一、背景
ptrace是Unix系列系统的系统调用之一。其主要功能是实现对进程的追踪。对目标进程,进行流程控制,用户寄存器值读取&写入操作,内存进行读取&修改。这样的特性,就非常适合,用于编写实现,远程代码注入。大部分的病毒会使用到这一点,实现,自用空间注入,rip位置直接注入,text段与data段之间的空隙注入。
二、主要流程
实验使用的方式是,直接rip位置代码注入。注入的shellcode,主要实现,使用syscall,进行系统调用。调用mmap(),在目标进程的0x00100000地址位置,申请8192大小的内存空间,将指定的注入程序,注入到这申请的空间中。并且将rip调整至其entry入口地址。
- attach目标进程。
- 读取user_reg,获取rip的值。
- 将shellcode注入到rip位置。
- 使用PTRACE_CONT参数,恢复程序执行。
- 当shellcode执行完成mmap匿名内存空间申请成功后。发送int3中断信号给追踪进程。
- 将要注入的elf可执行文件open,并且read(注意read要64位对齐)到缓冲区。
- PTRACE_POKE将elf可执行文件写入到被注入进程shellcode创建的内存空间上。
- 读写user_reg将rip设置到elf可执行文件的入口点,也就是:mmap申请内存的起始地址+phdr->entry。
- 使用PTRACE_CONT参数,恢复程序执行,完成注入。
三、代码实现
GitHub : https://github.com/HotIce0/code_injection
- code_injection.c 代码注入的执行程序
- inject_me.c 被执行远程注入的程序
- test.c 要注入elf可执行程序
四、重点
- gcc -fpie -pie 用于生产与位置无关的目标代码。
- gcc -nostdlib 用于生成,不使用标准链接库的代码。
- #define WORD_ALIGN(x) ((x + 7) & ~7) 用于64位对齐。因为,在64位的ptrace的文档中说明,PTRACE_POKE && PTRACE_PEEK一次操作的内存大小是64位,使用malloc申请的内存空间如果不是64位的整数倍,可能会出现内存非法访问。segement fault。
// Open specify ELF file.
fd = open(h.exec, O_RDONLY);
// Read file status.
if (fstat(fd, &st)) {
perror("fstat");
exit(-1);
}
h.mem = (u_int8_t *)malloc(WORD_ALIGN(st.st_size));
4.在injection_code()函数中,要使用write输出到屏幕一段字符串,如果直接“mmap _”,这段数据将会存储到strtab节中,这会导致,输出时,无法正常显示,因为,strtab的数据并没有写入目标进程中。
所以,这里我使用的是字符串数组,这样存储在栈中。
5.这里并没有采用常用的shellcode一样的字节码,而是,直接将编译好的代码,读取,写入到目标进程。计算函数的大小,也是通过,直接injection_code()下面的函数,减去injection_code。函数名即函数指针。
6.其中的block_print()函数,对功能实现是无用的,只是我调试代码时编写的。Elf64_Addr get_text_segment_addr_by_pid(pid_t pid) 这个函数是用于,如果代码注入位置的是text段的起始位置时用到的。由于我是直接注入到rip所在位置,所以,就没用到。