一步一步走进Linux HOOK API(五)
一步一步走进Linux HOOK API(五) 这一讲中,我们不在继续进入研究动态符号表的获取了,今天咱们来点实战的话题,对于前面我们研究的那么多知识,做一次总结.来看看这些节表之间是怎么联系起来的.最后我们将经过一个简单的拦截printf函数,修改它的参数,来输出我指定的字符串,这样就达到简单的hook api的目的.好了废话不多说.先看看main.c里面的代码.
#include
#include
int main()
{
while(1)
{
getchar();
printf("hello");
fflush(stdout);
}
return 0;
}
这段代码很简单,敲一个回车就输出一个hello,我们的目的就是实现,敲一个hello让他输出我们指定的字符串.
首先先运行这个main程序.在另一个终端里面输入ps -a 查看main 的进程ID.一会我们用GDB手动修改的时候要attach 连接他的进程 ID.
$ ps -a
PID TTYTIME CMD
2068 pts/000:00:00 sudo
2069 pts/000:00:00 su
2077 pts/000:00:00 bash
2174 pts/000:00:00 dbus-launch
4803 pts/200:00:00 sudo
4805 pts/200:00:00 su
4813 pts/200:00:00 bash
5282 pts/100:00:00 linux_server
5774 pts/200:00:00 man
5784 pts/200:00:00 pager
6256 pts/400:00:00 sudo
6257 pts/400:00:00 su
6265 pts/400:00:00 bash
6275 pts/400:00:00 main
6276 pts/300:00:00 ps
这里是获取main 程序的进程空间的映射,找到未被使用的空间来写入我们指定的字符串,这里使用的指令是:
cat /proc/6275/maps
00258000-00274000 r-xp 00000000 08:01 918417/lib/i386-linux-gnu/ld-2.13.so
00274000-00275000 r--p 0001b000 08:01 918417/lib/i386-linux-gnu/ld-2.13.so
00275000-00276000 rw-p 0001c000 08:01 918417/lib/i386-linux-gnu/ld-2.13.so
0058f000-00590000 r-xp 00000000 00:00 0[vdso]
00cf6000-00e50000 r-xp 00000000 08:01 918430/lib/i386-linux-gnu/libc-2.13.so
00e50000-00e51000 ---p 0015a000 08:01 918430/lib/i386-linux-gnu/libc-2.13.so
00e51000-00e53000 r--p 0015a000 08:01 918430/lib/i386-linux-gnu/libc-2.13.so
00e53000-00e54000 rw-p 0015c000 08:01 918430/lib/i386-linux-gnu/libc-2.13.so
00e54000-00e57000 rw-p 00000000 00:00 0
08048000-08049000r-xp00000000 08:01 1158586/home/Linux_Project/ELF/Hello/main
08049000-0804a000rw-p0000000008:01 1158586/home/Linux_Project/ELF/Hello/main
b7723000-b7724000 rw-p 00000000 00:00 0
b7733000-b7736000 rw-p 00000000 00:00 0
bfa4c000-bfa6d000 rw-p 00000000 00:00 0[stack]
这里我们选用00e54000-00e57000 rw-p 00000000 00:00 0 在下面我们会向这个地址空间.写入我们需要的字符串.
这里我们上面只是做了个提前预报会使用这个来获取未使用空间,下面我们开始通过手动方式来拦截printf这个函数的参数.
启动我们的调试器GDB
# gdb
GNU gdb (Ubuntu/Linaro 7.2-1ubuntu11) 7.2
Copyright (C) 2010 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.Type "show copying"
and "show warranty" for details.
This GDB was configured as "i686-linux-gnu".
For bug reporting instructions, please see:
.
通过attach之类依附到已经运行的进程中去,这里我们依附到main程序中去.
(gdb) attach 6275
Attaching to process 6275
Reading symbols from /home/Linux_Project/ELF/Hello/main...(no debugging symbols found)...done.
Reading symbols from /lib/i386-linux-gnu/libc.so.6...(no debugging symbols found)...done.
Loaded symbols for /lib/i386-linux-gnu/libc.so.6
Reading symbols from /lib/ld-linux.so.2...(no debugging symbols found)...done.
Loaded symbols for /lib/ld-linux.so.2
0x0058f416 in __kernel_vsyscall ()
首先万事都是从main开始,所以先查看main函数处的代码,距离我们的目标又近了一步,看到printf函数的调用的地方了.根据源代码的分析,这里是唯一一个使用printf的函数调用的地方.
(gdb) disassemble main
Dump of assembler code for function main:
0x08048404 <+0>: lea0x4(%esp),%ecx
0x08048408 <+4>: and$0xfffffff0,%esp
0x0804840b <+7>: pushl-0x4(%ecx)
0x0804840e <+10>: push%ebp
0x0804840f <+11>: mov%esp,%ebp
0x08048411 <+13>: push%ecx
0x08048412 <+14>: sub$0x4,%esp
0x08048415 <+17>: call0x80482e0
0x0804841a <+22>: movl$0x8048510,(%esp)
0x08048421 <+29>: call0x8048320
0x08048426 <+34>: mov0x8049620,%eax
0x0804842b <+39>: mov%eax,(%esp)
0x0804842e <+42>: call0x8048310
0x08048433 <+47>: jmp0x8048415
End of assembler dump.
根据ELF文件格式,printf跳转的地址是PLT表内,所以查看PLT内的printf地址处的代码,可见这里jmp跳转的地址就是根据前面介绍的GOT表了.那么理论上,就应该跳转到printf函数内去执行了.但是其实不是的.linux采用了一个叫"懒模式"的加载方式,当某个函数第一次被调用,它才会把真正的地址放到GOT表内去.
(gdb) x/10i 0x8048320
0x8048320 : jmp*0x8049618
0x8048326 : push$0x20
0x804832b : jmp0x80482d0
0x8048330 <_start>: xor%ebp,%ebp
0x8048332 <_start+2>: pop%esi
0x8048333 <_start+3>: mov%esp,%ecx
0x8048335 <_start+5>: and$0xfffffff0,%esp
0x8048338 <_start+8>: push%eax
0x8048339 <_start+9>: push%esp
0x804833a <_start+10>: push%edx
所以我们查看下GOT表内的数据,发现这个地址很熟悉,这个0x08048326不正是plt表内的JMP下面的地址嘛.由此可见,当第一次加载函数的时候,其实GOT表内还没有得到真正的函数地址,而是返回去支持PLT表内下面的之类,push跟jmp 然后push会把printf函数的相关偏移数据送入栈,jmp去寻找这个函数的地址,然后修改got表对应的地址处的值,这样,当下次再调用printf的时候,那么GOT表内才是printf真正的函数地址
(gdb) x/10xw 0x8049618
0x8049618 <_GLOBAL_OFFSET_TABLE_+28>: 0x08048326 0x00000000 0x00e534e0 0x00000000
首先我们对plt表内的0x8048320地址下一个断点
(gdb) x/10b 0x8048320
0x8048320 : 0xcc 0x00 0x00 0x00 0x04 0x08 0x68 0x20
0x8048328 : 0x00 0x00
然后让程序继续执行.
(gdb) c
Continuing.
当你在main程序内输入一个回车的时候,GDB就会收到信号通知,表示我们下的断点起作用了.程序调用了printf函数.
Program received signal SIGTRAP, Trace/breakpoint trap.
0x08048321 in printf@plt ()
这里我们先恢复被修改的值,改回原来的指令
(gdb) set *(0x8048320)=0x961825ff
这里查看下eip的值,把eip指向0x8048320 : jmp*0x8049618
这条指令
(gdb) info register eip
eip0x8048321 0x8048321
(gdb) set $eip=0x8048320
(gdb) info register eip
eip0x8048320 0x8048320
(gdb) x/10b 0x8048320
0x8048320 : 0xff 0x25 0x18 0x96 0x04 0x08 0x68 0x20
0x8048328 : 0x00 0x00
接着.我们重新说明下我们此行的目的,就是为了修改printf的参数地址,使其志向我们给定的字符串地址,用于替换它原本的输出字符串.那么首先得查看下他的栈内的参数情况.
(gdb) info register esp
esp0xbfa6b0ac0xbfa6b0ac
我们发现当前的esp指向的是0xbfa6b0ac 继续查看0xbfa6b0ac 处的数据
(gdb) x/10xw 0xbfa6b0ac
0xbfa6b0ac: 0x08048426 0x08048510 0xbfa6b0d0 0xbfa6b148
0xbfa6b0bc: 0x00d0ce37 0x08048450 0x00000000 0xbfa6b148
0xbfa6b0cc: 0x00d0ce37 0x00000001
0xbfa6b0ac = 0x08048426
0x08048426 熟悉不????这不就是我们main函数里面的printf下面的一条指令嘛,那么这应该就是call调用的时候留下的call指令反弹地址.调用完printf之后返回的指令地址,那么再查看0xbfa6b0b0处的值0x08048510也刚好就是我们printf参数的地址.
这样一来,我们的目的就很明确了修改0xbfa6b0ac 地址处的值,指向我们新的字符串地址,那么任务就完成了.
首先找到被调试程序的内存内是否有空余的空间,这个在前面已经讲过了.这里我们选用0x08048510这个内存空间.如下,添加了字符串(我不太熟悉gdb只好用笨方法添加了)
先修改参数地址.
(gdb) set *(0xbfa6b0b0)=0x00e54000
(gdb) x/10xw 0xbfa6b0ac
0xbfa6b0ac: 0x08048426 0x00e54000 0xbfa6b0d0 0xbfa6b148
0xbfa6b0bc: 0x00d0ce37 0x08048450 0x00000000 0xbfa6b148
0xbfa6b0cc: 0x00d0ce37 0x00000001
写入字符串
(gdb) set *(0x00e54000)=0x62696c2f
(gdb) set *(0x00e54000)=0x2d646c2f
(gdb) set *(0x00e54000)=0x62696c2f
(gdb) set *(0x00e54004)=0x2d646c2f
(gdb) set *(0x00e54008)=0x756e696c
(gdb) set *(0x00e5400c)=0x6f732e78
(gdb) set *(0x00e54010)=0x0000322e
(gdb) x/s 0xe54000
0xe54000:"/lib/ld-linux.so.2"
(gdb) c
Continuing.
# ./main
/lib/ld-linux.so.2注意这里,已经输出了我们指定的字符串,初步已经达到了我们的目的.
设想.如果我们写入一段修改esp内printf函数参数的汇编代码嵌入到对方进程内,然后修改PLT的第一条指令,使其跳至我们的代码里,然后再修改完之后跳回GOT表内,那么main这个程序就永远不会打印hello字符串了.
好了,就说到这了.教程写的不是太好.我已经尽量将我能表达的都表达到了.要是有那里不太清楚了,希望大家可以留言,我会第一时间给你答复的.
我也是菜鸟.大家一起努力...
【一步一步走进Linux HOOK API(五)】谢谢
推荐阅读
- Linux下面如何查看tomcat已经使用多少线程
- 也许第一步很难,但跨过去就好了
- Beego打包部署到Linux
- 走进大师的世界|走进大师的世界 ——《维特根斯坦?传—天才之责任》
- Linux|109 个实用 shell 脚本
- 高度自律等于成功的第一步
- linux定时任务contab
- 谭木匠连续举办三届木艺展|谭木匠连续举办三届木艺展 中外大师作品走进南艺校园
- 芯灵思SinlinxA33开发板Linux内核定时器编程
- 走好每一步