劫持函数调用

ubuntuer

看到有个帖子讨论劫持fork的问题，godbach的内核系统调用的问题，其实我以前分析过adore-ng的源码，在CU也可以收到！可以很好的劫持系统调用，说到这里就想能不能劫持诸如GLIBC的函数呢....

我们先从下面一段例程：

1. 
   
2. /* 文件名：verifypasswd.c */
   
3. /* 这是一段判断用户口令的程序，其中使用到了标准C函数strcmp*/
   
4. 
   
5. #include <stdio.h>
   
6. #include <string.h>
   
7. 
   
8. 
   
9. int main(int argc, char **argv)
   
10. {
    
11. char passwd[] = "password";
    
12. 
    
13. if (argc < 2) {
    
14.         printf("usage: %s <password>\n", argv[0]);
    
15.         return -1;
    
16. }
    
17. 
    
18. if (!strcmp(passwd, argv[1])) {
    
19.         printf("Correct Password!\n");
    
20.         return 1;
    
21. }
    
22. 
    
23. printf("Invalid Password!\n");
    
24. return 0;
    
25. }
    

复制代码

在上面这段程序中，我们使用了strcmp函数来判断两个字符串是否相等。下面，我们使用一个动态函数库来重载strcmp函数：

1. 
   
2. /* 文件名：hack1.c */
   
3. #include <stdio.h>
   
4. #include <string.h>
   
5. 
   
6. int strcmp(const char *s1, const char *s2)
   
7. {
   
8.         printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);
   
9.         return 0;
   
10. }
    

复制代码

编译程序：
$ gcc -o verifypasswd verifypasswd.c
$ gcc -shared -o hack.so hack.c


测试一下程序：（得到正确结果）
$ ./verifypasswd asdf
Invalid Password!

设置LD_PRELOAD变量：（使我们重写过的strcmp函数的hack.so成为优先载入链接库）
         $ export LD_PRELOAD="./hack.so"

再次运行程序：
$ ./verifypasswd  asdf
hack function invoked. s1=<password> s2=<asdf>
Correct Password!

被劫持了，但是这种太过于恶劣，如果我们还是先正常的strcmp呢

我们可以看到，1）我们的hack.so中的strcmp被调用了。
              2）主程序中运行结果被影响了。如果这是一个系统登录程序，那么这也就意味着我们用任意口令都可以进入系统了。

被劫持了，但是这种太过于恶劣，如果我们还是想获得用户输入之后正常的strcmp呢

1. 
   
2. /* 文件名：hack2.c */
   
3. #include <stdio.h>
   
4. #include <string.h>
   
5. #include <dlfcn.h>
   
6. 
   
7. int strcmp(const char *s1, const char *s2)
   
8. {
   
9.    int (*hac_strcmp)(const char*, const char*);
   
10. 
    
11.    printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);
    
12. 
    
13.   *(void **)(&hac_strcmp) = dlsym(RTLD_NEXT, "strcmp");
    
14.   if(dlerror()) {
    
15.     errno = EACCES;
    
16.     return -1;
    
17.   }
    
18. 
    
19.    return (*hac_strcmp)(s1, s2);
    
20. }
    

复制代码

dlsym用法不是太懂的大家可以google之!



最后是我自己的测试结果：

1. 
   
2. [root@nfs-server hack]# ls
   
3. hack1.c  hack2.c  test.c
   
4. [root@nfs-server hack]# gcc -Wall -o test test.c
   
5. [root@nfs-server hack]# ./test aaa
   
6. Invalid Password!
   
7. [root@nfs-server hack]# gcc -fPIC -shared -o hack.so hack1.c
   
8. [root@nfs-server hack]# export LD_PRELOAD="./hack.so"
   
9. [root@nfs-server hack]# ./test aaa
   
10. hack function invoked. s1=<password> s2=<aaa>
    
11. Correct Password!
    
12. [root@nfs-server hack]# export LD_PRELOAD=""//大家可以尝试下不加这句的结果^_^
    
13. [root@nfs-server hack]# gcc -fPIC -shared -o hack.so hack2.c -ldl
    
14. [root@nfs-server hack]# ./test aaa
    
15. Invalid Password!
    
16. [root@nfs-server hack]# export LD_PRELOAD=""
    
17. [root@nfs-server hack]# ./test aaa
    
18. Invalid Password!
    
19. [root@nfs-server hack]# export LD_PRELOAD="./hack.so"
    
20. [root@nfs-server hack]# ./test aaa
    
21. hack function invoked. s1=<password> s2=<aaa>
    
22. Invalid Password!
    
23. [root@nfs-server hack]# export LD_PRELOAD=""
    

复制代码

langue

你说的是这个？
http://www.embedded-bits.co.uk/?p=9

皇家救星

不明白为什么会调用hack.so的strcmp  

为什么不是其它名字.so的strcmp

ubuntuer

因为设置了LD_PRELOAD环境变量