0x01 GNU ld.so动态库搜索路径

参考材料:https://en.wikipedia.org/wiki/Rpath

下面介绍GNU ld.so加载动态库的先后顺序:

  1. LD_PRELOAD环境变量指定的路径(一般对应文件/etc/ld.so.preload);

  2. ELF .dynamic节中DT_RPATH入口指定的路径,若DT_RUNPATH入口不存在的话;

  3. 环境变量LD_LIBRARY_PATH指定的路径,但如果可执行文件有setuid/setgid权限,则忽略这个路径;编译时指定--library-path会覆盖这个路径;

  4. ELF .dynamic节中DT_RUNPATH入口指定的路径;

  5. ldconfig缓存中的路径(一般对应/etc/ld.so.cache文件),若编译时使用了-z nodeflib的链接选项,则此步跳过;

  6. /lib,然后/usr/lib路径 ,若使用了-z nodeflib链接选项,则此步亦跳过;

0x02 原理分析

参考材料:http://linux.chinaunix.net/techdoc/system/2009/04/30/1109602.shtml

作者:alert7

从上面分析的搜索路径来看,DT_RPTAH先于/lib和/usr/lib,因此通过修改ELF,在.dynamic中加入DT_RPATH的入口,就可以让可执行文件优先加载我们的动态库,实现劫持的目的;

加入自定义的DT_RPTAH有两种方式,修改原有的DT_RPATH入口,插入新的DT_RPATH入口;一般ELF文件.dynamic中,都没有这一入口,因此选择新插入;

这里遇到2个问题,一是定位.dynamic位置,并插入新的entry;二是在ELF中插入我们HOOK用动态库路径;

现在解决第一个问题。

32位系统下,.dynamic入口由下面数据结构表示:

glibc-2.18/elf/elf.h

/* Dynamic section entry.  */

typedef struct

{

  Elf32_Sword d_tag;  /* Dynamic entry type */

  union

    {

      Elf32_Word d_val;  /* Integer value */

      Elf32_Addr d_ptr;  /* Address value */

    } d_un;

} Elf32_Dyn;

其中d_tag表示入口类型:

/* Legal values for d_tag (dynamic entry type).  */

#define DT_NULL      0      /* Marks end of dynamic section */

#define DT_NEEDED   1      /* Name of needed library */

#define DT_STRTAB   5      /* Address of string table */

#define DT_SYMTAB   6      /* Address of symbol table */

#define DT_RPATH   15      /* Library search path (deprecated) */

...

在.dynamic中,有许多未使用的入口,我们只需找到一处,写入即可;而ELF中,根据偏移定位某个节表比较容易的;

接下来解决第二个问题,将动态库路径加入ELF中;考虑到加入新的内容,ELF头等位置的偏移都要重新修正,因此最好的办法是修改一处已有字符串,我们选择修改__gmon_start__,因为它在所有程序中都有;

剩下的任务就是1.定位__gmon_start__并修改,2.返回其在字符串表中的index;

画了张图,帮助理解:

0x03 代码实现

首先实现DT_RPATH定位功能:

#define ERREXIT(err) do {perror(err);return -1;}while(1)

int elf_rpath_entry(const char *filename)

{

	printf("+ enter elf_rpath_entry\n");

	int fd = open(filename, O_RDONLY);

	if (fd < 0) ERREXIT("open");

	struct stat statbuf;

	fstat(fd, &statbuf);

	char *fbase = mmap(NULL, statbuf.st_size, PROT_READ, MAP_SHARED, fd, 0);

	if (fbase == NULL) ERREXIT("mmap");

	Elf32_Ehdr *ehdr = (Elf32_Ehdr *)fbase;

	Elf32_Shdr *sects = (Elf32_Shdr *)(fbase + ehdr->e_shoff);

	int shsize = ehdr->e_shentsize;

	int shnum = ehdr->e_shnum;

	int shstrndx = ehdr->e_shstrndx;

	Elf32_Shdr *shstrsect = &sects[shstrndx]; 

	char *shstrtab = fbase + shstrsect->sh_offset;

	int i;

	int _sh_size, _sh_entsize;

	int _sh_offset;

	for(i = 0; i < shnum; i++) {

		if(!strcmp(shstrtab + sects[i].sh_name, ".dynamic")) {

			printf("+ found the .dynamic section\n");

			_sh_size = sects[i].sh_size;

			_sh_entsize = sects[i].sh_entsize;

			_sh_offset = sects[i].sh_offset;

			break;

		}

	}

	Elf32_Dyn *dyn = (Elf32_Dyn*)(fbase + _sh_offset);

	for (i = 0; i < _sh_size; i+=_sh_entsize) {

		if (dyn->d_tag == DT_RPATH) {

			printf("+ got DT_RPATH entry\n");

			break;

		}

		dyn++;

	}

	close(fd);

	munmap(fbase, statbuf.st_size);

	printf("+ exit elf_rpath_entry\n");

	return 0;

}

接下来,查找并修改__gmon_start__字符串,并返回其索引:

int modify_symbols(const char *fbase)

{

        Elf32_Ehdr *ehdr = (Elf32_Ehdr*)fbase;

        Elf32_Shdr *shdr = (Elf32_Shdr *)(fbase + ehdr->e_shoff);

        Elf32_Shdr *shdrp = shdr;

        Elf32_Shdr *strsym = NULL;

        int i;

        int find = 0;

        for(i = 0; i < ehdr->e_shnum; i++) {

                if(shdrp->sh_type == SHT_DYNSYM) {

                        find=1;

                        break;

                }

                shdrp++;

        }   

        if(!find) {

                printf("+ not find SHT_DYNSYM\n");

                return -1; 

        }   

        strsym = &shdr[shdrp->sh_link];

        char *str = (char*)(fbase + strsym->sh_offset);

        Elf32_Sym *symp;

        symp = (Elf32_Sym*)(fbase + shdrp->sh_offset);

        for(i = 0; i < shdrp->sh_size; i += shdrp->sh_entsize) {

                if(!strcmp(&str[symp->st_name], "__gmon_start__")) {

                        /* modify here */

                        return symp->st_name;

                }

                symp++;

        }   

        printf("+ not find match symbol\n");

        return -1; 

}

对于__gmon_start__符号的查找涉及3个部分,一是节区头部表,主要用来索引字符串表与符号表;符号表中通过索引,引用字符串中实际字符串,如symp->st_name实际只是索引;

下图帮助理解上述代码过程:

后门技术(HOOK篇)之DT_RPATH的更多相关文章

  1. 【权限维持】window服务端常见后门技术

    0x00 前言 未知攻焉知防,攻击者在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者如入无人之境.这里整理一些window服务端常见的后门技术,了解攻击者的常见后 ...

  2. 后门技术和Linux LKM Rootkit详解

    2010-01-15 10:32 chinaitlab chinaitlab 字号:T | T 在这篇文章里, 我们将看到各种不同的后门技术,特别是 Linux的可装载内核模块(LKM). 我们将会发 ...

  3. Android插件化技术——原理篇

    <Android插件化技术——原理篇>     转载:https://mp.weixin.qq.com/s/Uwr6Rimc7Gpnq4wMFZSAag?utm_source=androi ...

  4. iOS开发——网络使用技术OC篇&网络爬虫-使用正则表达式抓取网络数据

    网络爬虫-使用正则表达式抓取网络数据 关于网络数据抓取不仅仅在iOS开发中有,其他开发中也有,也叫网络爬虫,大致分为两种方式实现 1:正则表达 2:利用其他语言的工具包:java/Python 先来看 ...

  5. iOS开发之多线程技术——NSOperation篇

    本篇将从四个方面对iOS开发中使用到的NSOperation技术进行讲解: 一.什么是NSOperation 二.我们为什么使用NSOperation 三.在实际开发中如何使用NSOperation ...

  6. iOS开发之多线程技术——GCD篇

    本篇将从四个方面对iOS开发中GCD的使用进行详尽的讲解: 一.什么是GCD 二.我们为什么要用GCD技术 三.在实际开发中如何使用GCD更好的实现我们的需求 一.Synchronous & ...

  7. android apk 防止反编译技术第一篇-加壳技术

    做android framework方面的工作将近三年的时间了,现在公司让做一下android apk安全方面的研究,于是最近就在网上找大量的资料来学习.现在将最近学习成果做一下整理总结.学习的这些成 ...

  8. iOS开发之多线程技术—GCD篇

    本篇将从四个方面对iOS开发中GCD的使用进行详尽的讲解: 一.什么是GCD 二.我们为什么要用GCD技术 三.在实际开发中如何使用GCD更好的实现我们的需求 一.Synchronous & ...

  9. android apk 防止反编译技术第二篇-运行时修改字节码

    上一篇我们讲了apk防止反编译技术中的加壳技术,如果有不明白的可以查看我的上一篇博客http://my.oschina.net/u/2323218/blog/393372.接下来我们将介绍另一种防止a ...

随机推荐

  1. 2017-4-13/MySQL

    1. mysql一般的连接方式都有哪些,各自优缺点. MySQL:过程式风格,最常用. MySQLi:MySQL的增强扩展,提供了过程化和面向对象两种风格的API,增加了预编译和参数绑定等新特性, 但 ...

  2. [洛谷 P1559] 运动员最佳匹配问题

    题目描述 羽毛球队有男女运动员各n人.给定2 个n×n矩阵P和Q.P[i][j]是男运动员i和女运动员j配对组成混合双打的男运动员竞赛优势:Q[i][j]是女运动员i和男运动员j配合的女运动员竞赛优势 ...

  3. sublime ctags跳转函数使用

    sublime 点击某函数 按F12可以查到相关函数文件 正题: 1.下载ctags客户端文件 http://prdownloads.sourceforge.net/ctags/ctags58.zip ...

  4. ActiveMQ 集群和主从

    举例说明:假设有 3 个 broker 节点,分别是61616,61618, 61620,其中 61616 和 61618 组成主.从节点,而 61616(或61618)和 61620 构成集群.61 ...

  5. python中的包

  6. vs2015 编译时项目出现NuGet程序包还原失败,找不到xxx.xxx.xxx版本的程序包,怎么解决这个问题?

    vs2015 编译时出现这个NuGet程序包还原失败问题,项目还是运行得了,就是每次看到错误列表中有很多个错误,就感觉不舒服. 总算被我找到解决方法了 问题截图:

  7. python nltk 安装及配置说明

    本教程采用pip安装方式,前期需要在本机安装setuptools 及pip 网上铺天盖地的说了很多关于nltk的说明,特别是后期nltk_data 手动下载操作,多数都不好使,这里整理 用pip安装n ...

  8. 关于Xcode9 无法读取文件的问题

    以前我们加载本地文件的时候也许没有注意,可是在Xcode9中会出现许多问题,经常会出现图片无法显示,本地html无法加载等问题: 当然不是Xcode的问题,只是以前我们并没有注意,其实Xcode对这些 ...

  9. VSTO - 使用Excel加载项生成表和图表

    此示例显示如何创建Excel的加载项,使用户可以在其工作表中选择库存符号,然后生成一个新工作表,显示库存的历史性能. 工作表包含数据表和图表. 介绍Excel加载项通常不知道工作表包含什么.典型的加载 ...

  10. idea自动生成serialVersionUID(转)

    原文链接:http://blog.sina.com.cn/s/blog_54b09dc90101d9bu.html Setting->Plugins 找到一个叫  GenerateSerialV ...