終身高級VIP會員
  
- 資源幣
- 11472
- 積分
- 4971
- 貢獻
- 0
- 在線時間
- 2065 小時
- 注冊時間
- 2015-4-20
- 最后登錄
- 2024-7-9
|
linux動態(tài)注入(含視頻演示) 看雪大佬
如果純粹用文字來描述什么是動態(tài)注入�����,可能還是不太容易理解����,所以本篇文章從如下一段代碼開始:
//who.c
#include <stdio.h>
#include <unistd.h>
int main()
{
while(1) {
printf("who are you ?\n");
sleep(2);
}
return0;
}
這段代碼本身沒有什么意思,執(zhí)行"gcc who.c -o who -g -Wall"完成編譯并啟動who程序���,每隔2s會向終端打印一句"who are you ?"����,但有意思的是����,可能會出現(xiàn)一種"詭異"的現(xiàn)象,比如屏幕上突然冒出一句"it's me ~"����。
1. 為什么可以出現(xiàn)這種“詭異”的現(xiàn)象?
通過反匯編who程序可以看出����,程序最終會進入while(1)循環(huán)體,重復執(zhí)行"bf24064000"�、"e8c5feffff"、"bd0x000000"��、"e8ebfeffff"�����、"ebea"這5條機器指令:
如果who進程執(zhí)行到某條指令(比如"e8c5feffff")時暫停了��,并且在恢復執(zhí)行之前��,0x400586處的指令塊被替換成打印"it's me ~"的代碼����,那么who進程下次執(zhí)行,自然就會打印"it's me ~"�。
2. 怎么獲取打印"it's me ~"的機器碼?
32位系統(tǒng)����,編譯如下代碼并在反匯編結(jié)果中提取:
//isme32.c
int main()
{
__asm__(
"jmp forward\n\t"
"backward:popl %esi\n\t"
"movl $4, %eax\n\t"
"movl $2, %ebx\n\t"
"movl %esi, %ecx\n\t"
"movl $12, %edx\n\t"
"int $0x80\n\t"
"int3\n\t"
"forward:call backward\n\t"
".string \"it's me ~\\n\""
);
return0;
}
64位系統(tǒng)�����,編譯如下代碼并在反匯編結(jié)果中提取:
//isme64.c
int main()
{
__asm__(
"jmp forward\n\t"
"backward:popq %rsi\n\t"
"movq $1, %rax\n\t"
"movq $2, %rdi\n\t"
"movq $12, %rdx\n\t"
"syscall\n\t"
"int3\n\t"
"forward:call backward\n\t"
".string \"it's me ~\\n\""
);
return0;
}
本篇文章的實驗環(huán)境是64位ubuntu系統(tǒng)�,所以執(zhí)行"gcc isme64.c -oisme64 -g -Wall"生成isme64可執(zhí)行文件,并通過反匯編isme64文件提取機器碼:
用藍色�、綠色標記出來的16進制內(nèi)容,即為打印"it's me ~"的機器碼��,但有2點需要說明:
綠色部分其實是"it's me ~\n\0"這串字符的ascii碼值���,也被objdump解釋成匯編指令了�����,這是反匯編工具很難避免的一個問題,用gdb/disassemble反匯編的結(jié)果也是一樣的��,因為它們選擇的都是線性掃描算法���,遞歸下降算法效果會好一些��,但仍然不能保證得到精確的結(jié)果�;
C程序?qū)崿F(xiàn)打印"it's me ~"��,寫一條printf("it's me ~")語句不就可以了么�����,為什么要寫成這種"奇奇怪怪"的樣子���?因為如果用C語法來實現(xiàn)的話,"it's me ~"這個字符串會被編譯器安排到isme64程序的.data段�,就沒辦法隨著指令塊一起注入到目標進程中�����,而且這段代碼中取"it's me ~"地址的技巧�,對于匯編初學者是很有意思的���,代碼不長���,建議在大腦里執(zhí)行一遍,并找到其中的奧妙�����。
3. 怎么實現(xiàn)注入���?
本篇文章僅僅用于學習目的��,注入的場景和方法都比較簡單�����,思路在文章第1節(jié)已經(jīng)介紹過了��,就是"暫停被注入進程 -> 替換即將執(zhí)行的指令塊 -> 通知被注入進程繼續(xù)執(zhí)行"����,由于有些場合還需要保證注入操作的隱蔽性���,所以以下程序還在注入指令塊完整執(zhí)行后��,將被注入進程恢復到了注入前的狀態(tài):
(理解這段代碼�����,至少需要學習ptrace()系統(tǒng)調(diào)用的作用�����,如果有內(nèi)核基礎(chǔ)���,也可以更深入的學習一下ptrace()的內(nèi)部原理����,另外���,CODE宏對應的內(nèi)容�,即為利用文章第2節(jié)描述的方法����,提取的機器碼)
// inject.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/ptrace.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <sys/user.h>
#include <errno.h>
// 注入指令塊(打印"it's me ~")
#ifdef ENV_I386
#define CODE \
"\xeb\x15\x5e\xb8\x04\x00\x00\x00"\
"\xbb\x02\x00\x00\x00\x89\xf1\xba"\
"\x0c\x00\x00\x00\xcd\x80\xcc\xe8"\
"\xe6\xff\xff\xff\x69\x74\x27\x73"\
"\x20\x6d\x65\x20\x7e\x0a\x00"
#define REG_IP regs.eip
#else // X_64
#define CODE \
"\xeb\x19\x5e\x48\xc7\xc0\x01\x00"\
"\x00\x00\x48\xc7\xc7\x02\x00\x00"\
"\x00\x48\xc7\xc2\x0c\x00\x00\x00"\
"\x0f\x05\xcc\xe8\xe2\xff\xff\xff"\
"\x69\x74\x27\x73\x20\x6d\x65\x20"\
"\x7e\x0a\x00"
#define REG_IP regs.rip
#endif
#define CODE_SIZE (sizeof(CODE)-1)
/* 往pid進程的addr地址處寫數(shù)據(jù) */
voidputdata(pid_t pid, unsigned longaddr, void*vptr, intlen)
{
intcount = 0;
longword;
while(count < len)
{
memcpy(&word, vptr+count, sizeof(word));
word = ptrace(PTRACE_POKEDATA, pid, addr+count, word);
count += sizeof(word);
if(errno!= 0)
printf("putdata failed: %p\n", (void*)(addr+count));
}
}
/* 讀pid進程addr地址處的數(shù)據(jù) */
voidgetdata(pid_t pid, unsigned longaddr, void*vptr, intlen)
{
inti = 0, count = 0;
longword;
unsigned long*ptr = (unsigned long*)vptr;
while(count < len)
{
word = ptrace(PTRACE_PEEKDATA, pid, addr+count, NULL);
count += sizeof(word);
ptr[i++] = word;
if(errno!= 0)
printf("getdata failed: %p\n", (void*)(addr+count));
}
}
intmain(intargc, char*argv[])
{
pid_t pid;
structuser_regs_struct regs;
charbackup[CODE_SIZE+1];
if(argc != 2) {
printf("Usage: %s {pid}\n", argv[0]);
return-1;
}
// 通過啟動參數(shù)��,獲取被注入進程號���,并attach
pid = atoi(argv[1]);
ptrace(PTRACE_ATTACH, pid, NULL, NULL); // SIGTRAP
if(errno!= 0)
printf("attach failed: %s\n", strerror(errno));
wait(NULL); // 收到回復信號����,保證后續(xù)過程在attach完成的情況下執(zhí)行
// 獲取被注入進程當前寄存器值
ptrace(PTRACE_GETREGS, pid, NULL, ®s);
// 備份*ip寄存器指向的指令塊
getdata(pid, REG_IP, backup, CODE_SIZE);
// 替換為CODE指令塊
putdata(pid, REG_IP, CODE, CODE_SIZE);
// 恢復被注入進程的執(zhí)行
ptrace(PTRACE_CONT, pid, NULL, NULL); // SIGCONT
// 注入程序最后一條指令為int3�,此為即為等待注入指令塊執(zhí)行完畢
wait(NULL);
// 等待用戶輸入,方便查看結(jié)果
printf("continue to execute the orginal process, press any key ..\n");
getchar();
// 將修改的指令塊恢復為備份內(nèi)容
putdata(pid, REG_IP, backup, CODE_SIZE);
// 恢復被注入進程寄存器值
ptrace(PTRACE_SETREGS, pid, NULL, ®s);
// detach,被注入進程恢復正常執(zhí)行
ptrace(PTRACE_DETACH, pid, NULL, NULL);
return0;
}
4. 視頻演示
a. 執(zhí)行g(shù)cc inject.c -oinject -g -Wall����,編譯生成注入程序
b. 查看who進程號N����,并執(zhí)行sudo inject N��,進行動態(tài)注入操作
c. 觀察who程序執(zhí)行窗口是否打印了"it's me ~"
d. 回到inject程序執(zhí)行窗口����,按任意鍵結(jié)束inject進程��,并恢復who進程到注入前的狀態(tài)��,繼續(xù)不停的打印"who are you ?"
視頻鏈接:https://v.youku.com/v_show/id_XMzgzMTM1NTU1Ng==.html?spm=a2h0k.11417342.soresults.dposter
|
|
發(fā)表于 2018-10-3 13:37:59
收藏