Linux下入门级导出函数截获-使用LD_PRELOAD环境变量

最新推荐文章于 2023-10-09 16:37:36 发布
最新推荐文章于 2023-10-09 16:37:36 发布
阅读量1.8k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Hijack linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lixiangminghate/article/details/44171331
本文介绍了一种利用LD_PRELOAD机制对libvirt提供的虚拟化操作进行事件审计的方法。通过分析libvirt的客户端工具virsh及其依赖的动态库libvirt.so,找到了审计libvirt事件的有效切入点。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    博文篇首要感谢我的同事zxb,他曾经提示我有这种简便的截获方法。

    近期要做Linux下libvirt事件审计,原计划是分析libvirt的通信数据从而进一步分析libvirt事件。尼玛,这怎么看都觉得工作量浩大,第一反应就是能不能偷懒。对于一般的审计事件,首先想到的是函数截获:遍历ELF文件的导出函数,然后替换之。顺带一提,现在安卓上的进程注入就这么做的,哪天有空了我也放一篇Linux ELF文件注入的博文。不过这个工程也不小(相比原计划已经很小了),而且我也没十足的把握稳定代码。于是,退而求其次想到标题中这种方法,此法,也是首次尝试。

1)    先来整理下当时的处理思路:libvirt提供了一个命令行客户端工具--virsh,通过virsh可以使用libvirt提供的功能,如创建域。首先,可以肯定的是libvirt是个成功的项目,所以,客户端代码肯定和实际虚拟化操作是分开的,他们的唯一结合处一定是调用libvirt某个动态库导出的函数,来找一下他们的契合处:

root@ubuntu:~# which virsh
/usr/local/bin/virsh
root@ubuntu:~# ldd /usr/local/bin/virsh
	linux-gate.so.1 =>  (0xb770d000)
	libvirt.so.0 => /usr/lib/libvirt.so.0 (0xb743d000)
	libvirt-qemu.so.0 => /usr/lib/libvirt-qemu.so.0 (0xb7439000)
	libpthread.so.0 => /lib/i386-linux-gnu/libpthread.so.0 (0xb741d000)
可以看到virsh依赖于libvirt.so这个动态库。再来看看这个动态库是否提供了virsh命令行所需要的接口:

virsh创建域会调用virDomainCreateXML这个API,来看下virDomainCreateXML在virsh中的符号形式:

root@ubuntu:~# nm /usr/local/bin/virsh|grep virDomainCreateXML
         U virDomainCreateXML@@LIBVIRT_0.5.0
nm显示virDomainCreateXML在virsh中是未解析的符号名,意味着,virsh中没有对应的实现,那必须在其他模块中实现否则都不会通过链接的步骤。可以猜测,virDomainCreateXML肯定在libvirt中实现(我看了源码,当然知道在这个so中实现。你不服,可在ldd virsh输出的所有动态库中搜索这个API)。 

root@ubuntu:~# nm /usr/lib/libvirt.so.0 | grep virDomainCreateXML
000f7c40 T virDomainCreateXML
nm显示virDomainCreateXML的确在libvirt.so中实现。如此可以确定virsh以至于其他客户端工具,要使用libvirt提供的虚拟化操作,都依赖这个库的实现。咩哈哈哈哈哈,后面都用LD_PRELOAD来截获对该动态库的调用了,以此来实现对libvirt的审计。

2)    扯了这么久,还没怎么利用LD_PRELOAD。这不,思路很重要么,至少看到这知道了审计事件时,可以用这种方式去实现么。好,先放个链接:http://blog.youkuaiyun.com/haoel/article/details/1602108  这位博主详细介绍了什么是LD_PRELOAD以及如何利用。但是,这位博主只做了一半,还有一半没做:就是,你把水截流了,还得把水放到下游去啊,要不然下游人民怎么生活!光简单粗暴的截获了strcmp,然后return 0这不是改的strcmp他妈都不认识他了么?为了实现strcmp的原有功能,这里我用到了dlopen/dlsym,用来加载动态库和获得导出函数。类似于windows的LoadLibrary和GetProcAddr。值得一提的事,linux的进程加载器也是使用这两个函数加载所依赖的so库。

下面来看下我对那位博主代码的扩充:

hack.c
#define _GNU_SOURCE

#include <stdio.h>
#include <string.h>
#include <dlfcn.h>

typedef int (*detour_strcmp)(const char*,const char*);
detour_strcmp g_Strcmp;
int strcmp(const char *s1, const char *s2)
{
	int res=0;
    printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);

    g_Strcmp = dlsym(RTLD_NEXT, "strcmp");
    if(g_Strcmp==NULL)
    {
    	printf("load strcmp failed\n");
    	return 0;
    }
    res = (*g_Strcmp)(s1,s2);
    printf("compare result:%d\n",res);
    return res;
}
因为使用了dlopen和dlsym编译连接时,需要加上-ldl 

gcc -shared -o hack.so hack.c -ldl

最后,来看下新strcmp的输出:

root@ubuntu:~/Desktop# export LD_PRELOAD="./hack.so"
root@ubuntu:~/Desktop# ./verifypasswd 
usage: ./verifypasswd <password>/nroot@ubuntu:~/Desktop# ./verifypasswd 1
hack function invoked. s1=<password> s2=<1>/ncompare result:1
Invalid Password!/n
输出无效的密码!至少可以知道strcmp是被调用过了

Linux Reverse(1)-LD_PRELOAD
lzx13290757580的博客
09-28 782
LD_PRELOADLinux 系统中的一个环境变量,它允许用户在程序运行时动态地加载共享库。通过设置该环境变量,用户可以指定一个或多个共享库,这些库中的函数将在其他库或程序调用相同函数时优先使用。这在调试、注入、替换函数实现或修改程序行为时非常有用。
Linux Tips 之 狸猫换太子:LD_PRELOAD
06-07 4057
$ cat 1.cvoid *malloc ( unsigned sz ) { return 0; }$ gcc -shared 1.c -o libmyc.so$ cat 2.c#include int main () {  void *p = malloc ( 3 );  return p == NULL;}$ gcc 2.c$ ./a.out$ echo $?0$ LD_PRELOAD="l
Android API Hook之LD_PRELOAD
04-05
安卓挂钩子 hook技术 详细讲解了如何挂钩android api
linux环境变量LD_PRELOAD是怎样工作的?
zgl07的专栏
05-31 5055
A Simple LD_PRELOAD Tutorial 有的时候为了研究需要,我们需要重载C的标准库函数,比如printf,fopen等等,这篇文章介绍如何利用LD_PRELOAD这个环境变量实现这个目标。 首先由一个简单的C程序开始。(prog.c)   #include int main(void) { printf("Calling the fopen() fun
LD_PRELOAD用法
Lawrence_121
06-03 2万+
      LD_PRELOAD,是个环境变量,用于动态库的加载,动态库加载的优先级最高,一般情况下,其加载顺序为LD_PRELOAD&gt;LD_LIBRARY_PATH&gt;/etc/ld.so.cache&gt;/lib&gt;/usr/lib。程序中我们经常要调用一些外部库的函数,以open()和execve()为例,如果我们有个自定义这两函数,把它编译成动态库后,通过LD_PRELOA...
LD_PRELOAD作用
热门推荐
chen_jianjian的专栏
06-08 2万+
一、LD_PRELOAD是什么LD_PRELOADLinux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函数(...
LD_PRELOAD
Cabinathor的专栏
12-02 2437
前言          也许这个话题并不新鲜,因为LD_PRELOAD所产生的问题由来已久。不过,在这里,我还是想讨论一下这个环境变量。因为这个环境变量所带来的安全问题非常严重,值得所有的Unix下的程序员的注意。   在开始讲述为什么要当心LD_PRELOAD环 境变量之前,请让我先说明一下程序的链接。所谓链接,也就是说编译器找到程序中所引用的函数或全局变量所存在的位置。一般来说,程序的
使用LD_PRELOAD注入程序.pdf
04-26
LD_PRELOADLinux系统中用于程序运行时链接的一个环境变量,它可以在程序执行前动态地加载指定的共享库。LD_PRELOAD机制可以覆盖指定的库函数,这在很多情况下可以用于修改程序的行为,比如调试、性能监控、安全...
go-ldpreload-backdoor:使用Go进行LD_PRELOAD libc挂钩
02-05
使用Go LD_PRELOAD libc挂钩 这是在共享库中使用Go封装libc函数并启动TCP服务器(&ldquo;后门”)的实验,该服务器允许从客户端(如telnet或netcat)运行任意命令。 这是一款用于教育目的的玩具,可演示Go的某些功能。 ...
openredir:通过 LD_PRELOAD 重定向文件打开操作
05-31
`LD_PRELOAD`是Linux环境变量,当程序启动时,它允许我们指定一些动态库(.so文件)在其他所有库之前被加载。这为我们提供了一个机会,在程序的正常执行流之前注入自定义函数实现,比如可以替换标准的`open()`系统...
UNIX下的LD_PRELOAD环境变量
cjsycyl的专栏
06-24 794
http://blog.chinaunix.net/uid-13344516-id-79188.html 前言          也许这个话题并不新鲜,因为LD_PRELOAD所产生的问题由来已久。不过,在这里,我还是想讨论一下这个环境变量。因为这个环境变量所带来的安全问题非常严重,值得所有的Unix下的程序员的注意。   在开始讲述为什么要当心LD_PRELOAD环 境变量之前
Linux RE----LD_PRELOAD
qq_42192672的博客
10-03 667
最近在学习CTF Wiki,记录一下,用来以后给自己看方便 给个链接:https://ctf-wiki.github.io/ctf-wiki/reverse/linux/ld_preload/ 其实虽然直接接触过64位的一些逆向,但是完全基于Linux的只是来逆向破解还真的没有,一步步来吧 原理(摘自原文) 正常情况下, Linux 动态加载器ld-linux(见man手册ld-linux...
Linux 环境变量LD_PRELOAD
小立仔
06-12 4780
Linux使用 环境变量 LD_PRELOAD 简介以及使用其来 hook标准库中的函数
有趣的 LD_PRELOAD
天涯路的专栏
06-10 1760
LD_PRELOADLinux 系统中的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。如果你是个 Web 狗,你肯定知道 LD_PRELOAD,并且网上关于 LD_PRELOAD 的文章基本都是绕过 disable_functions,都快被写烂了。今天我们就从浅入深完整的学习一下什么是 LD_PRELOADLD_PRELOAD 有什么作用,我们可以如何利用 LD_PRELOAD。程序的链接主要有以下三种:对于动态链接来说,
深入分析 LD_PRELOAD
布袋和尚
07-13 1万+
是 系统的一个环境变量,它影响程序的运行时的链接(Runtime linker),它允许在程序运行前定义优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。1、程序的链接程序的链接可以分为以下三种静态链接库,在 Linux 下文件名后缀为 ,如 。在编译链接时直接将目标代码加入可执行程序。动态链接库,在 Linux 下是 文件,在编译链接时只需要记录需要链接的号,运行程序时才会进行
LD_PRELOAD理解
Fuji_Shikamaru的博客
06-03 2787
        这几天看到一个很有趣的变量LD_PRELOAD。这个词首先从字面意思来理解,LD和动态库有关,PRELOAD表示预加载,结合起来就是预先加载的动态库。那这个到底是什么,用来干什么的呢?        LD_PRELOAD是一个环境变量,用来加载动态库时寻找所需符号的路径,而且是优先级最高的寻找路径。换句话说,如我们代码需要加载动态库里面函数,众所周知,系统一般会去LD_LIBRAR...
LD_PRELOAD pre load 动态库
sdc20102010的博客
11-17 755
LD_PRELOAD,是个环境变量,用于动态库的加载,动态库加载的优先级最高,一般情况下,其加载顺序为LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib。程序中我们经常要调用一些外部库的函数,以open()和execve()为例,如果我们有个自定义这两函数,把它编译成动态库后,通过LD_PRELOAD加载,当程序中调用open函数时,调用的其实是我们自定义函数
利用LD_PRELOAD 分析HACK Linux用户态内存使用问题
tugouxp的专栏
02-08 1397
LD_PRELOAD是个环境变量,用于动态库的加载,动态库加载的优先级最高,一般情况下,其加载顺序为LD_PRELOAD > LD_LIBRARY_PATH > /etc/ld.so.cache > /lib>/usr/lib。程序中我们经常要调用一些外部库的函数. 以malloc/free为例,如果我们有个自定义的rand函数,把它编译成动态库后,通过LD_PRELOAD加载,当程序中调用malloc/free函数时,调用的其实是我们自定义函数,下面以一个例子说明。 #in
Linux LD_PRELOAD Hook
chi's blog
10-09 833
loader在进行动态链接的时候,会将有相同符号名的符号覆盖成LD_PRELOAD指定的so文件中的符号。换句话说,可以用我们自己的so库中的函数替换原来库里有的函数,从而达到hook的目的。但是LD_PRELOAD有个限制:只能hook动态链接的库,对静态链接的库无效,因为静态链接的代码都写到可执行文件里了嘛,没有坑让你填。使用PRE_LOAD劫持库函数的这种做法可以做很多事情,比如劫持随机函数random, random_r等,使得看起来是公平的摇号程序可以自如地由自己控制;
怎么删除redhat环境变量LD_LIBRARY_PATH LD_PRELOAD
最新发布
05-08
<think>好的,我现在需要帮助用户找到在RedHat系统中删除环境变量LD_LIBRARY_PATH和LD_PRELOAD的方法。首先,我应该回忆一下环境变量Linux系统中的管理方式。用户提到的这两个变量都是动态链接库相关的,通常用于指定库的路径和预加载库。 根据引用[1]和[2],用户之前可能设置过这些环境变量,比如通过export命令或者修改shell的配置文件。删除环境变量通常可以通过几种方式:在当前会话中unset,或者从配置文件中移除相关设置,或者通过系统服务配置调整。 首先,考虑临时删除。用户可以使用unset命令在当前终端会话中立即移除变量,例如: unset LD_LIBRARY_PATH unset LD_PRELOAD 但这种方法只是临时的,关闭终端后会失效。 接下来是永久删除。用户需要检查shell的配置文件,比如.bashrc、.bash_profile或/etc/profile,找到export这些变量的行并删除。例如,引用[1]中提到用户添加了export LD_LIBRARY_PATH=...,所以应该去对应的配置文件里删除那一行,然后重新加载配置或者重启shell。 另外,引用[2]和[5]提到系统服务如mysqld可能通过systemd管理,这时候可能需要检查服务配置文件中的环境变量设置。用户可能需要编辑服务的unit文件(如mysql.service),移除或注释掉Environment指令中的相关变量,并重新加载systemd配置。 还有引用[3]提到的/etc/ld.so.preload文件,如果用户修改过这个文件,可能需要清理里面的内容,但这和LD_PRELOAD环境变量不同,需要分别处理。用户可能需要检查该文件并删除不需要的库路径。 需要提醒用户注意,不同的设置方式对应不同的删除方法。如果是通过脚本或临时命令设置的,重启后会失效;如果是配置文件中的,需要手动修改。此外,系统服务中的变量可能需要更高的权限来修改,比如使用sudo编辑系统级配置文件。 最后,确保用户了解操作的影响,比如删除这些变量后,依赖它们的程序可能无法运行,需要确认是否有必要删除,或者是否有替代的配置方式。</think>在RedHat系统中删除环境变量$LD\_LIBRARY\_PATH$和$LD\_PRELOAD$的方法如下: ### 一、临时删除(仅当前会话生效) ```bash unset LD_LIBRARY_PATH unset LD_PRELOAD ``` *此方法仅对当前终端会话有效,重启后恢复原设置[^1][^2]。* ### 二、永久删除(需修改配置文件) 1. **检查环境变量定义位置** - 用户级:检查`~/.bashrc`、`~/.bash_profile`、`~/.profile` - 系统级:检查`/etc/profile`、`/etc/environment` ```bash grep -rn "LD_LIBRARY_PATH\|LD_PRELOAD" ~/ /etc/ ``` 2. **注释或删除相关行** 例如原设置行可能为: ```bash export LD_LIBRARY_PATH=/your/path/lib:$LD_LIBRARY_PATH # 注释此行[^1] export LD_PRELOAD=/path/to/library.so # 删除此行[^2] ``` 3. **应用修改** ```bash source ~/.bashrc # 根据实际修改的配置文件选择 ``` ### 三、系统服务配置清理(针对服务调用) 若通过systemd服务设置(如MySQL服务[^5]): 1. 检查服务配置文件: ```bash systemctl show mysql.service | grep Environment ``` 2. 编辑服务unit文件: ```bash sudo systemctl edit mysql.service ``` 3. 移除包含`LD_PRELOAD`或`LD_LIBRARY_PATH`的`Environment`指令 ### 四、附加清理项 - 检查`/etc/ld.so.preload`文件(独立于环境变量)[^3] ```bash sudo vim /etc/ld.so.preload # 删除相关库路径 ``` ### 五、验证删除结果 ```bash echo $LD_LIBRARY_PATH # 应输出空行 echo $LD_PRELOAD # 应输出空行 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值