看到有个帖子讨论劫持fork的问题,godbach的内核系统调用的问题,其实我以前分析过adore-ng的源码很好的诠释了以VFS机制来劫持内核系统调用,在CU也可以收到!可以很好的劫持系统调用,说到这里就想能不能劫持诸如GLIBC的函数呢....
我们先从下面一段例程:
CODE:
在上面这段程序中,我们使用了strcmp函数来判断两个字符串是否相等。下面,我们使用一个动态函数库来重载strcmp函数:
CODE:
编译程序:
$ gcc -o verifypasswd verifypasswd.c
$ gcc -shared -o hack.so hack.c
测试一下程序:(得到正确结果)
$ ./verifypasswd asdf
Invalid Password!
设置LD_PRELOAD变量:(使我们重写过的strcmp函数的hack.so成为优先载入链接库)
$ export LD_PRELOAD="./hack.so"
再次运行程序:
$ ./verifypasswd asdf
hack function invoked. s1= s2=
Correct Password!
被劫持了,但是这种太过于恶劣,如果我们还是先正常的strcmp呢
我们可以看到,1)我们的hack.so中的strcmp被调用了。
2)主程序中运行结果被影响了。如果这是一个系统登录程序,那么这也就意味着我们用任意口令都可以进入系统了。
被劫持了,但是这种太过于恶劣,如果我们还是想获得用户输入之后正常的strcmp呢
CODE:
dlsym用法不是太懂的大家可以google之!
最后是我自己的测试结果:
CODE:
这里主要以LD_PRELOAD环境变量的方法,应该还有别的方法,欢迎大家拍砖!
我们先从下面一段例程:
/* 文件名:verifypasswd.c */
/* 这是一段判断用户口令的程序,其中使用到了标准C函数strcmp*/
#include
#include
int main(int argc, char **argv)
{
char passwd[] = "password";
if (argc < 2) {
printf("usage: %s\n", argv[0]);
return -1;
}
if (!strcmp(passwd, argv[1])) {
printf("Correct Password!\n");
return 1;
}
printf("Invalid Password!\n");
return 0;
}
/* 这是一段判断用户口令的程序,其中使用到了标准C函数strcmp*/
#include
#include
int main(int argc, char **argv)
{
char passwd[] = "password";
if (argc < 2) {
printf("usage: %s
return -1;
}
if (!strcmp(passwd, argv[1])) {
printf("Correct Password!\n");
return 1;
}
printf("Invalid Password!\n");
return 0;
}
在上面这段程序中,我们使用了strcmp函数来判断两个字符串是否相等。下面,我们使用一个动态函数库来重载strcmp函数:
/* 文件名:hack1.c */
#include
#include
int strcmp(const char *s1, const char *s2)
{
printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);
return 0;
}
#include
#include
int strcmp(const char *s1, const char *s2)
{
printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);
return 0;
}
编译程序:
$ gcc -o verifypasswd verifypasswd.c
$ gcc -shared -o hack.so hack.c
测试一下程序:(得到正确结果)
$ ./verifypasswd asdf
Invalid Password!
设置LD_PRELOAD变量:(使我们重写过的strcmp函数的hack.so成为优先载入链接库)
$ export LD_PRELOAD="./hack.so"
再次运行程序:
$ ./verifypasswd asdf
hack function invoked. s1=
Correct Password!
被劫持了,但是这种太过于恶劣,如果我们还是先正常的strcmp呢
我们可以看到,1)我们的hack.so中的strcmp被调用了。
2)主程序中运行结果被影响了。如果这是一个系统登录程序,那么这也就意味着我们用任意口令都可以进入系统了。
被劫持了,但是这种太过于恶劣,如果我们还是想获得用户输入之后正常的strcmp呢
/* 文件名:hack2.c */
#include
#include
#include
int strcmp(const char *s1, const char *s2)
{
int (*hac_strcmp)(const char*, const char*);
printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);
*(void **)(&hac_strcmp) = dlsym(RTLD_NEXT, "strcmp");
if(dlerror()) {
errno = EACCES;
return -1;
}
return (*hac_strcmp)(s1, s2);
}
#include
#include
#include
int strcmp(const char *s1, const char *s2)
{
int (*hac_strcmp)(const char*, const char*);
printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);
*(void **)(&hac_strcmp) = dlsym(RTLD_NEXT, "strcmp");
if(dlerror()) {
errno = EACCES;
return -1;
}
return (*hac_strcmp)(s1, s2);
}
dlsym用法不是太懂的大家可以google之!
最后是我自己的测试结果:
[root@nfs-server hack]# ls
hack1.c hack2.c test.c
[root@nfs-server hack]# gcc -Wall -o test test.c
[root@nfs-server hack]# ./test aaa
Invalid Password!
[root@nfs-server hack]# gcc -fPIC -shared -o hack.so hack1.c
[root@nfs-server hack]# export LD_PRELOAD="./hack.so"
[root@nfs-server hack]# ./test aaa
hack function invoked. s1= s2=
Correct Password!
[root@nfs-server hack]# export LD_PRELOAD=""//大家可以尝试下不加这句的结果^_^
[root@nfs-server hack]# gcc -fPIC -shared -o hack.so hack2.c -ldl
[root@nfs-server hack]# ./test aaa
Invalid Password!
[root@nfs-server hack]# export LD_PRELOAD=""
[root@nfs-server hack]# ./test aaa
Invalid Password!
[root@nfs-server hack]# export LD_PRELOAD="./hack.so"
[root@nfs-server hack]# ./test aaa
hack function invoked. s1= s2=
Invalid Password!
[root@nfs-server hack]# export LD_PRELOAD=""
hack1.c hack2.c test.c
[root@nfs-server hack]# gcc -Wall -o test test.c
[root@nfs-server hack]# ./test aaa
Invalid Password!
[root@nfs-server hack]# gcc -fPIC -shared -o hack.so hack1.c
[root@nfs-server hack]# export LD_PRELOAD="./hack.so"
[root@nfs-server hack]# ./test aaa
hack function invoked. s1=
Correct Password!
[root@nfs-server hack]# export LD_PRELOAD=""//大家可以尝试下不加这句的结果^_^
[root@nfs-server hack]# gcc -fPIC -shared -o hack.so hack2.c -ldl
[root@nfs-server hack]# ./test aaa
Invalid Password!
[root@nfs-server hack]# export LD_PRELOAD=""
[root@nfs-server hack]# ./test aaa
Invalid Password!
[root@nfs-server hack]# export LD_PRELOAD="./hack.so"
[root@nfs-server hack]# ./test aaa
hack function invoked. s1=
Invalid Password!
[root@nfs-server hack]# export LD_PRELOAD=""
这里主要以LD_PRELOAD环境变量的方法,应该还有别的方法,欢迎大家拍砖!