简单来说,hook也就是我们常说的钩子,以替换的方式把改变程序中原有的函数功能,而注入,则更偏向于插入自定义函数/代码,代码注入一般是一次性的,而Hook劫持是比较稳定持久的
利用LD_PRELOAD自定义加载so
正常情况下, Linux 动态加载器ld-linux(见 man 手册 ld-linux(8)) 会搜寻并装载程序所需的共享链接库文件, 而LD_PRELOAD是一个可选的环境变量, 包含一个或多个指向共享链接库文件的路径. 加载器会先于 C 语言运行库之前载入LD_PRELOAD指定的共享链接库,也就是所谓的预装载 preload
做个简单的演示
#include <stdio.h>
#include <string.h>
int main(int argc, char const *argv[])
{
puts("welcome!");
sleep(1);
char *ptr = malloc(0x100);
puts("what's your name:");
read(0,ptr,0x20);
printf("nice to meet you,%s\n", ptr);
return 0;
}
这个是我们的目标程序target,编译gcc ./target.c -o target
#include <stdio.h>
int sleep(int t)
{
puts("your sleep is hook by me!");
}
这个是要用于制作so文件的hook1.c
编译生成so:gcc -fPIC --shared hook1.c -o hook1.so
然后进行hook
LD_PRELOAD=./hook1.so ./target
可以看到sleep函数已经被替换成功了,这就是简单的hook演示,但这种东西似乎并没有什么卵用,就跟给程序打个patch一样
因此这里演示一个稍微有点卵用的东西,如果我们想统计某个函数在整个程序运行过程中运行了几次,每次运行的相关数据情况等等,那么hook就能派上一点用场
修改一下我们的target程序
#include <stdio.h>
#include <string.h>
void function()
{
for (int i = 0; i < 10; ++i)
{
sleep(1);
}
puts("good bye~");
}
int main(int argc, char const *argv[])
{
puts("welcome!");
sleep(1);
char *ptr = malloc(0x100);
puts("what's your name:");
read(0,ptr,0x20);
printf("nice to meet you,%s\n", ptr);
function();
return 0;
}
然后hook2.c如下
#include <stdio.h>
#include <string.h>
#include <dlfcn.h>
typedef int(*SLEEP)(unsigned int t);
static int sleep_times=0;
int sleep(unsigned int t)
{
static void *handle = NULL;
static SLEEP true_sleep = NULL;
sleep_times++;
if( !handle )
{
handle = dlopen("libc.so.6", RTLD_LAZY);
true_sleep = (SLEEP)dlsym(handle, "sleep");
}
printf("sleep has been called for %d times!\n", sleep_times);
return true_sleep(t);
}
这次的hook的作用是自定义sleep函数,每次调用sleep就计数一次,然后马上执行glibc中真正的sleep函数
编译的命令是gcc -fPIC -shared -o hook2.so hook2.c -ldl
最后一个参数-ldl是为了加载<dlfcn.h>所在的共享库dl
void *dlopen(const char **filename*, int flag**);**
而dlsym函数用于取函数的地址,存放在一个函数指针中
void *dlsym(void **handle*, const char **symbol*);
上面的hook2.c中也就是用这两个函数实现先调用自定义sleep记录次数,然后再调用glibc中的sleep,从而既达到了我们的目的,又不影响程序的执行逻辑
运行效果如下,可以看到sleep被调用了11次
为了方便hook,可以定义以下宏
#include <sys/types.h>
#include <dlfcn.h>
#if defined(RTLD_NEXT)
# define REAL_LIBC RTLD_NEXT
#else
# define REAL_LIBC ((void *) -1L)
#endif
#define FN(ptr,type,name,args) ptr = (type (*)args)dlsym (REAL_LIBC, name)
当调用dlsym的时传入RTLD_NEXT参数,gcc的共享库加载器会按照装载顺序获取下一个共享库中的符号地址
因此通过上面的宏定义,REAL_LIBC代表当前调用链中紧接着下一个共享库,从调用方链接映射列表中的下一个关联目标文件获取符号
在使用的时候只需要在自定义hook函数中加入FN即可方便进行替换,如替换execve函数
int execve(const char *filename, char *const argv[], char *const envp[])
{
static int (*func)(const char *, char **, char **);
FN(func,int,"execve",(const char *, char **const, char **const));
printf("execve has been called!");
return (*func) (filename, (char**) argv, (char **) envp);
}
利用ptrace进行hook
利用LD_PRELOAD方法进行hook,很多时候是限制比较多的,它要求在程序在执行前就把hook.so加入环境变量中,对于已经运行了的程序,则没有办法采用这种方法进行hook
这里就介绍另外一种hook的方法,利用ptrace进行hook
众所周知,ptrace是Linux提供的一种专门用于调试的系统调用,具体的用法可见man文档
这里直接介绍利用ptrace进行hook的原理和步骤
- 首先需要使得hook程序利用ptrace attach target程序,保护现场,保存原寄存器内容和内存数据
- 通过得到指向link_map链表的指针,通过一系列的遍历操作,根据函数名查找到各种函数的真实地址
- 通过修改target程序的寄存器和内存使其调用dlopen函数,从而将hook.so加入target内存空间
- 修改需要被hook的func函数地址的GOT表为hook.so中hook_func函数地址
- 完成hook,恢复现场,恢复原寄存器内容和内存数据,退出ptrace
这5步当中最麻烦的就是第二步,接下来通过代码逐步分析五个步骤的实现方式,最终的完整代码可见附件
第一步
这里主要是涉及ptrace的基本运用,首先定义一系列有关ptrace的操作函数
void ptrace_attach(pid_t pid)
{
if(ptrace(PTRACE_ATTACH, pid, NULL, NULL) < 0)
{
error_msg("ptrace_attach error\n");
}
waitpid(pid, NULL, WUNTRACED);
ptrace_getregs(pid, &oldregs);
}
//oldregs为全局变量
在attach上目标程序后马上保存他的所有的原始寄存器的值,对应在最后detach的时候还原
第二步
为了调用dlopen函数加载hook.so到目标函数的内存空间,就必须知道dlopen函数的地址,但是一般情况下我们的程序不会#include <dlfcn.h>,因此我们这里选择找到__libc_dlopen_mode的地址,利用他来打开so,该函数的参数用法和dlopen完全一样
如何查找指定函数名的真实地址呢?
通过link_map链表的指针链,在各个so文件中寻找函数对应的地址
这里定义了两个函数
map = get_linkmap(pid);
sym_addr = find_symbol(pid, map, oldfunname);
首先从get_linkmap开始讲解
首先从程序头部IMAGE_ADDR(64为的一般为0x400000)开始读取信息找到头部表的地址
根据头部表再找.dynamic节
再遍历.dynamic节,找到.got.plt节,而这个就是我们平常说的got表了
GOT表中每一项都是64bit的Elf64_Addr地址
但其中GOT表前三项用于保存特殊的数据结构地址:
GOT[0]为段”.dynamic”的加载地址
GOT[1]为ELF所依赖的动态链接库链表头struct link_map结构体描述符地址
GOT[2]为_dl_runtime_resolve函数地址
于是这样就找到了link_map
struct link_map* get_linkmap(int pid)
{
int i;
Elf_Ehdr *ehdr = (Elf_Ehdr *) malloc(sizeof(Elf_Ehdr));
Elf_Phdr *phdr = (Elf_Phdr *) malloc(sizeof(Elf_Phdr));
Elf_Dyn *dyn = (Elf_Dyn *) malloc(sizeof(Elf_Dyn));
Elf_Addr *gotplt;
// 读取文件头
ptrace_getdata(pid, IMAGE_ADDR, ehdr, sizeof(Elf_Ehdr));
// 获取program headers table的地址
phdr_addr = IMAGE_ADDR + ehdr->e_phoff;
// 遍历program headers table,找到.dynamic
for (i = 0; i < ehdr->e_phnum; i++)
{
ptrace_getdata(pid, phdr_addr + i * sizeof(Elf_Phdr), phdr, sizeof(Elf_Phdr));
if (phdr->p_type == PT_DYNAMIC)
{
dyn_addr = phdr->p_vaddr;
break;
}
}
if (0 == dyn_addr)
{
error_msg("cannot find the address of .dynamin\n");
} else
{
printf("[+]the address of .dynamic is %p\n", (void *)dyn_addr);
}
// 遍历.dynamic,找到.got.plt
for (i = 0; i * sizeof(Elf_Dyn) <= phdr->p_memsz; i++ )
{
ptrace_getdata(pid, dyn_addr + i * sizeof(Elf_Dyn), dyn, sizeof(Elf_Dyn));
if (dyn->d_tag == DT_PLTGOT)
{
gotplt = (Elf_Addr *)(dyn->d_un.d_ptr);
break;
}
}
if (NULL == gotplt)
{
error_msg("cannot find the address of .got.plt\n");
}else
{
printf("[+]the address of .got.plt is %p\n", gotplt);
}
// 获取link_map地址
ptrace_getdata(pid, (Elf_Addr)(gotplt + 1), &lmap_addr, sizeof(Elf_Addr));
printf("[+]the address of link_map is %p\n", (void *)lmap_addr);
free(ehdr);
free(phdr);
free(dyn);
return (struct link_map *)lmap_addr;
}
找到后返回一个结构指针,link_map的结构体如下
typedef struct link_map {
caddr_t l_addr; /* Base Address of library */
#ifdef __mips__
caddr_t l_offs; /* Load Offset of library */
#endif
const char *l_name; /* Absolute Path to Library */
const void *l_ld; /* Pointer to .dynamic in memory */
struct link_map *l_next, *l_prev; /* linked list of of mapped libs */
} Link_map;
接下来讲解find_symbol函数
上面说到GOT[2]为_dl_runtime_resolve函数地址
该函数的作用是遍历GOT[1]指向的动态链接库链表直至找到某个符号的地址,然后将该符号地址保存至相应的GOT表项中,而find_symbol函数的作用正是模拟_dl_runtime_resolve函数,在动态链接库中找到我们想要的函数地址
lf_Addr find_symbol(int pid, Elf_Addr lm_addr, char *sym_name)
{
char buf[STRLEN] = {0};
struct link_map lmap;
unsigned int nlen = 0;
while (lm_addr)
{
// 读取link_map结构内容
ptrace_getdata(pid, lm_addr, &lmap, sizeof(struct link_map));
lm_addr = (Elf_Addr)(lmap.l_next);//获取下一个link_map
// 判断l_name是否有效
if (0 == lmap.l_name)
{
printf("[-]invalid address of l_name\n");
continue;
}
nlen = ptrace_getstr(pid, (Elf_Addr)lmap.l_name, buf, 128);
//读取so名称
if (0 == nlen || 0 == strlen(buf))
{
printf("[-]invalud name of link_map at %p\n", (void *)lmap.l_name);
continue;
}
printf(">> start search symbol in %s:\n", buf);
Elf_Addr sym_addr = find_symbol_in_linkmap(pid, &lmap, sym_name);
if (sym_addr)
{
return sym_addr;
}
}
return 0;
}
最后执行了Elf_Addr sym_addr = find_symbol_in_linkmap(pid, &lmap, sym_name);
继续来看find_symbol_in_linkmap函数,这个函数的主要作用是根据handle_one_lmap返回的lmap_result结构体中的信息来判断 我们需要找的函数是否在这个so中
Elf_Addr find_symbol_in_linkmap(int pid, struct link_map *lm, char *sym_name)
{
int i = 0;
char buf[STRLEN] = {0};
unsigned int nlen = 0;
Elf_Addr ret;
Elf_Sym *sym = (Elf_Sym *)malloc(sizeof(Elf_Sym));
struct lmap_result *lmret = handle_one_lmap(pid, lm);
//lmap_result结构体,包含了SYMTAB、STRTAB、RELPLT、REPLDYN等信息
/*
struct lmap_result
{
Elf_Addr symtab;
Elf_Addr strtab;
Elf_Addr jmprel;
Elf_Addr reldyn;
uint64_t link_addr;
uint64_t nsymbols;
uint64_t nrelplts;
uint64_t nreldyns;
};
*/
for(i = 0; i >= 0; i++)
{
// 读取link_map的符号表
ptrace_getdata(pid, lmret->symtab + i * sizeof(Elf_Sym) ,sym ,sizeof(Elf_Sym));
// 如果全为0,是符号表的第一项
if (!sym->st_name && !sym->st_size && !sym->st_value)
{
continue;
}
nlen = ptrace_getstr(pid, lmret->strtab + sym->st_name, buf, 128);
if (buf[0] && (32 > buf[0] || 127 == buf[0]) )
{
printf(">> nothing found in this so...\n\n");
return 0;
}
if (strcmp(buf, sym_name) == 0)
{
printf("[+]has find the symbol name: %s\n",buf);
if(sym->st_value == 0)
{//如果sym->st_value值为0,代表这个符号本身就是重定向的内容
continue;
}
else
{// 否则说明找到了符号
return (lmret->link_addr + sym->st_value);
}
}
}
free(sym);
return 0;
}
再来康康handle_one_lmap是如何把当前link_map指向的so中的SYMTAB、STRTAB、RELPLT、REPLDYN信息提取出来的:
struct lmap_result *handle_one_lmap(int pid, struct link_map *lm)
{
Elf_Addr dyn_addr;
Elf_Dyn *dyn = (Elf_Dyn *)calloc(1, sizeof(Elf_Dyn));
struct lmap_result *lmret = NULL;
// 符号表
Elf_Addr symtab;
Dyn_Val syment;
Dyn_Val symsz;
// 字符串表
Elf_Addr strtab;
// rel.plt
Elf_Addr jmprel;
Dyn_Val relpltsz;
// rel.dyn
Elf_Addr reldyn;
Dyn_Val reldynsz;
// size of one REL relocs or RELA relocs
Dyn_Val relent;
// 每个lmap对应的库的映射基地址
Elf_Addr link_addr;
link_addr = lm->l_addr;
dyn_addr = lm->l_ld;
ptrace_getdata(pid, dyn_addr, dyn, sizeof(Elf_Dyn));
while(dyn->d_tag != DT_NULL)
{
switch(dyn->d_tag)
{
// 符号表
case DT_SYMTAB:
symtab = dyn->d_un.d_ptr;
break;
case DT_SYMENT:
syment = dyn->d_un.d_val;
break;
case DT_SYMINSZ:
symsz = dyn->d_un.d_val;
break;
// 字符串表
case DT_STRTAB:
strtab = dyn->d_un.d_ptr;
break;
// rel.plt, Address of PLT relocs
case DT_JMPREL:
jmprel = dyn->d_un.d_ptr;
break;
// rel.plt, Size in bytes of PLT relocs
case DT_PLTRELSZ:
relpltsz = dyn->d_un.d_val;
break;
// rel.dyn, Address of Rel relocs
case DT_REL:
case DT_RELA:
reldyn = dyn->d_un.d_ptr;
break;
// rel.dyn, Size of one Rel reloc
case DT_RELENT:
case DT_RELAENT:
relent = dyn->d_un.d_val;
break;
//rel.dyn Total size of Rel relocs
case DT_RELSZ:
case DT_RELASZ:
reldynsz = dyn->d_un.d_val;
break;
}
ptrace_getdata(pid, dyn_addr += (sizeof(Elf_Dyn)/sizeof(Elf_Addr)), dyn, sizeof(Elf_Dyn));
}
if (0 == syment || 0 == relent)
{
printf("[-]Invalid ent, syment=%u, relent=%u\n", (unsigned)syment, (unsigned)relent);
return lmret;
}
lmret = (struct lmap_result *)calloc(1, sizeof(struct lmap_result));
lmret->symtab = symtab;
lmret->strtab = strtab;
lmret->jmprel = jmprel;
lmret->reldyn = reldyn;
lmret->link_addr = link_addr;
lmret->nsymbols = symsz / syment;
lmret->nrelplts = relpltsz / relent;
lmret->nreldyns = reldynsz / relent;
free(dyn);
return lmret;
}
可以看到 这里利用了link_map->l_ld读取到 Elf_Dyn *dyn,从而拿到有关当前so的 .dynamic的内容
再用switch语句区分各种dyn->d_tag下的不同类别的信息
循环处理完毕后将存储的有用信息的(struct lmap_result *)lmret 返回
至此,我们构造了一个find_symbol函数用于查找目标程序内存空间里已加载so的函数
第三步
通过第二步的find_symbol函数,可以得到__libc_dlopen_mode的地址,接下来就是对目标程序的寄存器进行操作
/* 查找要被替换的函数 */
old_sym_addr = find_symbol(pid, map, oldfunname);
/* 查找hook.so中hook的函数 */
new_sym_addr = find_symbol(pid, map, newfunname);
/* 查找__libc_dlopen_mode,并调用它加载hook.so动态链接库 */
dlopen_addr = find_symbol(pid, map, "__libc_dlopen_mode");
/*把hook.so动态链接库加载进target程序 */
inject_code(pid, dlopen_addr, libpath);
这里的重点在于inject_code(pid, dlopen_addr, libpath);
int inject_code(pid_t pid, unsigned long dlopen_addr, char *libc_path)
{
char sbuf1[STRLEN], sbuf2[STRLEN];
struct user_regs_struct regs, saved_regs;
int status;
puts(">> start inject_code to call the dlopen");
ptrace_getregs(pid, ®s);//获取所有寄存器值
ptrace_getdata(pid, regs.rsp + STRLEN, sbuf1, sizeof(sbuf1));
ptrace_getdata(pid, regs.rsp, sbuf2, sizeof(sbuf2));//获取栈上数据并保存在sbuf1、2
/*用于引发SIGSEGV信号的ret内容*/
unsigned long ret_addr = 0x666;
ptrace_setdata(pid, regs.rsp, (char *)&ret_addr, sizeof(ret_addr));
ptrace_setdata(pid, regs.rsp + STRLEN, libc_path, strlen(libc_path) + 1);
memcpy(&saved_regs, ®s, sizeof(regs));
printf("before inject:rsp=%zx rdi=%zx rsi=%zx rip=%zx\n", regs.rsp,regs.rdi, regs.rsi, regs.rip);
regs.rdi = regs.rsp + STRLEN;
regs.rsi = RTLD_NOW|RTLD_GLOBAL|RTLD_NODELETE;
regs.rip = dlopen_addr+2;
printf("after inject:rsp=%zx rdi=%zx rsi=%zx rip=%zx\n", regs.rsp,regs.rdi, regs.rsi, regs.rip);
if (ptrace(PTRACE_SETREGS, pid, NULL, ®s) < 0)
{//设置寄存器
error_msg("inject_code:PTRACE_SETREGS 1 failed!");
}
if (ptrace(PTRACE_CONT, pid, NULL, NULL) < 0)
{//设置完寄存器后让目标进程继续运行
error_msg("inject_code:PTRACE_CONT failed!");
}
waitpid(pid, &status, 0);//按照最后的ret指令会使得rip=0x666,从而引发SIGSEGV
ptrace_getregs(pid, ®s);
printf("after waitpid inject:rsp=%zx rdi=%zx rsi=%zx rip=%zx\n", regs.rsp,regs.rdi, regs.rsi, regs.rip);
//恢复现场,恢复所有寄存器和栈上数据
if (ptrace(PTRACE_SETREGS, pid, 0, &saved_regs) < 0)
{
error_msg("inject_code:PTRACE_SETREGS 2 failed!");;
}
ptrace_setdata(pid, saved_regs.rsp + STRLEN, sbuf1, sizeof(sbuf1));
ptrace_setdata(pid, saved_regs.rsp, sbuf2, sizeof(sbuf2));
puts("-----inject_code done------");
return 0;
}
通过以上代码,就能使得hook.so被加载进target程序,从而实现注入so
第四、五步
这里就简单很多了,有了函数地址,再找到got表地址就能通过修改got表从而实现hook函数
这里首先实现一个find_sym_in_rel函数,用于找到指定函数的的got表地址
Elf_Addr find_sym_in_rel(int pid, char *sym_name)
{
Elf_Rel *rel = (Elf_Rel *) malloc(sizeof(Elf_Rel));
Elf_Sym *sym = (Elf_Sym *) malloc(sizeof(Elf_Sym));
int i;
char str[STRLEN] = {0};
unsigned long ret;
struct lmap_result *lmret = get_dyn_info(pid);
for (i = 0; i<lmret->nrelplts; i++)
{
ptrace_getdata(pid, lmret->jmprel + i*sizeof(Elf_Rela), rel, sizeof(Elf_Rela));
ptrace_getdata(pid, lmret->symtab + ELF64_R_SYM(rel->r_info) * sizeof(Elf_Sym), sym, sizeof(Elf_Sym));
int n = ptrace_getstr(pid, lmret->strtab + sym->st_name, str, STRLEN);
printf("self->st_name: %s, self->r_offset = %p\n",str, rel->r_offset);
if (strcmp(str, sym_name) == 0)
{
break;
}
}
if (i == lmret->nrelplts)
ret = 0;
else
ret = rel->r_offset;
free(rel);
return ret;
}
找好了got表地址后最后进行的就是修改got表了
/* 找到旧函数在重定向表的地址 */
old_rel_addr = find_sym_in_rel(pid, oldfunname);
ptrace_getdata(pid, old_rel_addr, &target_addr, sizeof(Elf_Addr));
ptrace_setdata(pid, old_rel_addr, &new_sym_addr, sizeof(Elf_Addr));
//修改oldfun的got表内容为newfun
To_detach(pid);//退出并还原ptrace attach前的寄存器内容
至此利用ptrace进行hook的操作就这样完成了,其实可以发现,这种hook手段离不开注入技术
ptrace hook演示
在这里,我们的target程序如下
#include <stdio.h>
#include <unistd.h>
int main()
{
int num=10;
printf("my pid is %d\n", getpid());
puts("start hook?");
while(--num)
{
puts("hello?");
sleep(1);
}
return 0;
}
//gcc target.c -o target
hook_so源码如下
#include <stdio.h>
int newputs(const char *str)
{
write(1,"hook puts! ",11);
puts(str);
return 0;
}
//gcc hook_so.c -o hook_so.so -fPIC --shared
hook3源码见附件,太长了不贴了
编译gcc hook3.c -o hook3 -ldl && gcc target.c -o target && gcc hook_so.c -o hook_so.so -fPIC --shared
运行:
$ sudo ./hook3 ./hook_so.so puts newputs 26600
---------------------------------
target pid = 26600
target oldfunname: puts
patch libpath: ./hook_so.so
patch newfunname: newputs
---------------------------------
[+]the address of .dynamic is 0x600e28
[+]the address of .got.plt is 0x601000
[+]the address of link_map is 0x7fc95aa38168
[-]invalud name of link_map at 0x7fc95aa386f8
[-]invalud name of link_map at 0x7fc95aa38b90
>> start search symbol in /lib/x86_64-linux-gnu/libc.so.6:
[+]has find the symbol name: puts
found puts at addr 0x7fc95a4b6690
[-]invalud name of link_map at 0x7fc95aa386f8
[-]invalud name of link_map at 0x7fc95aa38b90
>> start search symbol in /lib/x86_64-linux-gnu/libc.so.6:
[+]has find the symbol name: __libc_dlopen_mode
found __libc_dlopen_mode at addr 0x7fc95a58a610
>> start inject_code to call the dlopen
before inject:rsp=7fff4b267ac8 rdi=7fff4b267ad0 rsi=7fff4b267ad0 rip=7fc95a5132f0
after inject:rsp=7fff4b267ac8 rdi=7fff4b267ec8 rsi=1102 rip=7fc95a58a612
after waitpid inject:rsp=7fff4b267ad0 rdi=7fc95aa37948 rsi=7fff4b267a98 rip=666
-----inject_code done------
[-]invalud name of link_map at 0x7fc95aa386f8
[-]invalud name of link_map at 0x7fc95aa38b90
>> start search symbol in /lib/x86_64-linux-gnu/libc.so.6:
>> nothing found in this so...
>> start search symbol in /lib64/ld-linux-x86-64.so.2:
>> nothing found in this so...
>> start search symbol in ./hook_so.so:
[+]has find the symbol name: newputs
===> found newputs at addr 0x7fc95a2456e0
self->st_name: puts, self->r_offset = 0x601018
oldfunname: puts rel addr:0x601018
oldfunction addr:0x7fc95a4b6690
newfunction addr:0x7fc95a2456e0
hook has done!
***detach***
可以看到puts函数被hook成功
ps:我的环境是Ubuntu16.04,以上所有的源码编译操作都是在以64位进行的,32位的没有实现
注入技术
如果我们希望进行的操作不仅仅只是hook一个函数,我还想让程序运行一系列的代码,该如何操作?
- 比较容易被想到的就是模仿上面的ptrace操作,对目标程序的内存数据和寄存器进行修改,从而达到注入代码的目标,但是这种方法比较麻烦一方面要考虑注入前后对目标程序的影响,又要兼顾执行注入代码时的信号的发送,才能让hook程序时刻注意目标程序的执行状态
- 先注入so进行hook,在hook.so中设计一系列执行代码
这里主要想介绍第二种,这种方法执行注入代码非常方便,基本上不需要考虑目标程序的运行环境
把hook_so.c进行修改
#include <stdio.h>
//gcc hook_so.c -o hook_so.so -fPIC --shared
int newputs(const char *str)
{
write(1,"hook puts! ",11);
puts(str);
return 0;
}
__attribute__((constructor))
void loadMsg()
{
puts("hook.so has been injected!");
puts("now let's do somesthing...");
printf("->pid:%d\n\n", getpid());
}
__attribute__((destructor))
void eixtMsg()
{
puts("bye bye~");
}
这里使用了 __attribute__关键词,专门用它设计两个函数分别在最开始的时候 执行和结束的时候执行
再次进行之前的hook操作:sudo ./hook3 ./hook_so.so puts newputs 26868
可以看到不仅成功hook,还多执行了两个函数,这里可以发挥想象,如果在hook3对target进行ptrace时得到的信息写入一个文本文件中,然后在hook.so中再读取这个文件,就能获取到本程序的大部分信息,如一些函数的地址,got表的地址等等,有了这些信息简直就是为所欲为之为所欲为
再骚一点的话,还可以新开一个子进程or线程执行execve,从而执行各种其他程序
参考链接
https://www.cnblogs.com/LittleHann/p/3854977.html
https://jmpews.github.io/2016/12/27/pwn/linux%E8%BF%9B%E7%A8%8B%E5%8A%A8%E6%80%81so%E6%B3%A8%E5%85%A5/
-
ptrace_hook3.zip
下载
转载
分享
发布投稿
-
-
-
-
