איר זוכט פֿאַר LD_PRELOAD

דער צעטל איז געווען געשריבן אין 2014, אָבער איך נאָר געקומען אונטער פאַרשטיקונג אויף Habré און עס האט נישט זען די ליכט פון טאָג. בעשאַס די פאַרבאָט איך פארגעסן וועגן אים, אָבער איצט איך געפונען עס אין די דראַפץ. איך געדאַנק וועגן ויסמעקן עס, אָבער אפֿשר עס וועט זיין נוציק פֿאַר עמעצער.

אין אַלגעמיין, אַ ביסל פרייטאג אַדמין לייענען אויף דער טעמע פון ​​זוכן פֿאַר "אַרייַנגערעכנט" LD_PRELOAD.

1. א קורץ דיגרעשאַן פֿאַר די וואס זענען נישט באַקאַנט מיט פונקציאָנירן סאַבסטיטושאַן

די מנוחה קענען גיין גלייַך צו ז.2.

לאָמיר אָנהייבן מיט אַ קלאַסיש בייַשפּיל:

#include <stdio.h>
#include <stdlib.h>
#include <time.h>

int main()
{
  srand (time(NULL));
  for(int i=0; i<5; i++){
    printf ("%dn", rand()%100);
  }
}

מיר צונויפשטעלנ זיך אָן קיין פלאַגס:

$ gcc ./ld_rand.c -o ld_rand

און, ווי דערוואַרט, מיר באַקומען 5 טראַפ - נומערן ווייניקער ווי 100:

$ ./ld_rand
53
93
48
57
20

אָבער לאָזן אונדז ימאַדזשאַן אַז מיר טאָן ניט האָבן די מקור קאָד פון די פּראָגראַם, אָבער מיר דאַרפֿן צו טוישן די נאַטור.

לאָמיר מאַכן אונדזער אייגענע ביבליאָטעק מיט אונדזער אייגענע פּראָוטאַטייפּ פאַנגקשאַנז, למשל:

int rand(){
  return 42;
}

$ gcc -shared -fPIC ./o_rand.c -o ld_rand.so

און איצט אונדזער טראַפ - ברירה איז גאַנץ פּרידיקטאַבאַל:

# LD_PRELOAD=$PWD/ld_rand.so ./ld_rand
42
42
42
42
42

דער קונץ קוקט אפילו מער ימפּרעסיוו אויב מיר ערשטער אַרויספירן אונדזער ביבליאָטעק דורך

$ export LD_PRELOAD=$PWD/ld_rand.so

אָדער מיר וועלן טאָן עס ערשטער

# echo "$PWD/ld_rand.so" > /etc/ld.so.preload

און דעמאָלט לויפן די פּראָגראַם ווי געוויינטלעך. מיר האָבן נישט פארענדערט אַ איין שורה פון קאָד אין די פּראָגראַם זיך, אָבער זיין נאַטור דעפּענדס איצט אויף אַ קליינטשיק פונקציע אין אונדזער ביבליאָטעק. דערצו, אין דער צייט פון שרייבן דעם פּראָגראַם, די ראַנד האט אפילו נישט עקזיסטירט.

וואָס געמאכט אונדזער פּראָגראַם נוצן אַ שווינדל ראַנד? זאל ס נעמען עס שריט דורך שריט.
ווען אַ אַפּלאַקיישאַן סטאַרץ, עטלעכע לייברעריז זענען לאָודיד וואָס אַנטהאַלטן די פאַנגקשאַנז וואָס די פּראָגראַם דאַרף. מיר קענען זען זיי ניצן לד:

# ldd ./ld_rand
        linux-vdso.so.1 (0x00007ffc8b1f3000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fe3da8af000)
        /lib64/ld-linux-x86-64.so.2 (0x00007fe3daa7e000)

די רשימה קען בייַטן דיפּענדינג אויף די אַס ווערסיע, אָבער עס מוזן זיין אַ טעקע דאָרט libc.so. עס איז די ביבליאָטעק וואָס גיט סיסטעם קאַללס און יקערדיק פאַנגקשאַנז אַזאַ ווי עפענען, malloc, פּרינטף וכו' אונדזערע ראַנד איז אויך צווישן זיי. זאל ס מאַכן זיכער פון דעם:

# nm -D /lib/x86_64-linux-gnu/libc.so.6 | grep " rand$"
000000000003aef0 T rand

זאל ס זען אויב די גאַנג פון לייברעריז ענדערונגען ווען געוויינט LD_PRELOAD

# LD_PRELOAD=$PWD/ld_rand.so ldd ./ld_rand
        linux-vdso.so.1 (0x00007ffea52ae000)
        /scripts/c/ldpreload/ld_rand.so (0x00007f690d3f9000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f690d230000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f690d405000)

עס קוקט ווי די וועריאַבאַלז איז באַשטימט LD_PRELOAD פאָרסעס אונדזער צו מאַסע ld_rand.so אפילו טראָץ דער פאַקט אַז די פּראָגראַם זיך טוט נישט דאַרפן עס. און זינט אונדזער פֿונקציע "ראַנד" לאָודז פריער ווי ראַנד פון libc.so, דעמאל ט הערש ט ז י דע ר רוט .

גוט, מיר געראטן צו פאַרבייַטן די געבוירן פונקציע, אָבער ווי קענען מיר מאַכן זיכער אַז די פאַנגקשאַנאַליטי איז אפגעהיט און עטלעכע אַקשאַנז זענען צוגעגעבן. לאָמיר מאָדיפיצירן אונדזער טראַפ:

#define _GNU_SOURCE
#include <dlfcn.h>
#include <stdio.h>
 
typedef int (*orig_rand_f_type)(void);
 
int rand()
{
  /* Выполняем некий код */
  printf("Evil injected coden");
  
  orig_rand_f_type orig_rand;
  orig_rand = (orig_rand_f_type)dlsym(RTLD_NEXT,"rand");
  return orig_rand();
}

דאָ, ווי אונדזער "צוגעבן", מיר דרוקן בלויז איין שורה פון טעקסט, נאָך וואָס מיר מאַכן אַ טייַטל צו דער אָריגינעל פֿונקציע ראַנד. צו באַקומען די אַדרעס פון דעם פֿונקציע מיר דאַרפֿן dlsym איז אַ פֿונקציע פֿון דער ביבליאָטעק libdlוואָס וועט געפֿינען אונדזער ראַנד אין אַ אָנלייגן פון דינאַמיש לייברעריז. נאָך וואָס מיר וועלן רופן דעם פֿונקציע און צוריקקומען זייַן ווערט. אַקקאָרדינגלי, מיר וועלן דאַרפֿן צו לייגן "-לדל" בעת אסיפה:

$ gcc -ldl -shared -fPIC ./o_rand_evil.c -o ld_rand_evil.so

$ LD_PRELOAD=$PWD/ld_rand_evil.so ./ld_rand
Evil injected code
66
Evil injected code
28
Evil injected code
93
Evil injected code
93
Evil injected code
95

און אונדזער פּראָגראַם ניצט "געבוירן" ראַנד, ווייל פריער געטאן עטלעכע גראָב אַקשאַנז.

2. דער ווייטיק פון זוכן

וויסן וועגן אַ פּאָטענציעל סאַקאָנע, מיר וועלן צו דעטעקט אַז פּרעלאָאַד עס איז געווען געטאן. עס איז קלאָר אַז דער בעסטער וועג צו דעטעקט איז צו שטופּן עס אין די קערן, אָבער איך איז געווען אינטערעסירט אין די דיטעקשאַן אָפּציעס אין באַניצער פּלאַץ.

ווייַטער, סאַלושאַנז פֿאַר דיטעקשאַן און זייער ריפיוטיישאַן וועט קומען אין פּערז.

2.1. זאל ס אָנהייבן פּשוט

ווי דערמאנט פריער, איר קענען ספּעציפיצירן די ביבליאָטעק צו מאַסע מיט די בייַטעוודיק LD_PRELOAD אָדער דורך שרייבן עס אין אַ טעקע /etc/ld.so.preload. לאָמיר מאַכן צוויי פּשוט דעטעקטאָרס.

דער ערשטער איז צו קאָנטראָלירן די באַשטעטיקט סוויווע בייַטעוודיק:

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>

int main()
{
  char*  pGetenv = getenv("LD_PRELOAD");
  pGetenv != NULL ?
    printf("LD_PRELOAD (getenv) [+]n"):
    printf("LD_PRELOAD (getenv) [-]n");
}

די רגע איז צו קאָנטראָלירן צי די טעקע איז געעפנט:

#include <stdio.h>
#include <fcntl.h>

int main()
{
  open("/etc/ld.so.preload", O_RDONLY) != -1 ?
    printf("LD_PRELOAD (open) [+]n"):
    printf("LD_PRELOAD (open) [-]n");
}

לאָמיר לאָדן די ביבליאָטעקן:

$ export LD_PRELOAD=$PWD/ld_rand.so
$ echo "$PWD/ld_rand.so" > /etc/ld.so.preload

$ ./detect_base_getenv
LD_PRELOAD (getenv) [+]
$ ./detect_base_open
LD_PRELOAD (open) [+]

דאָ און אונטן, [+] ינדיקייץ אַ מצליח דיטעקשאַן.
אַקקאָרדינגלי, [-] מיטל בייפּאַסינג דיטעקשאַן.

ווי עפעקטיוו איז אַזאַ אַ דעטעקטאָר? זאל ס נעמען אַ קוק אין די סוויווע וועריאַבאַל ערשטער:

#define _GNU_SOURCE
#include <stdio.h>
#include <string.h>
#include <dlfcn.h>

char* (*orig_getenv)(const char *) = NULL;
char* getenv(const char *name)
{
    if(!orig_getenv) orig_getenv = dlsym(RTLD_NEXT, "getenv");
    if(strcmp(name, "LD_PRELOAD") == 0) return NULL;
    return orig_getenv(name);
}

$ gcc -shared -fpic -ldl ./ld_undetect_getenv.c -o ./ld_undetect_getenv.so
$ LD_PRELOAD=./ld_undetect_getenv.so ./detect_base_getenv
LD_PRELOAD (getenv) [-]

סימילאַרלי, מיר באַקומען באַפרייַען פון די טשעק עפענען:

#define _GNU_SOURCE
#include <string.h>
#include <stdlib.h>
#include <dlfcn.h>
#include <errno.h>

int (*orig_open)(const char*, int oflag) = NULL;

int open(const char *path, int oflag, ...)
{
    char real_path[256];
    if(!orig_open) orig_open = dlsym(RTLD_NEXT, "open");
    realpath(path, real_path);
    if(strcmp(real_path, "/etc/ld.so.preload") == 0){
        errno = ENOENT;
        return -1;
    }
    return orig_open(path, oflag);
}

$ gcc -shared -fpic -ldl ./ld_undetect_open.c -o ./ld_undetect_open.so
$ LD_PRELOAD=./ld_undetect_open.so ./detect_base_open
LD_PRELOAD (open) [-]

יאָ, אנדערע וועגן צו אַקסעס די טעקע קענען זיין געוויינט דאָ, אַזאַ ווי, open64, מעדינע אאז"ו ו, אָבער, אין פאַקט, די זעלבע 5-10 שורות פון קאָד זענען דארף צו אָפּנאַרן זיי.

2.2. לאמיר ווייטער גיין

אויבן מיר געוויינט געטענוו() צו באַקומען די ווערט LD_PRELOAD, אָבער עס איז אויך אַ מער "נידעריק מדרגה" וועג צו באַקומען צו ENV- וועריאַבאַלז. מיר וועלן נישט נוצן ינטערמידייט פאַנגקשאַנז, אָבער אָפּשיקן צו די מענגע **סביב, וואָס סטאָרז אַ קאָפּיע פון ​​​​די סוויווע:

#include <stdio.h>
#include <string.h>

extern char **environ;
int main(int argc, char **argv) {
  int i;
  char env[] = "LD_PRELOAD";
  if (environ != NULL)
    for (i = 0; environ[i] != NULL; i++)
    {
      char * pch;
      pch = strstr(environ[i],env);
      if(pch != NULL)
      {
        printf("LD_PRELOAD (**environ) [+]n");
        return 0;
      }
    }
  printf("LD_PRELOAD (**environ) [-]n");
  return 0;
}

זינט דאָ מיר לייענען דאַטן גלייַך פון זכּרון, אַזאַ אַ רופן קענען ניט זיין ינטערסעפּטאַד, און אונדזער undetect_getenv עס שטערט ניט מער צו ידענטיפיצירן די ינטרוזשאַן.

$ LD_PRELOAD=./ld_undetect_getenv.so ./detect_environ
LD_PRELOAD (**environ) [+]

עס וואָלט ויסקומען אַז דעם פּראָבלעם איז סאַלווד? עס ס נאָך נאָר אָנהייב.

נאָך די פּראָגראַם איז סטאַרטעד, די ווערט פון די בייַטעוודיק LD_PRELOAD כאַקערז ניט מער דאַרפֿן עס אין זכּרון, דאָס איז, זיי קענען לייענען עס און ויסמעקן עס איידער עקסאַקיוטינג קיין ינסטראַקשאַנז. פון קורס, עדיטינג אַ מענגע אין זיקאָרן איז, בייַ אַ מינימום, אַ שלעכט פּראָגראַממינג סטיל, אָבער ווי קען דאָס האַלטן עמעצער וואס טוט נישט טאַקע ווינטשן אונדז געזונט סייַ ווי סייַ?

צו טאָן דאָס, מיר דאַרפֿן צו שאַפֿן אונדזער אייגענע שווינדל פונקציע אין דעם(), אין וואָס מיר ינטערסעפּט די אינסטאַלירן LD_PRELOAD און שיקן עס צו אונדזער לינקער:

#define _GNU_SOURCE
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <dlfcn.h>
#include <stdlib.h>

extern char **environ;
char *evil_env;
int (*orig_execve)(const char *path, char *const argv[], char *const envp[]) = NULL;


// Создаём фейковую версию init
// которая будет вызвана при загрузке программы
// до выполнения каких-либо инструкций

void evil_init()
{
  // Сначала сохраним текущее значение LD_PRELOAD
  static const char *ldpreload = "LD_PRELOAD";
  int len = strlen(getenv(ldpreload));
  evil_env = (char*) malloc(len+1);
  strcpy(evil_env, getenv(ldpreload));

  int i;
  char env[] = "LD_PRELOAD";
  if (environ != NULL)
    for (i = 0; environ[i] != NULL; i++) {
      char * pch;
      pch = strstr(environ[i],env);
      if(pch != NULL) {
        // Избавляемся от текущего LD_PRELOAD
        unsetenv(env);
        break;
      }
    }
}

int execve(const char *path, char *const argv[], char *const envp[])
{
  int i = 0, j = 0, k = -1, ret = 0;
  char** new_env;
  if(!orig_execve) orig_execve = dlsym(RTLD_NEXT,"execve");

  // Проверям не существует ли других установленных LD_PRELOAD
  for(i = 0; envp[i]; i++){
    if(strstr(envp[i], "LD_PRELOAD")) k = i;
  }
  // Если LD_PRELOAD не было установлено до нас, то добавим его
  if(k == -1){
    k = i;
    i++;
  }
  // Создаём новое окружение
  new_env = (char**) malloc((i+1)*sizeof(char*));

  // Копируем старое окружение, за исключением LD_PRELOAD
  for(j = 0; j < i; j++) {
    // перезаписываем или создаём LD_PRELOAD
    if(j == k) {
      new_env[j] = (char*) malloc(256);
      strcpy(new_env[j], "LD_PRELOAD=");
      strcat(new_env[j], evil_env);
    }
    else new_env[j] = (char*) envp[j];
  }
  new_env[i] = NULL;
  ret = orig_execve(path, argv, new_env);
  free(new_env[k]);
  free(new_env);
  return ret;
}

מיר ויספירן און קאָנטראָלירן:

$ gcc -shared -fpic -ldl -Wl,-init,evil_init  ./ld_undetect_environ.c -o ./ld_undetect_environ.so
$ LD_PRELOAD=./ld_undetect_environ.so ./detect_environ
LD_PRELOAD (**environ) [-]

2.3. /proc/self/

אָבער, זכּרון איז נישט די לעצטע אָרט ווו איר קענען געפֿינען אַ סאַבסטיטושאַן LD_PRELOAD, עס איז אויך /פּראָק/. זאל ס אָנהייבן מיט די קלאָר ווי דער טאָג /פּראָק/{PID}/ענוויראָן.

אין פאַקט, עס איז אַ וניווערסאַל לייזונג פֿאַר אַנדיטעקט **סביב и /proc/self/environ. די פּראָבלעם איז די "פאַלש" נאַטור unsetenv (env).

ריכטיק אָפּציע

void evil_init()
{
  // Сначала сохраним текущее значение LD_PRELOAD
  static const char *ldpreload = "LD_PRELOAD";
  int len = strlen(getenv(ldpreload));
  evil_env = (char*) malloc(len+1);
  strcpy(evil_env, getenv(ldpreload));
 
  int i;
  char env[] = "LD_PRELOAD";
  if (environ != NULL)
    for (i = 0; environ[i] != NULL; i++) {
      char * pch;
      pch = strstr(environ[i],env);
      if(pch != NULL) {
        // Избавляемся от текущего LD_PRELOAD 
        //unsetenv(env);
        // Вместо unset просто обнулим нашу переменную
        for(int j = 0; environ[i][j] != ' '; j++) environ[i][j] = ' ';
        break;
      }
    }
}

$ gcc -shared -fpic -ldl -Wl,-init,evil_init  ./ld_undetect_environ_2.c -o ./ld_undetect_environ_2.so
$ (LD_PRELOAD=./ld_undetect_environ_2.so cat /proc/self/environ; echo) | tr " 00" "n" | grep -F LD_PRELOAD
$

אבער לאמיר זיך פארשטעלן אז מיר האבן עס נישט געפונען און /proc/self/environ כּולל "פּראָבלעמאַטיק" דאַטן.

לאמיר קודם פרובירן מיט אונזער פריערדיגער "פאַרשטעלונג":

$ (LD_PRELOAD=./ld_undetect_environ.so cat /proc/self/environ; echo) | tr " 00" "n" | grep -F LD_PRELOAD
LD_PRELOAD=./ld_undetect_environ.so

קאַץ ניצט די זעלבע צו עפענען די טעקע עפענען (), אַזוי די לייזונג איז ענלעך צו וואָס איז שוין געטאן אין אָפּטיילונג 2.1, אָבער איצט מיר מאַכן אַ צייַטווייַליק טעקע ווו מיר נאָכמאַכן די וואַלועס פון די אמת זכּרון אָן שורות מיט LD_PRELOAD.

#define _GNU_SOURCE
#include <dlfcn.h>

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <fcntl.h>
#include <sys/stat.h>
#include <unistd.h>
#include <limits.h>
#include <errno.h>

#define BUFFER_SIZE 256

int (*orig_open)(const char*, int oflag) = NULL;
char *soname = "fakememory_preload.so";

char *sstrstr(char *str, const char *sub)
{
  int i, found;
  char *ptr;
  found = 0;
  for(ptr = str; *ptr != ' '; ptr++) {
    found = 1;
    for(i = 0; found == 1 && sub[i] != ' '; i++){
      if(sub[i] != ptr[i]) found = 0;
    }
    if(found == 1)
      break;
  }
  if(found == 0)
    return NULL;
  return ptr + i;
}

void fakeMaps(char *original_path, char *fake_path, char *pattern)
{
  int fd;
  char buffer[BUFFER_SIZE];
  int bytes = -1;
  int wbytes = -1;
  int k = 0;

  pid_t pid = getpid();

  int fh;
  if ((fh=orig_open(fake_path,O_CREAT|O_WRONLY))==-1) {
    printf("LD: Cannot open write-file [%s] (%d) (%s)n", fake_path, errno, strerror(errno));
    exit (42);
  }
  if((fd=orig_open(original_path, O_RDONLY))==-1) {
    printf("LD: Cannot open read-file.n");
    exit(42);
  }
  do
  {
    char t = 0;
    bytes = read(fd, &t, 1);
    buffer[k++] = t;
    //printf("%c", t);
    if(t == ' ') {
      //printf("n");
  
      if(!sstrstr(buffer, "LD_PRELOAD")) {
        if((wbytes = write(fh,buffer,k))==-1) {
          //printf("write errorn");
        }
        else {
          //printf("writed %dn", wbytes);
        }
      }
      k = 0;
    }
  }
  while(bytes != 0);
    
  close(fd);
  close(fh);
}

int open(const char *path, int oflag, ...)
{
  char real_path[PATH_MAX], proc_path[PATH_MAX], proc_path_0[PATH_MAX];
  pid_t pid = getpid();
  if(!orig_open)
  orig_open = dlsym(RTLD_NEXT, "open");
  realpath(path, real_path);
  snprintf(proc_path, PATH_MAX, "/proc/%d/environ", pid);
  
  if(strcmp(real_path, proc_path) == 0) {
    snprintf(proc_path, PATH_MAX, "/tmp/%d.fakemaps", pid);
    realpath(proc_path_0, proc_path);
    
    fakeMaps(real_path, proc_path, soname);
    return orig_open(proc_path, oflag);
  }
  return orig_open(path, oflag);
}

און דעם בינע איז דורכגעגאנגען:

$ (LD_PRELOAD=./ld_undetect_proc_environ.so cat /proc/self/environ; echo) | tr " 00" "n" | grep -F LD_PRELOAD
$

דער ווייַטער קלאָר ווי דער טאָג אָרט איז /proc/self/maps. עס איז קיין פונט צו וווינען אויף אים. די לייזונג איז לעגאַמרע יידעניקאַל צו די פריערדיקע: נאָכמאַכן די דאַטן פֿון דער טעקע מינוס די שורות צווישן libc.so и ld.so.

2.4. אָפּציע פֿון Chokepoint

איך ספּעציעל לייקט דעם לייזונג פֿאַר זייַן פּאַשטעס. מיר פאַרגלייַכן די אַדרעסעס פון פאַנגקשאַנז לאָודיד גלייַך פֿון libc, און "ווייַטער" ווענדט.

#define _GNU_SOURCE

#include <stdio.h>
#include <dlfcn.h>

#define LIBC "/lib/x86_64-linux-gnu/libc.so.6"

int main(int argc, char *argv[]) {
  void *libc = dlopen(LIBC, RTLD_LAZY); // Open up libc directly
  char *syscall_open = "open";
  int i;
  void *(*libc_func)();
  void *(*next_func)();
  
  libc_func = dlsym(libc, syscall_open);
  next_func = dlsym(RTLD_NEXT, syscall_open);
  if (libc_func != next_func) {
    printf("LD_PRELOAD (syscall - %s) [+]n", syscall_open);
    printf("Libc address: %pn", libc_func);
    printf("Next address: %pn", next_func);
  }
  else {
    printf("LD_PRELOAD (syscall - %s) [-]n", syscall_open);
  }
  return 0;
}

לאָודינג די ביבליאָטעק מיט ינטערסעפּשאַן "עפענען ()" און טשעק:

$ export LD_PRELOAD=$PWD/ld_undetect_open.so
$ ./detect_chokepoint
LD_PRELOAD (syscall - open) [+]
Libc address: 0x7fa86893b160
Next address: 0x7fa868a26135

די ריפיוטיישאַן איז געווען נאָך סימפּלער:

#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <dlfcn.h>

extern void * _dl_sym (void *, const char *, void *);
void * dlsym (void * handle, const char * symbol)
{
  return _dl_sym (handle, symbol, dlsym);
}

# LD_PRELOAD=./ld_undetect_chokepoint.so ./detect_chokepoint
LD_PRELOAD (syscall - open) [-]

2.5. סיסקאַללס

עס וואָלט ויסקומען אַז דאָס איז אַלע, אָבער מיר וועלן נאָך פלאָונדער. אויב מיר פירן די סיסטעם רופן גלייַך צו די קערן, דאָס וועט בייפּאַס די גאנצע ינטערסעפּשאַן פּראָצעס. די לייזונג אונטן איז, פון קורס, אַרקאַטעקטשער-אָפענגיק (קס 86_64). זאל ס פּרובירן צו ינסטרומענט עס צו דעטעקט אַ עפן ld.so.preload.

#include <stdio.h>
#include <sys/stat.h>
#include <fcntl.h>

#define BUFFER_SIZE 256

int syscall_open(char *path, long oflag)
{
    int fd = -1;
    __asm__ (
             "mov $2, %%rax;" // Open syscall number
             "mov %1, %%rdi;" // Address of our string
             "mov %2, %%rsi;" // Open mode
             "mov $0, %%rdx;" // No create mode
             "syscall;"       // Straight to ring0
             "mov %%eax, %0;" // Returned file descriptor
             :"=r" (fd)
             :"m" (path), "m" (oflag)
             :"rax", "rdi", "rsi", "rdx"
             );
    return fd;
 }
int main()
{
    syscall_open("/etc/ld.so.preload", O_RDONLY) > 0 ?
      printf("LD_PRELOAD (open syscall) [+]n"):
      printf("LD_PRELOAD (open syscall) [-]n");
        
}

$ ./detect_syscall
LD_PRELOAD (open syscall) [+]

און דעם פּראָבלעם האט אַ לייזונג. אויסצוג פון מענטש'א:

ptrace איז אַ געצייַג וואָס אַלאַוז אַ פאָטער פּראָצעס צו אָבסערווירן און קאָנטראָלירן די פּראָגרעס פון אן אנדער פּראָצעס, קוק און טוישן די דאַטן און רעדזשיסטערז. טיפּיקאַללי, דעם פֿונקציע איז געניצט צו שאַפֿן ברעאַקפּאָינץ אין אַ דיבאַגינג פּראָגראַם און מאָניטאָר סיסטעם קאַללס.

דער פאָטער פּראָצעס קענען אָנהייבן טרייסינג דורך ערשטער רופן גאָפּל (2), און דער ריזאַלטינג קינד פּראָצעס קענען ויספירן PTRACE_TRACEME, נאכגעגאנגען (יוזשאַוואַלי) דורך עקסאַקיוטינג עקסעק (3). אויף די אנדערע האַנט, אַ פאָטער פּראָצעס קענען אָנהייבן דיבאַגינג אַ יגזיסטינג פּראָצעס ניצן PTRACE_ATTACH.

ווען טרייסינג, דער קינד פּראָצעס סטאַפּס יעדער מאָל עס נעמט אַ סיגנאַל, אַפֿילו אויב דער סיגנאַל איז איגנאָרירט. (די ויסנעם איז SIGKILL, וואָס אַרבעט נאָרמאַלי.) דער פאָטער פּראָצעס וועט זיין נאָוטאַפייד פון דעם דורך רופן וואַרטן (2), נאָך וואָס עס קענען זען און מאָדיפיצירן די אינהאַלט פון די קינד פּראָצעס איידער עס סטאַרץ. דער פאָטער פּראָצעס דערנאָך אַלאַוז די קינד צו פאָרזעצן פליסנדיק, אין עטלעכע קאַסעס יגנאָרינג די סיגנאַל געשיקט צו אים אָדער שיקן אן אנדער סיגנאַל אַנשטאָט).

אזוי, די לייזונג איז צו מאָניטאָר דעם פּראָצעס, סטאָפּפּינג עס איידער יעדער סיסטעם רופן און, אויב נייטיק, רידערעקט די פאָדעם צו אַ קרוק פונקציע.

#define _GNU_SOURCE
#include <fcntl.h>
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <errno.h>
#include <limits.h>
#include <sys/ptrace.h>
#include <sys/wait.h>
#include <sys/reg.h>
#include <sys/user.h>
#include <asm/unistd.h>


#if defined(__x86_64__)
#define REG_SYSCALL ORIG_RAX
#define REG_SP rsp
#define REG_IP rip 
#endif

long NOHOOK = 0;

long evil_open(const char *path, long oflag, long cflag) 
{
    char real_path[PATH_MAX], maps_path[PATH_MAX];
    long ret;
    pid_t pid;
    pid = getpid();
    realpath(path, real_path);
    if(strcmp(real_path, "/etc/ld.so.preload") == 0)
    {
        errno = ENOENT;
        ret = -1;
    }
    else
    {
        NOHOOK = 1; // Entering NOHOOK section
        ret = open(path, oflag, cflag);
    }
    // Exiting NOHOOK section
    NOHOOK = 0;
    return ret;
}

void init()
{
    pid_t program;
    // Форкаем дочерний процесс
    program = fork();
    if(program != 0) {
        int status;
        long syscall_nr;
        struct user_regs_struct regs;
        // Подключаемся к дочернему процессу
        if(ptrace(PTRACE_ATTACH, program) != 0) {
            printf("Failed to attach to the program.n");
            exit(1);
        }
        waitpid(program, &status, 0);
        // Отслеживаем только SYSCALLs
        ptrace(PTRACE_SETOPTIONS, program, 0, PTRACE_O_TRACESYSGOOD);
        while(1) {
            ptrace(PTRACE_SYSCALL, program, 0, 0);
            waitpid(program, &status, 0);
            if(WIFEXITED(status) || WIFSIGNALED(status)) break;
            else if(WIFSTOPPED(status) && WSTOPSIG(status) == SIGTRAP|0x80) {
                // Получаем номер системного вызова
                syscall_nr = ptrace(PTRACE_PEEKUSER, program, sizeof(long)*REG_SYSCALL);
                if(syscall_nr == __NR_open) {
                    // Читаем слово из памяти дочернего процесса
                    NOHOOK = ptrace(PTRACE_PEEKDATA, program, (void*)&NOHOOK);
                    // Перехватываем вызов
                    if(!NOHOOK) {
                        
                        // Копируем регистры дочернего процесса
                        // в переменную regs родительского
                        ptrace(PTRACE_GETREGS, program, 0, &regs);
                        // Push return address on the stack
                        regs.REG_SP -= sizeof(long);
                        // Копируем слово в память дочернего процесса
                        ptrace(PTRACE_POKEDATA, program, (void*)regs.REG_SP, regs.REG_IP);
                        // Устанавливаем RIP по адресу evil_open
                        regs.REG_IP = (unsigned long) evil_open;
                        // Записываем состояние регистров процесса
                        ptrace(PTRACE_SETREGS, program, 0, &regs);
                    }
                }
                ptrace(PTRACE_SYSCALL, program, 0, 0);
                waitpid(program, &status, 0);
            }
        }
        exit(0);
    }
    else {
        sleep(0);
    }
}

מיר קאָנטראָלירן:

$ ./detect_syscall
LD_PRELOAD (open syscall) [+]
$ LD_PRELOAD=./ld_undetect_syscall.so ./detect_syscall
LD_PRELOAD (open syscall) [-]

+0-0=5

א גרויסן ש 'כח

Charles Hubain
דערשטיקן פונט
ValdikSS
Philippe Teuwen
דערהאַסס

, וועמענס ארטיקלען, קוואלן און קאמענטארן האבן אסאך מער געטון ווי איך האב געטון די דאזיקע הערה צו דערשינען דא.

מקור: www.habr.com