红队实战 | linux 进程注入详解和实例

2024-11-28 80 0

前言

进程注入技术是网络安全领域中攻击者的重要工具,它们可以让威胁行为者在合法进程中运行恶意代码,从而避开安全检测,或者通过在远程进程中设置钩子来操控其行为。在 Windows 系统中,这一主题已经被广泛研究并得到了深入理解。然而,在 Linux 系统中,尽管已有一些优秀的研究资源,但对于进程注入技术的认识仍显不足,尤其是与 Windows 系统相比。

本文将聚焦于“真正的进程注入”技术,即针对实时运行进程的注入方法,而非涉及修改磁盘上的二进制文件、利用特定环境变量或借助进程加载进程的方式。

文章中将探讨 Linux 操作系统中支持进程注入的核心功能,以及基于这些功能构建的各种注入技术,包括先前已描述的方法和新发现的变体。此外,我们还将提供检测和缓解这些技术的策略,以帮助防御者应对潜在的威胁。

在 Windows 和 Linux 之间,进程注入技术的实现方式有着显著差异。Windows 提供了多种接口和 API,使得攻击者能够轻松与远程进程交互并实现复杂的注入操作。而在 Linux 中,系统调用的种类相对有限,远程内存分配、内存保护修改以及线程创建等功能均无直接支持。正因如此,Linux 进程注入的流程更倾向于通过覆盖现有内存、执行代码并恢复原始状态的方式实现。本文将对这些差异进行详细分析,期望为读者提供深入的理解和实践指导。

远程进程交互方法

在 Linux 中,与远程进程内存的交互仅限于三种主要方法:ptrace、procfs和process_vm_writev。以下各节对它们分别进行了简要介绍。

ptrace

ptrace是用于调试远程进程的系统调用。启动进程能够检查和修改被调试进程的内存和寄存器。GDB 等调试器就是使用 ptrace 实现的,用于控制被调试进程。

ptrace 支持不同的操作,这些操作由ptrace请求代码指定— 一些值得注意的示例包括 PTRACE_ATTACH(附加到进程)、PTRACE_PEEKTEXT(从进程内存读取)和 PTRACE_GETREGS(检索进程寄存器)。

使用 ptrace 检索远程进程的寄存器的示例:

// Attach to the remote process
  ptrace(PTRACE_ATTACH, pid, NULL, NULL);
  wait(NULL);

  // Get registers state
  struct user_regs_struct regs;
  ptrace(PTRACE_GETREGS, pid, NULL, &ampregs);

procfs

procfs是一个特殊的伪文件系统,充当系统上运行进程的接口。它可以通过 /proc 目录访问。

红队实战 | linux 进程注入详解和实例插图

每个进程都表示为一个目录,根据其 PID 命名。在此目录下,我们可以找到提供有关该进程的信息的文件。例如,cmdline文件包含进程命令行,environ文件包含进程环境变量,等等。

procfs 还为我们提供了与远程进程内存交互的能力。在每个进程目录中,我们都会找到mem文件,这是一个代表进程整个地址空间的特殊文件。访问给定偏移量的进程的 mem 文件相当于访问相同地址的进程内存。

在下图的示例中,我们使用 xxd 实用程序从进程 mem 文件中读取 100 个字节,从指定的偏移量开始。

红队实战 | linux 进程注入详解和实例插图1

如果我们使用 GDB 检查内存中的相同地址,我们会注意到内容是相同的

红队实战 | linux 进程注入详解和实例插图2

地图文件是另一个有趣的文件,可以在进程目录中找到。此文件包含有关进程地址空间中不同内存区域的信息,包括其地址范围和内存权限。

红队实战 | linux 进程注入详解和实例插图3

在接下来的部分中,我们将看到识别具有特定权限的内存区域的能力如何非常有用。

process_vm_writev

与远程进程内存交互的第三种方法是process_vm_writev系统调用。此系统调用允许将数据写入远程进程的地址空间。

process_vm_writev 接收指向本地缓冲区的指针,并将其内容复制到远程进程内的指定地址。下面显示了 process_vm_writev 的使用示例。

// Initialize local and remote iovec structs used to perform the syscall
  struct iovec local[1];
  struct iovec remote[1];

  // Place our data in the local iovec 
  local[0].iov_base = data;
  local[0].iov_len = data_len;

  // Point the remote iovec to the address in the remote process
  remote[0].iov_base = (void *)remote_address;
  remote[0].iov_len = data_len;

  // Write the local data to the remote address
  process_vm_writev(pid, local, 1, remote, 1, 0);

将代码写入远程进程

现在我们了解了与其他进程交互的不同方法,让我们看看如何使用它们来执行代码注入。注入攻击的第一步是将我们的 shellcode 写入远程进程内存。正如我们所提到的,在 Linux 中没有直接的方法在远程进程中分配新内存。这意味着我们无法创建新的内存部分;我们必须利用目标进程的现有内存。

为了使代码能够运行,我们需要将其写入具有执行权限的内存区域。我们可以通过解析前面提到的 procfs 映射文件并识别具有执行 (x) 权限的内存区域来找到这样的区域。

红队实战 | linux 进程注入详解和实例插图4

我们可能会遇到两种类型的可执行区域:可写和不可写。以下部分将展示何时以及如何使用它们。

将代码写入 RX 内存

适用于:ptrace、procfs mem

理想情况下,我们希望确定一个具有写入和执行权限的内存区域,这将允许我们编写代码并执行它。实际上,大多数进程都不会有具有此类权限的区域,因为分配 WX 内存被认为是一种不好的做法。相反,我们通常会被限制为读取和执行权限。

有趣的是,事实证明,可以使用我们刚刚描述的两种方法(ptrace 和 procfs mem)来突破这一限制。这两种机制的实现方式都允许它们绕过内存权限并写入任何地址,甚至无需写入权限。

这意味着,无论写入权限如何,我们始终可以使用 ptrace 或 procfs mem 将我们的代码写入远程可执行内存区域。

跟踪

要将我们的有效载荷写入远程进程,我们可以使用 POKETEXT 或 POKEDATA ptrace 请求 - 这些相同的请求允许将一个字的数据写入远程进程内存。通过反复调用它们,我们可以将整个有效载荷复制到目标进程内存中。

使用 ptrace POKETEXT 将我们的 payload 写入远程进程内存:

ptrace(PTRACE_ATTACH, pid, NULL, NULL);
  wait(NULL);

  // write payload to remote address
  for (size_t i = 0; i < payload_size; i += 8, payload++) 
  {
    ptrace(PTRACE_POKETEXT, pid, address + i, *payload);
  }

进程内存

要使用 procfs 将有效载荷写入远程进程,我们只需将其写入正确偏移量的 mem 文件中。对 mem 文件所做的任何更改都会应用于进程内存。要执行这些操作,我们可以使用常规文件 API。

使用 procfs mem 文件将数据写入远程进程内存:

// Open the process mem file
  FILE *file = fopen("/proc/<pid>/mem", "w");

  // Set the file index to our required offset, representing the memory address
  fseek(file, address, SEEK_SET);

  // Write our payload to the mem file
  fwrite(payload, sizeof(char), payload_size, 

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

海外的bug-hunters,不一样的403bypass
java代码审计 | struts2框架路由详解
电子数据取证 | 一次电子数据取证的尝试与反思
结合ppid欺骗和远线程注入实现dll挖空
从何同学视频看开源协议的重要性
技术实践 | 通过大模型解决高危WEB应用识别问题

发布评论