60、网络攻击巩固与利用的技术解析

网络攻击巩固与利用的技术解析

1. 共享库攻击与相关工具

UNIX 平台易受共享库攻击。Shaun Clowes 开发了 Injectso 工具，可在 Linux 和 Solaris 环境中，将共享库注入正在运行的进程并拦截库函数调用。该工具允许拦截程序输入输出，便于通过开放套接字收发信息、读写进程独占打开的文件、关闭套接字文件描述符，还能将 I/O 重定向到文件进行调试。

Injectso 与 Injlib 原理相似，但采用 ELF PLT 重定向技术破坏可执行文件/进程环境。ELF 描述可执行文件的内部结构，提供链接和加载“视图”。PLT 使可执行文件能动态调用编译时不存在的函数，动态链接器通过 PLT 调用函数时，可根据 PLT 内容（符号、重定位）进行重定向。Injectso 利用此功能，将替换库函数注入运行进程。

相关工具如下表所示：
| 工具 | 作者 | 来源 | 描述 |
| — | — | — | — |
| Apihijack | Wade Brainerd | http://www.codeguru.com/dll/apihijack.shtml | 使用 DLL 挂钩将恶意代码注入 Windows 进程的工具 |
| Injlib | Jeffrey Richter | http://packetstormsecurity.org | 用于 Windows DLL 注入的工具 |
| Injectso | Shaun Clowes | http://www.securereality.com.au/ | 使用 ELF PLT 重定向实现动态库感染的工具 |

2. 外壳访问与命令行工具