linux无文件执行— fexecve 揭秘
微信公众号:七夜安全博客 关注信息安全技术、关注 系统底层原理。问题或建议,请公众号留言。
前言
良好的习惯是人生产生复利的有力助手。
继续2020年的flag,至少每周更一篇文章,今天讲linux无文件执行。
无文件执行
之前的文章中,我们讲到了无文件执行的方法以及混淆进程参数的方法,今天我们继续讲解一种linux无文件执行的技巧,是后台朋友给我的提醒,万分感谢,又学到了新的东西。
linux无文件执行,首先要提到两个函数:memfd_create 和 fexecve。
memfd_create 和 fexecve
1 . memfd_create:允许我们在内存中创建一个文件,但是它在内存中的存储并不会被映射到文件系统中,至少,如果映射了,我是没找到,因此不能简单的通过ls命令进行查看,现在看来这的确是相当隐蔽的。事实上,如果一个文件存在,那么我们还是可以去发现它的,谁会去调用这个文件呢?使用如下的命令:
lsof | grep memfd
2 . 第二个函数,fexecve同样的功能很强大,它能使我们执行一个程序(同execve),但是传递给这个函数的是文件描述符,而不是文件的绝对路径,和memfd_create搭配使用非常完美!
但是这里有一个需要注意的地方就是,因为这两个函数相对比较新,memfd_create 是在kernel3.17才被引进来,fexecve是glibc的一个函数,是在版本2.3.2之后才有的, 没有fexecve的时候, 可以使用其它方式去取代它,而memfd_create只能用在相对较新的linux内核系统上。
fexecve的实现
今天不谈memfd_create,这是linux的新特性,没有什么好玩的,本人对fexecve 的实现很有兴趣,因为fexecve是glibc中的函数,而不是linux的系统调用。先看一下fexecve的用法,下面的fexecve_test.c 代码是实现ls -l /dev/shm 功能。
#include <fcntl.h>#include <stdio.h>#include <stdlib.h>#include <sys/mman.h>#include <sys/stat.h>#include <unistd.h>static char *args[] = {"hic et nunc","-l","/dev/shm",NULL};extern char **environ;int main(void){struct stat st;void *p;int fd, shm_fd, rc;shm_fd = shm_open("wurstverschwendung", O_RDWR | O_CREAT, 0777);if (shm_fd == -1) {perror("shm_open");exit(1);}rc = stat("/bin/ls", &st);if (rc == -1) {perror("stat");exit(1);}rc = ftruncate(shm_fd, st.st_size);if (rc == -1) {perror("ftruncate");exit(1);}p = mmap(NULL, st.st_size, PROT_READ | PROT_WRITE, MAP_SHARED,shm_fd, 0);if (p == MAP_FAILED) {perror("mmap");exit(1);}fd = open("/bin/ls", O_RDONLY, 0);if (fd == -1) {perror("openls");exit(1);}rc = read(fd, p, st.st_size);if (rc == -1) {perror("read");exit(1);}if (rc != st.st_size) {fputs("Strange situation!\n", stderr);exit(1);}munmap(p, st.st_size);close(shm_fd);shm_fd = shm_open("wurstverschwendung", O_RDONLY, 0);fexecve(shm_fd, args, environ);perror("fexecve");return 0;}
代码中主要是分为了三步:
首先通过shm_open函数在 /dev/shm中创建了wurstverschwendung文件
将ls 命令文件写入到wurstverschwendung文件
通过fexecve执行wurstverschwendung文件,因为/dev/shm在内存中,因此fexecve实际上是在内存中执行文件。
对fexecve_test.c 进行编译并执行,可以看到/dev/shm下面确实生成了wurstverschwendung文件。
调试角度
fexecve是如何执行内存中的文件呢?一般可以从调试和源码的角度来探究其中的原理。首先使用strace调试一下:
strace -f -tt -T ./fexecve_test
从打印的日志中,找到open系统调用,从创建文件开始关联:
大家可以看到shmopen 其实是在/dev/shm创建文件,而execve的执行文件为/proc/self/fd/3,为进程中打开的文件符号链接,这个指向的就是shm_open创建的文件,但是从监控execve的角度来说, execve无法获取执行文件的路径,从而实现了混淆。
源码角度
从上文中,我们大致知道了原理。具体细节还是要看源码:glibc中的代码库中(https://github.com/jeremie-koenig/glibc/blob/master-beware-rebase/sysdeps/unix/sysv/linux/fexecve.c)。
#include <errno.h>#include <stddef.h>#include <stdio.h>#include <unistd.h>#include <sys/stat.h>/* Execute the file FD refers to, overlaying the running program image.ARGV and ENVP are passed to the new program, as for `execve'. */intfexecve (fd, argv, envp)int fd;char *const argv[];char *const envp[];{if (fd < 0 || argv == NULL || envp == NULL){__set_errno (EINVAL);return -1;}/* We use the /proc filesystem to get the information. If it is notmounted we fail. */char buf[sizeof "/proc/self/fd/" + sizeof (int) * 3];__snprintf (buf, sizeof (buf), "/proc/self/fd/%d", fd);/* We do not need the return value. */__execve (buf, argv, envp);int save = errno;/* We come here only if the 'execve' call fails. Determine whether/proc is mounted. If not we return ENOSYS. */struct stat st;if (stat ("/proc/self/fd", &st) != 0 && errno == ENOENT)save = ENOSYS;__set_errno (save);return -1;}
关键部位代码:
char buf[sizeof "/proc/self/fd/" + sizeof (int) * 3];__snprintf (buf, sizeof (buf), "/proc/self/fd/%d", fd);/* We do not need the return value. */__execve (buf, argv, envp);
fexecve本质上还是调用execve,只不过文件路径是在/proc中。fexecve_test中实现的功能,可以用bash来简单描述,作用是等同的:
总结
写完快12点了,发了发了,睡觉睡觉
推荐阅读:
沙盒syscall监控组件:strace and wtrace
无"命令"反弹shell-逃逸基于execve的命令监控(上)
如果大家喜欢这篇文章的话,请不要吝啬分享到朋友圈,并置顶公众号。
关注公众号:七夜安全博客
回复【8】:领取 python神经网络 教程
回复【1】:领取 Python数据分析 教程大礼包
回复【2】:领取 Python Flask 全套教程
回复【3】:领取 某学院 机器学习 教程
回复【4】:领取 爬虫 教程
回复【5】:领取编译原理 教程
回复【6】:领取渗透测试教程
回复【7】:领取人工智能数学基础