Chinaunix首页 | 论坛 | 博客
  • 博客访问: 4828501
  • 博文数量: 930
  • 博客积分: 12070
  • 博客等级: 上将
  • 技术积分: 11448
  • 用 户 组: 普通用户
  • 注册时间: 2008-08-15 16:57
文章分类

全部博文(930)

文章存档

2011年(60)

2010年(220)

2009年(371)

2008年(279)

分类: LINUX

2009-12-12 14:45:35

看到有个帖子讨论劫持fork的问题,godbach的内核系统调用的问题,其实我以前分析过adore-ng的源码很好的诠释了以VFS机制来劫持内核系统调用,在CU也可以收到!可以很好的劫持系统调用,说到这里就想能不能劫持诸如GLIBC的函数呢....

我们先从下面一段例程:

CODE:
/* 文件名:verifypasswd.c */
/* 这是一段判断用户口令的程序,其中使用到了标准C函数strcmp*/

#include
#include


int main(int argc, char **argv)
{
char passwd[] = "password";

if (argc < 2) {
        printf("usage: %s \n", argv[0]);
        return -1;
}

if (!strcmp(passwd, argv[1])) {
        printf("Correct Password!\n");
        return 1;
}

printf("Invalid Password!\n");
return 0;
}

在上面这段程序中,我们使用了strcmp函数来判断两个字符串是否相等。下面,我们使用一个动态函数库来重载strcmp函数:

CODE:
/* 文件名:hack1.c */
#include
#include

int strcmp(const char *s1, const char *s2)
{
        printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);
        return 0;
}

编译程序:
$ gcc -o verifypasswd verifypasswd.c
$ gcc -shared -o hack.so hack.c


测试一下程序:(得到正确结果)
$ ./verifypasswd asdf
Invalid Password!

设置LD_PRELOAD变量:(使我们重写过的strcmp函数的hack.so成为优先载入链接库)
         $ export LD_PRELOAD="./hack.so"

再次运行程序:
$ ./verifypasswd  asdf
hack function invoked. s1= s2=
Correct Password!

被劫持了,但是这种太过于恶劣,如果我们还是先正常的strcmp呢

我们可以看到,1)我们的hack.so中的strcmp被调用了。
              2)主程序中运行结果被影响了。如果这是一个系统登录程序,那么这也就意味着我们用任意口令都可以进入系统了。

被劫持了,但是这种太过于恶劣,如果我们还是想获得用户输入之后正常的strcmp呢

CODE:
/* 文件名:hack2.c */
#include
#include
#include

int strcmp(const char *s1, const char *s2)
{
   int (*hac_strcmp)(const char*, const char*);

   printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);

  *(void **)(&hac_strcmp) = dlsym(RTLD_NEXT, "strcmp");
  if(dlerror()) {
    errno = EACCES;
    return -1;
  }

   return (*hac_strcmp)(s1, s2);
}

dlsym用法不是太懂的大家可以google之!



最后是我自己的测试结果:

CODE:
[root@nfs-server hack]# ls
hack1.c  hack2.c  test.c
[root@nfs-server hack]# gcc -Wall -o test test.c
[root@nfs-server hack]# ./test aaa
Invalid Password!
[root@nfs-server hack]# gcc -fPIC -shared -o hack.so hack1.c
[root@nfs-server hack]# export LD_PRELOAD="./hack.so"
[root@nfs-server hack]# ./test aaa
hack function invoked. s1= s2=
Correct Password!
[root@nfs-server hack]# export LD_PRELOAD=""//大家可以尝试下不加这句的结果^_^
[root@nfs-server hack]# gcc -fPIC -shared -o hack.so hack2.c -ldl
[root@nfs-server hack]# ./test aaa
Invalid Password!
[root@nfs-server hack]# export LD_PRELOAD=""
[root@nfs-server hack]# ./test aaa
Invalid Password!
[root@nfs-server hack]# export LD_PRELOAD="./hack.so"
[root@nfs-server hack]# ./test aaa
hack function invoked. s1= s2=
Invalid Password!
[root@nfs-server hack]# export LD_PRELOAD=""

这里主要以LD_PRELOAD环境变量的方法,应该还有别的方法,欢迎大家拍砖!
阅读(1084) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~