劫持函数调用-ubuntuer-ChinaUnix博客

人生如逆旅，我亦是行人！江湖人称wsjjeremy.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

ubuntuer

博客访问： 4741695
博文数量： 930
博客积分： 12070
博客等级：上将
技术积分： 11448
用户组：普通用户
注册时间： 2008-08-15 16:57

文章分类

全部博文（930）

html5（0）
python（1）
google_gnu fans（8）
高品位（2）
perl（4）
mobile_dev（2）
openssl（1）
libcurl（2）
windows内核安全（5）
自己的C_LIB（5）
高性能MySQL学习（94）
多线程（4）
ldd学习笔记（3）
netfilter（3）
笔试题（5）
师徒之言传身教（1）
转载（15）
work（146）
introduction to （9）
debug（3）

intern（3）
mobile ip（0）
毕业设计（2）
linux防火墙（10）
c++（16）
database（13）
CentOS（11）
data structure（5）
kernel（50）
DIY（4）
酷软（19）
iptables（9）
linux c（105）

string（19）
APUE学习笔记（7）
facetea（13）
shell（68）
tcp_ip（23）
apache（3）
linux（258）

正则表达式（5）
未分配的博文（1）

文章存档

2011年（60）

2010年（220）

2009年（371）

2008年（279）

我的朋友

相关博文

劫持函数调用

分类： LINUX

2009-12-12 14:45:35

看到有个帖子讨论劫持fork的问题，godbach的内核系统调用的问题，其实我以前分析过adore-ng的源码很好的诠释了以VFS机制来劫持内核系统调用，在CU也可以收到！可以很好的劫持系统调用，说到这里就想能不能劫持诸如GLIBC的函数呢....

我们先从下面一段例程：

CODE:

/* 文件名：verifypasswd.c */
/* 这是一段判断用户口令的程序，其中使用到了标准C函数strcmp*/

#include
#include

int main(int argc, char **argv)
{
char passwd[] = "password";

if (argc < 2) {
      printf("usage: %s \n", argv[0]);
      return -1;
}

if (!strcmp(passwd, argv[1])) {
      printf("Correct Password!\n");
      return 1;
}

printf("Invalid Password!\n");
return 0;
}

在上面这段程序中，我们使用了strcmp函数来判断两个字符串是否相等。下面，我们使用一个动态函数库来重载strcmp函数：

CODE:

/* 文件名：hack1.c */
#include
#include

int strcmp(const char *s1, const char *s2)
{
printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);
return 0;
}

编译程序：
$ gcc -o verifypasswd verifypasswd.c
$ gcc -shared -o hack.so hack.c

测试一下程序：（得到正确结果）
$ ./verifypasswd asdf
Invalid Password!

设置LD_PRELOAD变量：（使我们重写过的strcmp函数的hack.so成为优先载入链接库）
      $ export LD_PRELOAD="./hack.so"

再次运行程序：
$ ./verifypasswd  asdf
hack function invoked. s1= s2=
Correct Password!

被劫持了，但是这种太过于恶劣，如果我们还是先正常的strcmp呢

我们可以看到，1）我们的hack.so中的strcmp被调用了。
            2）主程序中运行结果被影响了。如果这是一个系统登录程序，那么这也就意味着我们用任意口令都可以进入系统了。

被劫持了，但是这种太过于恶劣，如果我们还是想获得用户输入之后正常的strcmp呢

CODE:

/* 文件名：hack2.c */
#include
#include
#include

int strcmp(const char *s1, const char *s2)
{
int (*hac_strcmp)(const char*, const char*);

printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);

  *(void **)(&hac_strcmp) = dlsym(RTLD_NEXT, "strcmp");
  if(dlerror()) {
errno = EACCES;
return -1;
  }

return (*hac_strcmp)(s1, s2);
}

dlsym用法不是太懂的大家可以google之!

最后是我自己的测试结果：

CODE:

[root@nfs-server hack]# ls
hack1.c hack2.c test.c
[root@nfs-server hack]# gcc -Wall -o test test.c
[root@nfs-server hack]# ./test aaa
Invalid Password!
[root@nfs-server hack]# gcc -fPIC -shared -o hack.so hack1.c
[root@nfs-server hack]# export LD_PRELOAD="./hack.so"
[root@nfs-server hack]# ./test aaa
hack function invoked. s1= s2=
Correct Password!
[root@nfs-server hack]# export LD_PRELOAD=""//大家可以尝试下不加这句的结果^_^
[root@nfs-server hack]# gcc -fPIC -shared -o hack.so hack2.c -ldl
[root@nfs-server hack]# ./test aaa
Invalid Password!
[root@nfs-server hack]# export LD_PRELOAD=""
[root@nfs-server hack]# ./test aaa
Invalid Password!
[root@nfs-server hack]# export LD_PRELOAD="./hack.so"
[root@nfs-server hack]# ./test aaa
hack function invoked. s1= s2=
Invalid Password!
[root@nfs-server hack]# export LD_PRELOAD=""

这里主要以LD_PRELOAD环境变量的方法，应该还有别的方法，欢迎大家拍砖！

阅读(1042) | 评论(0) | 转发(0) |

上一篇：内核模块中filp->open对文件的读写

下一篇：内核和用户空间共享内存的实现例程-mmap 设备驱动

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6