code injection
有很多文章关于代码注入,主要过程是用ptrace系统调用attach一个进程,注入代码(shellcode),然后再detach该进程使得被注入 的代码得以执行。通常注入的代码被存放于堆栈中,因为它的大小可以动态调整,并且这些``蛛丝马迹''执行后可以被后续过程调用擦除。然而现代CPU(如 Intel IA32)都包含了NX位,即可修改内存不可执行(writable xor executable),这使得大部分注入到stack中的shellcode都无法运行,从而提高了系统的安全性。
有许多方法可以绕过该限制,比如: return to libc。作为代码注入的示例,我们可以直接将代码注入到EIP指向的内存区域:
if (ptrace(PTRACE_ATTACH, pid, NULL, NULL) == -1) {
perror("ptrace failed");
exit(-1);
}
waitpid(pid, NULL, 0);
printf("[1] - Process attached\n");
if (ptrace(PTRACE_GETREGS, pid, NULL, ®s)!=-1) {
printf("[2] - Extract register eip (0x%.8x)\n", regs.eip);
for (i=0; i ptrace(PTRACE_POKEDATA, pid, regs.eip+i, *(int*)(injected_code+i));
printf("[3] - Code inserted\n");
}
ptrace(PTRACE_DETACH, pid, NULL, NULL);
printf("[4] - Running Code\n");
其 中injected_code即为shellcode首地址,一般以汇编语言书写,如上例as风格汇编代码(当然一般是exece("/bin/sh", ["/bin/sh", NULL], NULL)。由于被注入进程的文本段被修改,这样该进程的行为被修改,这并不是一个好主意。这里仅仅是代码注入的一个简单示例罢了。
INJECTED_LEN是被注入代码的字节长度,可以由size命令获得。
有许多方法可以绕过该限制,比如: return to libc。作为代码注入的示例,我们可以直接将代码注入到EIP指向的内存区域:
if (ptrace(PTRACE_ATTACH, pid, NULL, NULL) == -1) {
perror("ptrace failed");
exit(-1);
}
waitpid(pid, NULL, 0);
printf("[1] - Process attached\n");
if (ptrace(PTRACE_GETREGS, pid, NULL, ®s)!=-1) {
printf("[2] - Extract register eip (0x%.8x)\n", regs.eip);
for (i=0; i
printf("[3] - Code inserted\n");
}
ptrace(PTRACE_DETACH, pid, NULL, NULL);
printf("[4] - Running Code\n");
其 中injected_code即为shellcode首地址,一般以汇编语言书写,如上例as风格汇编代码(当然一般是exece("/bin/sh", ["/bin/sh", NULL], NULL)。由于被注入进程的文本段被修改,这样该进程的行为被修改,这并不是一个好主意。这里仅仅是代码注入的一个简单示例罢了。
INJECTED_LEN是被注入代码的字节长度,可以由size命令获得。
Labels: Linux, programming, ptrace
0 Comments:
Post a Comment
Subscribe to Post Comments [Atom]
<< Home