劫持函数调用

Question

看到有个帖子讨论劫持fork的问题，godbach的内核系统调用的问题，其实我以前分析过adore-ng的源码很好的诠释了以VFS机制来劫持内核系统调用，在CU也可以收到！可以很好的劫持系统调用，说到这里就想能不能劫持诸如GLIBC的函数呢....

我们先从下面一段例程：

2. /* 文件名：verifypasswd.c */
3. /* 这是一段判断用户口令的程序，其中使用到了标准C函数strcmp*/
5. #include <stdio.h>
6. #include <string.h>
9. int main(int argc, char **argv)
10. {
11. char passwd[] = "password";
13. if (argc < 2) {
14.         printf("usage: %s <password>\n", argv[0]);
15.         return -1;
16. }
18. if (!strcmp(passwd, argv[1])) {
19.         printf("Correct Password!\n");
20.         return 1;
21. }
23. printf("Invalid Password!\n");
24. return 0;
25. }

复制代码

在上面这段程序中，我们使用了strcmp函数来判断两个字符串是否相等。下面，我们使用一个动态函数库来重载strcmp函数：

2. /* 文件名：hack1.c */
3. #include <stdio.h>
4. #include <string.h>
6. int strcmp(const char *s1, const char *s2)
7. {
8.         printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);
9.         return 0;
10. }

复制代码

编译程序：
$ gcc -o verifypasswd verifypasswd.c
$ gcc -shared -o hack.so hack.c

测试一下程序：（得到正确结果）
$ ./verifypasswd asdf
Invalid Password!

设置LD_PRELOAD变量：（使我们重写过的strcmp函数的hack.so成为优先载入链接库）
         $ export LD_PRELOAD="./hack.so"

再次运行程序：
$ ./verifypasswd  asdf
hack function invoked. s1=<password> s2=<asdf>
Correct Password!

被劫持了，但是这种太过于恶劣，如果我们还是先正常的strcmp呢

我们可以看到，1）我们的hack.so中的strcmp被调用了。
              2）主程序中运行结果被影响了。如果这是一个系统登录程序，那么这也就意味着我们用任意口令都可以进入系统了。

被劫持了，但是这种太过于恶劣，如果我们还是想获得用户输入之后正常的strcmp呢

2. /* 文件名：hack2.c */
3. #include <stdio.h>
4. #include <string.h>
5. #include <dlfcn.h>
7. int strcmp(const char *s1, const char *s2)
8. {
9.    int (*hac_strcmp)(const char*, const char*);
11.    printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);
13.   *(void **)(&hac_strcmp) = dlsym(RTLD_NEXT, "strcmp");
14.   if(dlerror()) {
15.     errno = EACCES;
16.     return -1;
17.   }
19.    return (*hac_strcmp)(s1, s2);
20. }

复制代码
dlsym用法不是太懂的大家可以google之!

最后是我自己的测试结果：

2. [root@nfs-server hack]# ls
3. hack1.c  hack2.c  test.c
4. [root@nfs-server hack]# gcc -Wall -o test test.c
5. [root@nfs-server hack]# ./test aaa
6. Invalid Password!
7. [root@nfs-server hack]# gcc -fPIC -shared -o hack.so hack1.c
8. [root@nfs-server hack]# export LD_PRELOAD="./hack.so"
9. [root@nfs-server hack]# ./test aaa
10. hack function invoked. s1=<password> s2=<aaa>
11. Correct Password!
12. [root@nfs-server hack]# export LD_PRELOAD=""//大家可以尝试下不加这句的结果^_^
13. [root@nfs-server hack]# gcc -fPIC -shared -o hack.so hack2.c -ldl
14. [root@nfs-server hack]# ./test aaa
15. Invalid Password!
16. [root@nfs-server hack]# export LD_PRELOAD=""
17. [root@nfs-server hack]# ./test aaa
18. Invalid Password!
19. [root@nfs-server hack]# export LD_PRELOAD="./hack.so"
20. [root@nfs-server hack]# ./test aaa
21. hack function invoked. s1=<password> s2=<aaa>
22. Invalid Password!
23. [root@nfs-server hack]# export LD_PRELOAD=""

复制代码

这里主要以LD_PRELOAD环境变量的方法，应该还有别的方法，欢迎大家拍砖！