:

      • 将shellcode写入目标进程的内存,并覆盖原来的代码。
      • 保存被覆盖的内存区域,以便稍后恢复。

    5. 恢复进程:
      在注入阶段结束后,目标进程会继续执行注入的shellcode,这段shellcode的功能包括加载第二阶段的shellcode并跳转到它的入口执行。

3. Shellcode注入

Shellcode是一段能够执行特定任务的机器码,通常用于内存注入操作。本脚本中存在两个阶段的shellcode:

  • 第一阶段shellcode:

    • 将当前寄存器状态保存在栈中。
    • 打开并读取存储第二阶段shellcode的文件,并将其加载到内存中。
    • 跳转到第二阶段shellcode的入口地址,继续执行。

  • 第二阶段shellcode:

    • 恢复原始指令指针和栈内容,确保目标进程能够继续正常运行。
    • 调用 _dl_open 函数,将指定的动态链接库加载到进程空间中。

4. 与目标进程的交互

注入过程中,脚本需要频繁与目标进程交互,具体包括:

  • 读写 /proc/{pid}/mem:
    该文件提供对目标进程内存的直接读写访问,脚本使用它来向目标进程写入shellcode和读取原始数据。

  • 读取 /proc/{pid}/syscall:
    该文件提供了目标进程当前执行的系统调用信息,脚本利用它获取目标进程的当前指令指针 (RIP) 和栈指针 (RSP)。

5. _dl_open的利用

_dl_openld.so 提供的一个内部函数,用于将共享库加载到进程空间中。通过调用该函数,脚本可以将指定的.so文件注入到目标进程中,实现代码注入。

6. 恢复目标进程

注入操作完成后,脚本会:

  • 恢复被覆盖的代码和寄存器状态。
  • 恢复目标进程的执行,确保它能正常运行。

关键技术要点

  • 系统调用:脚本在shellcode中使用大量的Linux系统调用,如open, mmap, close, write等,这些调用直接与操作系统交互,执行对文件、内存的操作。
  • ELF文件解析:通过解析ELF文件,脚本能找到动态链接器中关键函数的位置。
  • 进程暂停与恢复:为了避免竞争条件,脚本必须能够准确地暂停和恢复目标进程的执行。

潜在风险与使用注意

  • 需要管理员权限:脚本需要对目标进程的内存进行读写,通常需要管理员权限(root)。
  • 安全与稳定性问题:该脚本涉及对进程内存的直接操作,可能会导致目标进程崩溃或引发系统不稳定,使用时需谨慎。

总结

总体而言,该脚本通过暂停目标进程,注入自定义shellcode,然后利用目标进程的动态链接器 _dl_open 函数加载共享库,从而实现了对目标进程的代码注入。它充分利用了Linux系统的底层机制,如ELF文件解析、进程内存操作、系统调用等,是一个典型的注入工具。

import argparse
import os
import re
import signal
import time
import subprocess

from elftools.elf.elffile import ELFFile

STACK_BACKUP_SIZE = 8 * 16
STAGE2_SIZE = 0x8000


def lookup_elf_symbol(elf_name, sym_name):
	with open(elf_name, "rb") as elf_file:
		elf = ELFFile(elf_file)
		symtab = elf.get_section_by_name(".symtab")
		if not symtab:
			return None
		syms = symtab.get_symbol_by_name(sym_name)
		if not syms:
			return None
		return syms[0].entry.st_value


def ansi_color(name):
	color_codes = {
		"blue": 34,
		"red": 91,
		"green": 32,
		"default": 39,
	}
	return f"\x1b[{color_codes[name]}m"


def log(msg, color="blue", symbol="*"):
	print(f"[{ansi_color(color)}{symbol}{ansi_color('default')}] {msg}")


def log_success(msg):
	log(msg, "green", "+")


def log_error(msg):
	log(msg, "red", "!")
	raise Exception(msg)


def assemble(source):
	cmd = "gcc -x assembler - -o /dev/stdout -nostdlib -Wl,--oformat=binary -m64"
	argv = cmd.split(" ")
	prefix = b".intel_syntax noprefix\n.globl _start\n_start:\n"

	program = prefix + source.encode()
	pipe = subprocess.PIPE

	result = subprocess.run(argv, stdout=pipe, stderr=pipe, input=program)

	if result.returncode != 0:
		emsg = result.stderr.decode().strip()
		log_error("Assembler command failed:\n\t" + emsg.replace("\n", "\n\t"))

	return result.stdout


def dlinject(pid, lib_path, stopmethod="sigstop"):
	with open(f"/proc/{pid}/maps") as maps_file:
		for line in maps_file.readlines():
			ld_path = line.split()[-1]
			if re.match(r".*/ld-.*\.so", ld_path):
				ld_base = int(line.split("-")[0], 16)
				break
		else:
			log_error("Couldn't find ld.so! (we need it for _dl_open)")

	log("ld.so found: " + repr(ld_path))
	log("ld.so base: " + hex(ld_base))
	dl_open_offset = lookup_elf_symbol(ld_path, "_dl_open")

	if not dl_open_offset:
		log_error("Unable to locate _dl_open symbol")

	dl_open_addr = ld_base + dl_open_offset
	log("_dl_open: " + hex(dl_open_addr))

	if stopmethod == "sigstop":
		log("Sending SIGSTOP")
		os.kill(pid, signal.SIGSTOP)
		while True:
			with open(f"/proc/{pid}/stat") as stat_file:
				state = stat_file.read().split(" ")[2]
			if state in ["T", "t"]:
				break
			log("Waiting for process to stop...")
			time.sleep(0.1)
	elif stopmethod == "cgroup_freeze":
		freeze_dir = "/sys/fs/cgroup/freezer/dlinject_" + os.urandom(8).hex()
		os.mkdir(freeze_dir)
		with open(freeze_dir + "/tasks", "w") as task_file:
			task_file.write(str(pid))
		with open(freeze_dir + "/freezer.state", "w") as state_file:
			state_file.write("FROZEN\n")
		while True:
			with open(freeze_dir + "/freezer.state") as state_file:
				if state_file.read().strip() == "FROZEN":
					break
			log("Waiting for process to freeze...")
			time.sleep(0.1)
	else:
		log.warn("We're not going to stop the process first!")

	with open(f"/proc/{pid}/syscall") as syscall_file:
		syscall_vals = syscall_file.read().split(" ")
	rip = int(syscall_vals[-1][2:], 16)
	rsp = int(syscall_vals[-2][2:], 16)

	log(f"RIP: {hex(rip)}")
	log(f"RSP: {hex(rsp)}")

	stage2_path = f"/tmp/stage2_{os.urandom(8).hex()}.bin"

	shellcode = assemble(fr"""
		// push all the things
		pushf
		push rax
		push rbx
		push rcx
		push rdx
		push rbp
		push rsi
		push rdi
		push r8
		push r9
		push r10
		push r11
		push r12
		push r13
		push r14
		push r15

		// Open stage2 file
		mov rax, 2          # SYS_OPEN
		lea rdi, path[rip]  # path
		xor rsi, rsi        # flags (O_RDONLY)
		xor rdx, rdx        # mode
		syscall
		mov r14, rax        # save the fd for later

		// mmap it
		mov rax, 9              # SYS_MMAP
		xor rdi, rdi            # addr
		mov rsi, {STAGE2_SIZE}  # len
		mov rdx, 0x7            # prot (rwx)
		mov r10, 0x2            # flags (MAP_PRIVATE)
		mov r8, r14             # fd
		xor r9, r9              # off
		syscall
		mov r15, rax            # save mmap addr

		// close the file
		mov rax, 3    # SYS_CLOSE
		mov rdi, r14  # fd
		syscall

		// delete the file (not exactly necessary)
		mov rax, 87         # SYS_UNLINK
		lea rdi, path[rip]  # path
		syscall

		// jump to stage2
		jmp r15

	path:
		.ascii "{stage2_path}\0"
	""")

	with open(f"/proc/{pid}/mem", "wb+") as mem:
		# back up the code we're about to overwrite
		mem.seek(rip)
		code_backup = mem.read(len(shellcode))

		# back up the part of the stack that the shellcode will clobber
		mem.seek(rsp - STACK_BACKUP_SIZE)
		stack_backup = mem.read(STACK_BACKUP_SIZE)

		# write the primary shellcode
		mem.seek(rip)
		mem.write(shellcode)

	log("Wrote first stage shellcode")

	stage2 = assemble(fr"""
		cld

		fxsave moar_regs[rip]

		// Open /proc/self/mem
		mov rax, 2                   # SYS_OPEN
		lea rdi, proc_self_mem[rip]  # path
		mov rsi, 2                   # flags (O_RDWR)
		xor rdx, rdx                 # mode
		syscall
		mov r15, rax  # save the fd for later

		// seek to code
		mov rax, 8      # SYS_LSEEK
		mov rdi, r15    # fd
		mov rsi, {rip}  # offset
		xor rdx, rdx    # whence (SEEK_SET)
		syscall

		// restore code
		mov rax, 1                   # SYS_WRITE
		mov rdi, r15                 # fd
		lea rsi, old_code[rip]       # buf
		mov rdx, {len(code_backup)}  # count
		syscall

		// close /proc/self/mem
		mov rax, 3    # SYS_CLOSE
		mov rdi, r15  # fd
		syscall

		// move pushed regs to our new stack
		lea rdi, new_stack_base[rip-{STACK_BACKUP_SIZE}]
		mov rsi, {rsp-STACK_BACKUP_SIZE}
		mov rcx, {STACK_BACKUP_SIZE}
		rep movsb

		// restore original stack
		mov rdi, {rsp-STACK_BACKUP_SIZE}
		lea rsi, old_stack[rip]
		mov rcx, {STACK_BACKUP_SIZE}
		rep movsb

		lea rsp, new_stack_base[rip-{STACK_BACKUP_SIZE}]

		// call _dl_open (glibc/elf/dl-open.c)
		lea rdi, lib_path[rip]  # file
		mov rsi, 2              # mode (RTLD_NOW)
		mov rdx, {dl_open_addr} # caller_dlopen - needs to be "valid" on older libcs
		xor rcx, rcx            # nsid (LM_ID_BASE) (could maybe use LM_ID_NEWLM)
		mov rax, {dl_open_addr}
		call rax

		fxrstor moar_regs[rip]
		pop r15
		pop r14
		pop r13
		pop r12
		pop r11
		pop r10
		pop r9
		pop r8
		pop rdi
		pop rsi
		pop rbp
		pop rdx
		pop rcx
		pop rbx
		pop rax
		popf

		mov rsp, {rsp}
		jmp old_rip[rip]

	old_rip:
		.quad {rip}

	old_code:
		.byte {",".join(map(str, code_backup))}

	old_stack:
		.byte {",".join(map(str, stack_backup))}

		.align 16
	moar_regs:
		.space 512

	lib_path:
		.ascii "{lib_path}\0"

	proc_self_mem:
		.ascii "/proc/self/mem\0"

	new_stack:
		.balign 0x8000

	new_stack_base:
	""")

	with open(stage2_path, "wb") as stage2_file:
		os.chmod(stage2_path, 0o666)
		stage2_file.write(stage2)

	log(f"Wrote stage2 to {repr(stage2_path)}")

	if stopmethod == "sigstop":
		log("Continuing process...")
		os.kill(pid, signal.SIGCONT)
	elif stopmethod == "cgroup_freeze":
		log("Thawing process...")
		with open(freeze_dir + "/freezer.state", "w") as state_file:
			state_file.write("THAWED\n")

		# put the task back in the root cgroup
		with open("/sys/fs/cgroup/freezer/tasks", "w") as task_file:
			task_file.write(str(pid))

		# cleanup
		os.rmdir(freeze_dir)

	log_success("Done!")


if __name__ == "__main__":
	print(BANNER)

	parser = argparse.ArgumentParser(
		description="Inject a shared library into a live process.")

	parser.add_argument("pid", metavar="pid", type=int,
		help="The pid of the target process")

	parser.add_argument("lib_path", metavar="/path/to/lib.so", type=str,
		help="Path to the shared library we want to load")

	parser.add_argument("--stopmethod",
		choices=["sigstop", "cgroup_freeze", "none"],
		help="How to stop the target process prior to shellcode injection. \
		      SIGSTOP (default) can have side-effects. cgroup freeze requires root.\
		      'none' is likely to cause race conditions.")

	args = parser.parse_args()

	abs_path = os.path.abspath(args.lib_path)

	dlinject(args.pid, abs_path, args.stopmethod or "sigstop")
x晕x
关注
[ptrace修改内存]实现进程代码注入
HotIce0
09-26 8488
一、背景 ptrace是Unix系列系统的系统调用之一。其主要功能是实现对进程的追踪。对目标进程,进行流程控制,用户寄存器值读取&写入操作,内存进行读取&修改。这样的特性,就非常适合,用于编写实现,远程代码注入。大部分的病毒会使用到这一点,实现,自用空间注入,rip位置直接注入,text段与data段之间的空隙注入。 二、主要流程 实验使用的方式是,直接rip
[Ptrace]Linux内存替换(四)代码注入
BraveWinds B10G
08-09 3706
【环境】 CentOS 6.6 (Final) Linux version 2.6.32-504.el6.i686 Gcc version 4.4.7 20120313 【A程序:counter.c】 #include #include long long timeum(){ struct timeval tim; gettimeofday (&tim ,
7——Linux二进制分析——学习——使用ptrace进行代码注入
We do not claim to have achieved that goal in every aspect of the software, but we strive for it.
03-09 730
书中第三章最后讲了一个例子,十分遗憾,我暂时还没能调出最后结果。已经花费了很长时间,我觉得暂停是一个比较好的选择。如果我对系统执行elf文件的流程很了解的话,自然能够定位到原因。现在还不是时候,也许等后面再看一看书就知道这里的问题在哪里了。 这个例子书中有更多的错误,尽力改了几个,但还是运行异常。我把整个进展情况和代码贴出来,其中能注释的地方我尽量添加注释,方便读者帮忙分析。如果你知道问题所在,...
Ptrace--Linux一种代码注入技术的应用
Litost_Cheng的博客
10-14 5176
PtraceLinux一种代码注入技术的应用
linux ptrace 内核源码分析,Linux ptrace详细分析系列(一)
weixin_36000501的博客
05-13 648
原标题:Linux ptrace详细分析系列(一) 本文为看雪论坛优秀文章看雪论坛作者ID:有毒备注:文章中使用Linux内核源码版本为Linux 5.9,使用Linux版本为Linux ubuntu 5.4.0-65-generic一、简述ptrace系统调用提供了一个进程(tracer)可以控制另一个进程(tracee)运行的方法,并且tracer可以监控和修改tracee的内存和寄存器,...
linux ptrace 内核源码分析,linux 3.5.4 ptrace源码分析分析(系列一)
weixin_35908791的博客
05-13 395
ptracelinux系统中为了调试专门设立的一种系统调用。要想调试调试一个进程,有两种方式:PTRACE_TRACEME和PTRACE_ATTACH。这两种方式的主要区别可以概括为:PTRACE_TRACEME是子进程主动申请被TRACE。而PTRACE_ATTACH是父进程自己要attach到子进程,相当于子进程是被动的trace。PTRACE_TRACEME程序设置的框架大概为:if(pi...
linux ptrace 读内存,[原创] Linux ptrace详细分析系列(一)
weixin_33814090的博客
05-03 681
Linux ptrace 详解(该系列将深入分析Linux ptrace的方方面面,争取一次把它搞定,对后续调试或开发都有益处。不定期更新。)备注:文章中使用Linux内核源码版本为Linux 5.9,使用Linux版本为Linux ubuntu 5.4.0-65-generic一、简述ptrace系统调用提供了一个进程(tracer)可以控制另一个进程(tracee)运行的方法,并且trac...
修改任意Linux进程地址空间实施代码注入
Netfilter
09-16 6396
提到进程注入,常规的方案就是使用ptrace,其POKEDATA,POKETEXT命令选项单从名字上就知道是干什么的,这里不再赘述。 然而ptrace是个系统化的东西,太复杂,不适合玩手艺,有没有什么适合手工玩的东西呢?当然有! 正如读写/dev/mem可以手工完成crash+gdb的功能hack内核一样,每一个用户态进程也有一个mem文件,即 /proc/$pid/mem 。 我不敢保证每一个系统该文件都可写,但一旦它可写就好玩了。 /proc/$pid/mem文件抽象的一个进程的地址空间,直接写该文
linux ptrace,Linux ptrace 简介
weixin_39574246的博客
05-25 932
Linux ptrace 简介2017-06-15 Thursdayptrace() 是一个由 Linux 内核提供的系统调用,允许一个用户态进程检查、修改另一个进程的内存和寄存器,通常用在类似 gdb、strace 的调试器中,用来实现断点调试、系统调用的跟踪。你想过怎么实现对系统调用的拦截吗?你尝试过通过改变系统调用的参数来愚弄你的系统 kernel 吗?你想过调试器是如何使运行中的进程暂停并...
Linux ptrace 原理,安卓|使用ptrace绕过ptrace反调试(一)
weixin_28883589的博客
05-15 608
一、LD_PRELOAD(一)原理LD_PRELOAD是linux系统的一个环境变量,它可以影响程序运行时装载的动态链接库。装载动态链接库,一般情况下按照以下顺序进行:LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib这里通过编译一个包含ptrace()的动态链接库,并将其设为LD_PRELOAD环境变量,从而...
dlinject:在没有ptrace的情况下将共享库(即任意代码注入实时linux进程
02-04
在不使用ptrace的情况下,将共享库(即任意代码注入实时linux进程中。 受和启发。 用法 .___.__ .__ __ __ __| _/| | |__| ____ |__| ____ _____/ |_ ______ ___.__. / __ | | | | |/ \ | |/ __ \_/ ___\ __\ ...
ptrace注入实例
01-01
"ptrace注入"则是利用ptrace系统调用来实现的一种技术,通常用于注入代码到目标进程中,以达到特定的目的,比如安全测试、逆向工程或者恶意软件的实施。 在"ptrace注入实例"中,我们主要探讨以下几个关键知识点: ...
Linux下Ptrace()调用的安全分析.pdf
09-07
Ptrace()是 Linux 操作系统中的一种系统调用,它提供了对运行中的进程进行跟踪和控制的能力。这项技术广泛应用于程序开发和调试中,但是在安全方面,它也存在一定的隐患。本文将对 Ptrace() 调用的安全进行分析,并...
Linux实践】实验四:Shell实用功能及文件权限
Fulling的博客
09-25 729
实验内容 1、使用命令“cat /etc/named.conf”设置为别名named,然后再取消别名。 2、使用echo命令和输出重定向创建文本文件/root/nn,内容是hello,然后再使用追加重定向输入内容为word。 3、使用管道方式分页显示/etc/passwd的内容。 4、分别用文字设定法和数字设定法,对/root/ab文件设置权限,所有者为读取、写入和执行权限,同组用户为读取和写入权限,其他用户没有任何权限。 5、将文件/root/ab所有者更改为用户zhangsan。 6、将目录/root/
Linux 安装redis主从模式+哨兵模式3台节点
最新发布
一千个读者就有一千个哈姆雷特
09-27 330
Linux 安装redis主从模式+哨兵模式3台节点
linux】gcc makefile
Quietcoder的博客
09-24 1085
在静态链接中,链接器(如GNU的。
[Linux]:线程(一)
Bettysweetyaaa的博客
09-26 704
想深入了解线程吗?本文将为你详细解读线程的概念、优缺点、异常及用途,还介绍了 Linux 中线程的控制方法。快来阅读,提升你的编程技能,探索多线程的奥秘!
linux代码编译
Lxn2zh的博客
09-27 1215
有时候会在linux上下载源码包,然后进行编译成可执行的文件,这个过程需要经过configure、make、make install、make clean四个步骤。configure 为这个程序在当前的操作系统环境下选择合适的编译器和环境参数来编译该代码。make install 将已编译好的可执行文件安装到操作系统指定或默认的安装目录下。make 对程序代码进行编译操作,会将源码编译成可执行的目标文件。make clean 删除编译时临时产生的目录或文件。
Linux ping c实现
xuyun0565的专栏
09-24 398
linux下ping程序的c实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值