博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Android安全-SO动态库注入
阅读量:6249 次
发布时间:2019-06-22

本文共 2860 字,大约阅读时间需要 9 分钟。

hot3.png

关于这方面技术,网上已经有大把的实现。在此,我只是记录下自己的学习过程。

0x1 原理

    所谓的SO注入就是将代码拷贝到目标进程中,并结合函数重定向等其他技术,最终达到监控或改变目标进程行为的目的。Android是基于Linux内核的操作系统,而在Linux下SO注入基本是基于调试API函数ptrace实现的,同样Android的SO注入也是基于ptrace函数,要完成注入还需获取root权限。

0x2 流程

    注入过程如下:

        0x01 获取目标进程的pid,关联目标进程;

        0x02 获取并保存目标进程寄存器值;

        0x03 获取目标进程的dlopen,dlsym函数的绝对地址;

        0x04 获取并保存目标进程的堆栈,设置dlopen函数的相关参数,将要注入的SO的绝对路径压栈;

        0x05 调用dlopen函数;

        0x06 调用dlsym函数,获取SO中要执行的函数地址;

        0x07 调用要执行的函数;

        0x08 恢复目标进程的堆栈,恢复目标进程寄存器值,解除关联,完成SO动态库注入;

        (注:实际上,0x06和0x07并不属于SO动态库注入的步骤,然而仅仅注入是完全没有意义的,通常我们需要执行SO中的函数)

0x3 实现

    0x01 获取目标进程的pid,关联目标进程:

        通过遍历查找/proc/pid/cmdline文件中是否含有目标进程名process_name,若有则进程名对应的进程号即为pid。接着,直接调用函数ptrace_attach(pid)即可完成关联。

    0x02 获取并保存目标进程寄存器值:

        直接调用ptrace(PTRACE_GETREGS, pid, NULL, &saved_regs),当然saved_regs要定义为全局变量。

    0x03 获取目标进程的dlopen,dlsym函数的绝对地址:

        大概思路是这样的:首先通过遍历/proc/pid/maps文件分别得到本进程中dlopen函数所在动态库的基地址local_module_base和目标进程dlopen函数所在动态库的基地址remote_module_base,接着获取本进程dlopen函数的绝对地址local_addr = (void*)dlopen。需要明白的是,不同进程中相同的动态库中的同一个函数的偏移地址一定是一样的,所以目标进程dlopen函数的绝对地址为:local_addr - local_module_base + remote_module_base。dlsym同理,不再详述。

    0x04 获取并保存目标进程的堆栈,设置dlopen函数的相关参数,将要注入的SO的绝对路径压栈:

        当我们的要执行的函数的某些参数需要压入堆栈的时候,就需要提前保存堆栈状态,调用ptrace_readdata(pid, (void *)regs.ARM_sp, (void *)sbuf, sizeof(sbuf)),其中sbuf为char数组,用来存放堆栈。调用ptrace_writedata(pid, (void *)regs.ARM_sp, (void *)so_path, strlen(so_path) + 1),其中so_path为SO的绝对路径。函数传参规则:前四个参数分别由寄存器r0、r1、r2、r3存放,超过四个参数则压入堆栈。

    0x05 调用dlopen函数:

        参数设置好后,设置ARM_pc = dlopen_addr, ARM_lr = 0。调用ptrace_setregs(pid, regs)写入修改后的寄存器值,调用ptrace_continue( pid )使目标进程继续运行。(注:dlopen_addr为0x03获取到的目标进程dlopen函数的绝对地址,ARM_lr = 0的目的在于当目标进程执行完dlopen函数,使目标进程发生异常,从而让本进程重新获得控制权)

    0x06 调用dlsym函数,获取SO中要执行的函数地址:

        实现方式与调用dlopen函数类似,不再详述。

    0x07 调用要执行的函数:

        实现方式与调用dlopen函数类似,不再详述。

    0x08 恢复目标进程的堆栈,恢复目标进程寄存器值,解除关联,完成SO动态库注入:

        调用ptrace_writedata(pid, (uint8_t *)saved_regs.ARM_sp, (uint8_t *)sbuf, sizeof(sbuf))恢复堆栈,调用ptrace_setregs(pid, &saved_regs)恢复寄存器值,调用ptrace_detach(pid)解除关联,完成SO动态库注入。

0x4 代码

    贴一下主要逻辑代码:

pid_t pid = find_pid_of("xxx");ptrace_attach(pid);uint32_t *inject_so_of(pid_t pid, const char *so_path) {    int status = 0;    struct pt_regs regs;    memcpy(&regs, &saved_regs, sizeof(regs));    ptrace_readdata(pid, (void *)regs.ARM_sp, (void *)sbuf, sizeof(sbuf));    ptrace_writedata(pid, (void *)regs.ARM_sp, (void *)so_path, strlen(so_path) + 1);    uint32_t parameters[2];    parameters[0] = regs.ARM_sp;    parameters[1] = RTLD_NOW;    if ( ptrace_call(pid, find_dlopen_addr(pid), parameters, 2, &regs ) == -1 )        DPRINTF("dlopen error\n");    ptrace_getregs(pid, &regs);    uint32_t r0 = regs.ARM_r0;    DPRINTF("[+2]\t注入动态库成功,返回的句柄为: %x\n", r0);    ptrace_setregs(pid, &saved_regs);    ptrace_writedata(pid, (uint8_t *)saved_regs.ARM_sp, (uint8_t *)sbuf, sizeof(sbuf));    ptrace_detach(pid);    return (uint32_t *)r0;}

0x5 参考

    玩转ptrace:

    《转载》linux动态库注入:

    发个Android平台上的注入代码:

转载于:https://my.oschina.net/u/1777508/blog/664025

你可能感兴趣的文章
编年史:OI算法总结
查看>>
IOS Exception 1(RangeText="[SKTexture]()")
查看>>
IOCP基础封装
查看>>
kendo column chart
查看>>
codeforces 721D Maxim and Array
查看>>
sass学习
查看>>
六、使用函数
查看>>
Windows Server 2012 蓝屏 Wpprecorder.sys 故障
查看>>
ImageMagick 批量处理图片脚本
查看>>
MyBatis学习总结(二)——使用MyBatis对表执行CRUD操作
查看>>
【IT公司笔试面试】75道逻辑推理题及答案
查看>>
免费馅饼
查看>>
《Typecript 入门教程》 1、类
查看>>
使用 xsd.exe 命令工具将 xsd 架构生成 类(CS) 文件
查看>>
分享一个漂亮的ASP.NET MVC黑色界面框架
查看>>
求出0~999之间的所有“水仙花数”并输出
查看>>
《文件管理》作业
查看>>
算术类型&确定编译环境的位数
查看>>
连接数据库基本步骤
查看>>
javascript基础篇:函数
查看>>