可变参数库函数的劫持

最新推荐文章于 2025-05-10 23:05:37 发布
最新推荐文章于 2025-05-10 23:05:37 发布
阅读量1k 收藏
点赞数 1
分类专栏: Linux编程技巧

from:http://blog.donews.com/quickmouse/archive/2007/07/16/1187051.aspx


by quickmouse <quickmouse@263.net> 2007年7月16日

    已经有不少的文章提到过Linux系统库函数劫持的方法,最主要的是利用LD_PRELOAD环境变量进行预加载,将自己写的库函数编译成.so以后,将其列入LD_PRELOAD当中,于是程序就会使用我们自己所写的系统库函数。当然,这样做的目的往往是为了在调用系统功能的时候搞点小动作,最终还是要转到真正的库函数里去的。
    不过最近在完成一个函数库的劫持过程中,却碰到了一些意外——那就是碰到了我们可爱的可变参数库函数。所谓可变参数库函数,但凡打算看懂这篇文章的人都了解,我就不再仔细解释。最著名的可变参数库函数就是printf了。这回我碰到的是ioctl,也是一个底层常用的库函数,我只需要在ioctl进行某个操作时对它进行劫持。
    在我准备动手进行ioctl的劫持之前,我丝毫没有意识到可变参数函数对劫持技巧提出的要求。由于劫持操作之后还需要返回到原系统库函数,于是在传参的时候我发现需要对传入的参数进行解析,以便正确处理。可是ioctl这样牛x的函数完全依靠前面的固定参数来决定是否存在变参,以及它们的类型。这么说我不是要把所有的ioctl请求都解析一遍?(除非我疯了)。
    考虑传参的具体实现,是在上一级调用的时候按顺序由右到左依次把参数压入栈,也就是固定参数一定是在最靠近返回地址的位置,而远离它的有多少是参数是天知道的(god knows)。因此,想通过栈信息而不解析参数数值想直接得到参数个数,是行不通的 :-( 
    唯一可行的办法是在跳转到真正的(被劫持的)系统库函数时,保持上一级函数调用劫持函数时的栈信息,绕过变参解析的过程。具体的函数实现框架为:
int ioctl(int d, unsigned long int request, …)
{
        if(request != WE_WANT_HIJACK )
        {
        __asm__ __volatile__(
                "\n\
                mov 0xfffffffc(%%ebp), %%edi\n\
                mov 0xfffffff8(%%ebp), %%esi\n\
                mov 0xfffffff4(%%ebp), %%ebx\n\
                leave\n\
                jmp *%0\n\
                "
                 :
                 :"m"(real_ioctl));
        }
        else
        {
                // The hijack action code here
        }
}
    当遇到不是我们需要劫持的系统调用方式时,直接使用汇编代码恢复各寄存器的数值,跳转到真实的ioctl函数入口。否则,进入我们自己所写的劫持代码当中。由于我们只劫持了ioctl当中一种(或者几种)请求,这些请求所需要的参数个数、类型是很容易知道的,这就避免了解析所有ioctl请求的情况。
    需要注意的地方在如下这一段汇编代码里:
        __asm__ __volatile__(
                "\n\
                mov 0xfffffffc(%%ebp), %%edi\n\
                mov 0xfffffff8(%%ebp), %%esi\n\
                mov 0xfffffff4(%%ebp), %%ebx\n\
                leave\n\
                jmp *%0\n\
                "
                 :
                 :"m"(real_ioctl));
    汇编填写的内容并不是完全固定的,需要根据编译出来的库文件,用objdump反汇编以后,作出对应的修改,方法是找出进入这一段汇编代码之前寄存器改变的情况,对ebx,esi,edi等作为“被调用者保存”的寄存器进行恢复,而ebp,esp等基址、栈址在leave指令上恢复(需要esp指向正确)。最后在jmp的指令下直接跳转到真实的ioctl函数入口。real_ioctl可以通过dlsym(RTLD_NEXT, "ioctl")获得。
    当然,这一类的劫持并不是万能的,对于使用了setuid/setsid的应用程序,LD_PRELOAD变量并不会起作用。
    对于这样的情况,用什么方法再研究研究,呵呵,技术无止境嘛~~



[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
CFI/CFG 安全防护原理详解(ROP攻击、DOP攻击、插装检测)
墨痕诉清风的博客
12-13 3692
1. 简介 CFI: Control-Flow Integrity(控制流完整性) CFG: Control Flow Guard(Windows的CFI实现) CFG: Control-Flow Graph(控制流图) LTO: Link Time Optimization(链接时优化) 1.1 控制流攻击历史 控制流劫持是一种危害性极大的攻击方式,攻击者能够通过它来获取目标机器的控制权,甚至进行提权操作,对目标机器进行全面控制。当攻击者掌握了被攻击程序的内存错误漏洞后,一般会考虑发起控制流劫持
C++逆向 可变参数Hook
ALLEN'Blog
12-09 644
C++中,可变参数的函数定义可以写成如下格式。用...来声明可变参数。{//Code...}在调用可变参数的函数时,可以在后面不断添加参数,例如。
linux库函数劫持技术
fivedoumi的专栏
10-29 2592
原文地址:linux库函数劫持技术 作者:CUKdd 众所周知,在Windows平台下可以使用挂钩(Hook)技术,将系统中的鼠标、键盘等事件拦截下来,以添加实现自己的功能。同样的,在Linux系统中也有类似的技术,都可以起到挂钩(Hook)拦截的作用。虽然可以实现拦截的功能,但是它们的实现原理是不同的(这点一定要注意)。 目前为止,笔者所知道的Linux系统下的一
Linux 库文件劫持
travelnight的博客
09-09 2634
Linux库文件劫持
php可变函数的漏洞利用,php之可变函数的实例详解
weixin_34082139的博客
03-31 279
php之可变函数的实例详解php的可变函数,今天大概的了解下,是看php手册总结的,觉得用处不大;PHP 支持可变函数的概念。这意味着如果一个变量名后有圆括号,PHP 将寻找与变量的值同名的函数,并且尝试执行它。可变函数可以用来实现包括回调函数,函数表在内的一些用途。可变函数不能用于例如 echo,print,unset(),isset(),empty(),include,require 以及类似...
hook 变参函数
q123456789098的专栏
03-20 772
#define DETOURS_HOOK(fn,hmod,name) do{\     fn##_old = (fn)GetProcAddress(hmod,name);\     if(fn##_old==0){::MessageBoxA(0,name,0,0); return 0;}\     DetourAttach(&(PVOID&)fn##_old, fn##_new);\ }w
Linux rootkit 深度分析 – 第1部分:动态链接器劫持
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
08-11 1110
Rootkit 通常是攻击者用来完全控制受感染资源并隐藏恶意活动的一种恶意软件。它们通常是持续性攻击活动的一部分,例如窃取敏感信息或进行间谍活动。Rootkit 可能难以检测和删除,因为它们利用高级技术来隐藏它们在系统上的存在。
【PE文件揭秘】:深入理解Windows可执行文件的内部结构
![【PE文件揭秘】:深入理解Windows可执行文件的内部结构]...PE(Portable Executable)文件格式是Windows操作系统中广泛使用的一种可执行文件结构,它包含了程序的代码、数据以
格式化字符串漏洞实验教程与源码解析
- 在使用格式化输出函数时,总是提供固定数量的参数,避免使用可变参数。 - 检查所有对外的输入,确保不会作为格式化字符串直接传递给输出函数。 - 使用更安全的函数替代,例如使用snprintf代替sprintf。 七、课程...
劫持原理通过c实现,对系统函数system的劫持
11-14
使用c语言,实现对系统函数system的劫持,按照代码逻辑,可自行实现对其他函数的劫持,怎么弄成免费下载啊,是系统自己设置成5积分下载的,不是我免费共享的初衷。
DLL劫持-Hijack-原理及其实现细节
08-21
DLL劫持-Hijack-原理及其实现细节
Linux函数调用劫持的方法总结(带图)
weixin_38371073的博客
05-20 4037
参考文章: https://www.cnblogs.com/LittleHann/p/3854977.html https://lwn.net/Articles/132196/ https://blog.youkuaiyun.com/andy205214/article/details/77148573 https://www.cnblogs.com/arnoldlu/p/9752061.html 1.概览 Ring3中劫持 基于环境变量LD_PRELOAD的动态库劫持 Ring0中劫持 Kerne.
劫持页面根据路径参数自动做跳转
FireBird_one的博客
05-12 915
&lt;!--推广自动登录--&gt; &lt;script type="text/javascript"&gt;        $(function () {            //推广自动登录            function getQueryString() {                var qrcode = location.search == 0 ? '' : loca...
C/C++ 如何劫持别人家的命令||函数||程序(只能对于window而言)
weixin_33842304的博客
03-22 227
  要实现下面程序,首先我们需要三个文件 detours.h ,detours.lib ,detver.h(可以去网上下载)     1. 首先让我们看看,一个最简单的C程序,如何劫持system函数.   1 #include&lt;stdio.h&gt; 2 #include&lt;stdlib.h&gt; 3 #include&lt;string.h&gt; 4 #...
过滤劫持和函数回调(2)
bad0126的博客
05-26 138
body { font-family: 微软雅黑,"Microsoft YaHei", Georgia,Helvetica,Arial,sans-serif,宋体, PMingLiU,serif; font-size: 10.5pt; line-height: 1.5; } html, body { } h1 { ...
windows、linux劫持技术
weixin_33762130的博客
06-03 206
windows系统下面可以利用detours劫持 realse模式劫持,调试的程序不可以 函数劫持可以实现的效果。 函数的劫持原理 我们如何实现-detours detours是微软亚洲研究院出品的信息安全产品,主要用于劫持。 detours根据函数指针改变函数的行为, 拦截任何函数,即使操作系统函数。 1.安装detours ...
C语言_函数hook_LD_PRELOAD原理和示例
最新发布
renhl252的专栏
05-10 506
LD_PRELOAD 是 Linux 系统提供的一个强大机制,允许用户在程序运行前优先加载自定义共享库,从而改变或增强系统默认函数的行为。
C++使用LD_PRELOAD劫持(Hook)库函数
~码农小非~的专栏
07-10 2756
更多文章欢迎访问 程序员小非 博客 在调试C++程序的时候,我们并不是每次都能拿到源代码,很多时候我们只能得到一个动态库so,调试时这个动态库就是一个黑匣子,没办法查看修改或者在里面加日志,那么我们是不是就没有任何办法对我们感兴趣的函数和参数进行监控和跟踪了呢? 对于这种情况,我们一般会挂上gdb,然后在我们感兴趣的地方打上断点,然后查看堆栈里的变量的值。但这个过程时比较繁琐的,尤其是在需要了...
c语言参数个数可变的函数
10-13
在C语言中,并不像高级语言那样直接支持参数个数可变的函数,因为C是一种静态类型的、编译时确定的语言。然而,你可以通过一些间接的方式来模拟这种灵活性: 1. **标准库函数**: C标准库函数`va_list`, `va_start`, `va_arg`, 和 `va_end`可以用于处理可变数量的参数,通常用于实现像printf这样的格式化输入函数,它们允许你在运行时提供任意数量的位置参数。 ```c void variable_args_function(int count, ...) { va_list args; va_start(args, count); for (int i = 0; i < count; i++) { int arg = va_arg(args, int); // 从args列表中获取下一个整数值 /* ... */ } va_end(args); } ``` 2. **数组或结构体**:另一种方法是将不定数量的参数包装在一个数组或自定义结构体中传递。 ```c typedef struct { int num_params; int params[]; } VariableArgs; void function_with_variable_args(VariableArgs args) { for (int i = 0; i < args.num_params; i++) { printf("%d ", args.params[i]); } } ``` 不过,这些方法都需要用户明确地指定参数的数量或范围,没有完全的动态灵活性。如果你需要更高级的功能,可能需要考虑使用更现代的C++或C99及以上版本,其中可以使用可变参数模板(C++)或变参函数声明(C99+)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值