Linux LD_PRELOAD动态链接库劫持

已于 2023-02-02 17:44:18 修改
阅读量868 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 网安工具 文章标签: 系统安全
于 2022-12-02 11:36:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SHELLCODE_8BIT/article/details/128145396

首先,什么是链接

程序的链接主要有以下三种:

  • 静态链接:在程序运行之前先将各个目标模块以及所需要的库函数链接成一个完整的可执行程序,之后不再拆开。
  • 装入时动态链接:源程序编译后所得到的一组目标模块,在装入内存时,边装入边链接。
  • 运行时动态链接:原程序编译后得到的目标模块,在程序执行过程中需要用到时才对它进行链接。

对于动态链接来说,需要一个动态链接库,其作用在于当动态库中的函数发生变化对于可执行程序来说时透明的,可执行程序无需重新编译,方便程序的发布/维护/更新。但是由于程序是在运行时动态加载,这就存在一个问题,假如程序动态加载的函数是恶意的,就有可能导致一些非预期的执行结果或者绕过某些安全设置。

LD_PRELOAD

LD_PRELOAD 是 Linux 系统中的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函数(无需别人的源码),而另一方面,我们也可以以向别人的程序注入程序,从而达到特定的目的。

LD_PRELOAD is an optional environmental variable containing one or more paths to shared libraries, or shared objects, that the loader will load before any other shared library including the C runtime library (libc.so) This is called preloading a library.

查询可劫持函数

readelf -Ws /usr/bin/ls

编译选项 

gcc -fpic -c -ldl hack.c
gcc -shared -lc -o hack.so hack.o

加载和卸载

export LD_PRELOAD=./hack.so   //加载库

export LD_PRELOAD=NULL;       //卸载库

参考

有趣的 LD_PRELOAD-安全客 - 安全资讯平台 (anquanke.com)

使用LD_PRELOAD拦截共享函数库的函数调用
tyler_download的专栏
05-29 619
linux系统上,程序运行时有一个特征。在程序加载前,系统会预先加载一系列库函数。如果程序运行后,它再使用动态链接库时,如果它调用链接库里面的函数名与预先加载的函数库中的某个函数名相同,那么系统会自动调用预先加载函数库中的函数。 这种机制给与我们一个劫持程序运行的入口。例如函数从某个动态加载的so链接库里调用名为function_name的函数,那么我们可以先设置一个链接库,在里面也导出一个同名函数function_name,然后使用修改系统的环境变量LD_PRELOAD,让程序在运行前先加载我们的链接库
系统调用捕获和分析—Ring3层LD_PRELOAD机制进行库函数劫持
H4ppyD0g的博客
07-24 370
根据Linux对外部动态共享库的符号引入全局符号表的处理,后引入的符号会被省略,即系统原始的.so(/lib/libc.so.6)中的符号会被省略。如果当前进程空间中已经存在某个同名的符号,则后载入的so的同名函数符号会被忽略,但是不影响so的载入,先后载入的so会形成一个链式的依赖关系,通过RTLD_NEXT可以遍历这个链。注意当调用dlsym的时候传入RTLD_NEXT参数,gcc的共享库加载器会按照"装载顺序(loadorder)(即先来后到的顺序)"获取"下一个共享库"中的符号地址。...
动态链接库劫持生成器
12-25
动态链接库劫持生成器可以通过劫持dll文件获取相关数据
动态链接库的静态链接导致程序的DLL劫持漏洞-借助QQ程序xGraphic32.dll描述
热门推荐
Less Is More
12-19 1万+
动态链接库的静态链接导致程序的DLL劫持漏洞 借助QQ程序xGraphic32.dll描述   不想啰嗦这么多了,直接开题。   一、       库 首先明确一下库的概念,库里存放的都是二进制编码。纵观编程技术的发展路线,可以看到一条清晰的发展脉络:代码>静态库>动态库。 假如我们要编写一个程序叫做Calc.exe,而现在有现成的库,库里面存放的是已经编译好的函数Add(),Sub
网络安全---Ring3下动态链接库.so函数劫持
m0_68976043的博客
08-20 3833
1.1、原理Unix操作系统中,程序运行时会按照一定的规则顺序去查找依赖的动态链接库,当查找到指定的so文件时,动态链接器(/lib/ld-linux.so.X)会将程序所依赖的共享对象进行装载和初始化,而为什么可以使用so文件进行函数的劫持呢?这与LINUX的特性有关,先加载的so中的全局符号会屏蔽掉后载入的符号,也就是说如果程序先后加载了两个so文件,两个so文件定义了同名函数,程序中调用该函数时,会调用先加载的so中的函数,后加载的将会屏蔽掉;所以要实现劫持,必须要抢得先机,
Linux 动态链接库 - dll劫持
banmi9580的博客
10-09 416
如何使用动态链接库 Linux下打开使用动态链接库需要三步(实际上和windows下基本一样):1.加载动态链接库,通过调用库函数dlopen()获得链接库的句柄,对应于windows下的 AfxLoadLibrary函数 //参数一filename是.so文件路径 //参数二flag指定解析符号的时间点等 //返回值是链接库的句柄 ...
linux LD_PRELOAD
weimou66
03-03 270
前些天为了排查我们程序中不知道是库里面还是我们自己调用了assert断言,导致我们程序死亡。想通过hook拦截到调用这个函数的调用者,偶然间想起proload(预加载),小试牛刀使用如下代码 #include <syscall.h> #include <stdio.h> #include <sys/types.h> #include <unistd...
C++使用LD_PRELOAD劫持(Hook)库函数
~码农小非~的专栏
07-10 2750
更多文章欢迎访问 程序员小非 博客 在调试C++程序的时候,我们并不是每次都能拿到源代码,很多时候我们只能得到一个动态库so,调试时这个动态库就是一个黑匣子,没办法查看修改或者在里面加日志,那么我们是不是就没有任何办法对我们感兴趣的函数和参数进行监控和跟踪了呢? 对于这种情况,我们一般会挂上gdb,然后在我们感兴趣的地方打上断点,然后查看堆栈里的变量的值。但这个过程时比较繁琐的,尤其是在需要了...
LD_PRELOAD是不是只能劫持libc库
最新发布
07-02
LD_PRELOAD 是一个 Linux 环境变量,用于在程序启动前优先加载指定的动态链接库(shared library)。它通过覆盖函数调用来实现“劫持”行为,但**并非仅限于劫持 libc 库**。以下我将逐步解释原理、适用范围和实际...
使用WAZUH检测LD_PRELAOD劫持、SQL注入、主动响应防御
qq_68163788的博客
01-01 1936
Wazuh是一个开源的安全监控解决方案,可以用于检测和防御各种安全威胁,包括LD_PRELOAD劫持和SQL注入。对于LD_PRELOAD劫持,Wazuh可以通过监控LD_PRELOAD环境变量的变化来检测潜在的劫持行为,一旦发现异常,Wazuh可以触发警报并采取相应的防御措施,比如阻止相关进程或通知安全管理员。对于SQL注入攻击,Wazuh可以通过监控Web应用程序的日志来检测SQL注入尝试,并在检测到异常行为时触发警报。此外,Wazuh还可以与Web应用程序防火墙(WAF)或Web应用程序防护系统(WA
Linux 库文件劫持
travelnight的博客
09-09 2621
Linux库文件劫持
linux 库函数 劫持,Linux下利用动态链接劫持库函数并注入代码
weixin_42332497的博客
05-04 428
关于环境变量$ LD_PRELOAD$LD_PRELOAD是一个环境变量,用于加载动态库,他的优先级是最高的/*优先级顺序:(1)$LD_PRELOAD(2)$LD_LIBRARY_PATH(3)/etc/ld.so.cache(4)/lib(5)/usr/lib*/一个挑战就是,这玩意可以产生一个shell,就像下面这样:$ LP_PRELOAD = ./payload.so /bin/true...
动态链接库劫持--libc
MillionSky的专栏
04-04 3879
动态链接库劫持--libc1 概述动态链接库劫持,本文是做这个题目的笔记:Exploit Exercises - Nebula 15。2 Exploit Exercises - Nebula 152.1 问题描述根据题目的要求,我们需要用strace命令观察flag15的系统调用情况。 最终目标是通过这个程序拿到flag。 整个过程都是在调用一个叫libc.so.6的动态链接库:level15@n...
linux 网络函数调用链,Linux hook技术之-Ring3下动态链接库.so函数劫持
weixin_32597695的博客
05-03 197
劫持普通函数当然没有什么意思了!我们要劫持的是系统函数!我们知道,Unix操作系统中对于GCC而言,默认情况下,所编译的程序中对标准C函数(fopen、printf、execv家族等等函数)的链接,都是通过动态链接方式来链接libc.so.6这个函数库的,我们只要在加载libc.so.6之前加载我们自己的so文件就可以劫持这些函数了。二、Demo我们从一个简单的c程序(sample.c)开始下面的...
利用 LD_PRELOAD劫持动态链接库,绕过 disable_function
qq_68163788的博客
11-30 2110
LD_PRELOAD是一个环境变量,它允许用户在程序加载动态链接库(共享对象)时指定要预先加载的库。这个功能可以用来替换程序中的特定函数,或者添加额外的功能。 使用LD_PRELOAD可以在不修改源代码的情况下,对程序的行为进行修改。这对于调试、性能分析或者添加额外的安全检查非常有用。例如,可以使用LD_PRELOAD来替换标准库中的malloc和free函数,从而实现内存泄漏检测或者统计内存使用情况。 需要注意的是,LD_PRELOAD只对动态链接的程序有效
linux 库函数 劫持,Linux hook技术之-Ring3下动态链接库.so函数劫持
weixin_34094282的博客
05-04 662
劫持普通函数当然没有什么意思了!我们要劫持的是系统函数!我们知道,Unix操作系统中对于GCC而言,默认情况下,所编译的程序中对标准C函数(fopen、printf、execv家族等等函数)的链接,都是通过动态链接方式来链接libc.so.6这个函数库的,我们只要在加载libc.so.6之前加载我们自己的so文件就可以劫持这些函数了。二、Demo我们从一个简单的c程序(sample.c)开始下面的...
linux下基于LD_PRELOAD的动态库劫持HOOK
她的吻让他
01-10 946
LD_PRELOADLinux(和其他类 Unix 系统)中的一个环境变量,用于在程序运行时优先加载指定的共享库(shared library)。它可以用来覆盖或替换程序默认使用的库函数,从而实现一些特殊的功能,比如调试、性能分析、函数钩子(hook)等。
Windows x86/x64 动态库劫持
如人饮水冷暖自知
03-15 3867
从调用约定开始简述x64动态库劫持技术,并通过AheadLib实现对x64架构下动态库的劫持,以及如何在目标函数调用前后记录传递的参数和返回值。 原文:论Windows x64下动态库劫持技术
Windows提权笔记-动态库劫持(dll劫持、包含多种绕过UAC方法)
墨痕诉清风的博客
03-12 891
dll 劫持是也是绕过 UAC 常用的方法,在 UACME 项目中很多绕过方法都是使用 dll 劫持。dll 劫持也是一个比较大的主题。一般操作如下,假设受信任的程序 c:\windows\system32\test\test.exe 会加载 c:\windows\system32\test.dll (不在 KnowsDLLS里面),
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信安成长日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值