成功获取到反弹shell ,劫持成功。 加固后门 正常大家检查是否存在 LD_PRELOAD 后门的时候都是直接 echo $LD_PRELOAD 这样直接就可以看到我们修改的环境变量了,相信大家已经想到了,可以使用上一节 alias 后门的想法进行隐藏 在这之前,我们还是要先把查看环境变量的方式大概总结出来,这样呢,可以一次性隐匿一下: echo ...
whoami 命令和 pwd 命令都调用了 puts 函数,使用 ltrace 进行查看的时候还都实际调用执行了,但是 pwd 不会触发 payload 设置好后门后使用 ltrace 追踪 whoami 和 pwd 命令,此时,两个都可以执行 payload ltrace 追踪 ssh、id 等命令的时候不会触发 payload 劫持失败原因 虽然我进行函数劫持的过程中没遇到这个问题,...
whoami 命令和 pwd 命令都调用了 puts 函数,使用 ltrace 进行查看的时候还都实际调用执行了,但是 pwd 不会触发 payload 设置好后门后使用 ltrace 追踪 whoami 和 pwd 命令,此时,两个都可以执行 payload ltrace 追踪 ssh、id 等命令的时候不会触发 payload ###劫持失败原因 虽然我进行函数劫持的过程中没遇到这个...
调用原始的puts函数:最后,使用保存的原始puts函数指针new_puts调用原始的puts函数,以保证原本期望的puts功能不受影响 编译so 执行whoami 反弹shell成功 对抗应急响应 随着蓝队应急响应能力在攻防演练中的不断提升,传统的LD_PRELOAD后门已经显得不那么隐匿,那么在这里探讨一下LD_PRELOAD后门的隐匿方式 ->exportLD_PRELOAD=...
一旦感染成功,它就会隐藏起来。由于恶意软件隐藏了所有文件、进程和网络构件,因此在受感染的设备上执行实时取证可能不会发现任何问题。除了 rootkit 功能外,该恶意软件还为攻击者提供了一个后门,以使用硬编码密码以设备上的任何用户身份登录,并以最高权限执行命令。
今天看到了一篇关于通过ld_preload劫持实现后门的文章,为了搞清楚ld_preload的原理,就有了这篇文章。 由于本人水平有限,文章中可能会出现一些错误,欢迎各位大佬指正,感激不尽。如果有什么好的想法也欢迎交流~~ LD_PRELOAD简介 LD_PRELOAD是linux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允...
linux 的环境变量 LD_PRELOAD 是一种类似 win32 API hook 的更优雅的实现,适用于打热补丁、读取进程空间数据、禁止程序调用指定 API、调试程序等等场景,甚至可以在不更改原始可执行文件前提下植入后门(管理员常用的 /bin/ps)。由于被劫持的系统函数得由我们重新实现一次,函数原型必须一致,为减少复杂性,我会选择...
linux 的环境变量 LD_PRELOAD 是一种类似 win32 API hook 的更优雅的实现,适用于打热补丁、读取进程空间数据、禁止程序调用指定 API、调试程序等等场景,甚至可以在不更改原始可执行文件前提下植入后门(管理员常用的 /bin/ps)。由于被劫持的系统函数得由我们重新实现一次,函数原型必须一致,为减少复杂性,我会选择...
利用LD_PRELOAD Hook 系统命令并制作后门 当我们得知了一个系统命令所调用的库函数 后,我们可以重写指定的库函数进行劫持。这里我们以ls命令为例进行演示。 首先查看ls这一系统命令会调用哪些库函数: readelf -Ws /usr/bin/ls 如上图所示可以看到很多库函数,我们随便选择一个合适的进行重写即可,这里我选择的是 str...
我们知道题目是有后门的,但是有disable_functions限制,所以我们首先查看一下phpinfo内容 pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispat...