是否可以伪造进程的特定路径？

Question 1

LD_PRELOAD 并不太难，而且您不需要是 root。插入您自己的 C 例程，该例程将被调用，而不是open()C 库中的实际例程。您的例程检查要打开的文件是否为“/tmp/adb.log”，并使用不同的文件名调用真正的打开。这是你的 shim_open.c：

/*
 * capture calls to a routine and replace with your code
 * gcc -Wall -O2 -fpic -shared -ldl -o shim_open.so shim_open.c
 * LD_PRELOAD=/.../shim_open.so cat /tmp/adb.log
 */
#define _FCNTL_H 1 /* hack for open() prototype */
#define _GNU_SOURCE /* needed to get RTLD_NEXT defined in dlfcn.h */
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <dlfcn.h>
#define OLDNAME "/tmp/adb.log"
#define NEWNAME "/tmp/myadb.log"

int open(const char *pathname, int flags, mode_t mode){
    static int (*real_open)(const char *pathname, int flags, mode_t mode) = NULL;

    if (!real_open) {
        real_open = dlsym(RTLD_NEXT, "open");
        char *error = dlerror();
        if (error != NULL) {
            fprintf(stderr, "%s\n", error);
            exit(1);
        }
    }
    if (strcmp(pathname,OLDNAME)==0) pathname = NEWNAME;
    fprintf(stderr, "opening: %s\n", pathname);
    return real_open(pathname, flags, mode);
}

编译它gcc -Wall -O2 -fpic -shared -ldl -o shim_open.so shim_open.c并通过放入一些东西/tmp/myadb.log并运行来测试它LD_PRELOAD=/.../shim_open.so cat /tmp/adb.log。然后尝试 adb 上的 LD_PRELOAD。

Answer

LD_PRELOAD 并不太难，而且您不需要是 root。插入您自己的 C 例程，该例程将被调用，而不是open()C 库中的实际例程。您的例程检查要打开的文件是否为“/tmp/adb.log”，并使用不同的文件名调用真正的打开。这是你的 shim_open.c：

/*
 * capture calls to a routine and replace with your code
 * gcc -Wall -O2 -fpic -shared -ldl -o shim_open.so shim_open.c
 * LD_PRELOAD=/.../shim_open.so cat /tmp/adb.log
 */
#define _FCNTL_H 1 /* hack for open() prototype */
#define _GNU_SOURCE /* needed to get RTLD_NEXT defined in dlfcn.h */
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <dlfcn.h>
#define OLDNAME "/tmp/adb.log"
#define NEWNAME "/tmp/myadb.log"

int open(const char *pathname, int flags, mode_t mode){
    static int (*real_open)(const char *pathname, int flags, mode_t mode) = NULL;

    if (!real_open) {
        real_open = dlsym(RTLD_NEXT, "open");
        char *error = dlerror();
        if (error != NULL) {
            fprintf(stderr, "%s\n", error);
            exit(1);
        }
    }
    if (strcmp(pathname,OLDNAME)==0) pathname = NEWNAME;
    fprintf(stderr, "opening: %s\n", pathname);
    return real_open(pathname, flags, mode);
}

编译它gcc -Wall -O2 -fpic -shared -ldl -o shim_open.so shim_open.c并通过放入一些东西/tmp/myadb.log并运行来测试它LD_PRELOAD=/.../shim_open.so cat /tmp/adb.log。然后尝试 adb 上的 LD_PRELOAD。

Question 2

这是一个非常简单的示例，使用util-linux'sunshare将进程放入私有挂载命名空间中，并为其父进程当前拥有的同一文件系统提供不同的视图：

{   cd /tmp                      #usually a safe place for this stuff
    echo hey   >file             #some
    echo there >file2            #evidence
    sudo unshare -m sh -c '      #unshare requires root by default
         mount -B file2 file     #bind mount there over hey
         cat file                #show it
         kill -TSTP "$$"         #suspend root shell and switch back to parent
         umount file             #unbind there
         cat file'               #show it
    cat file                     #root shell just suspended
    fg                           #bring it back
    cat file2                    #round it off
}

there                            #root shell
hey                              #root shell suspended
hey                              #root shell restored
there                            #rounded

unshare尽管挂载命名空间工具本身对于整个 3.x 内核系列来说已经相当成熟，但您可以使用最新 Linux 系统上的实用程序为进程提供其文件系统的私有视图。您可以使用同一包中的实用程序输入各种预先存在的命名空间nsenter，并且可以使用man.

Answer

这是一个非常简单的示例，使用util-linux'sunshare将进程放入私有挂载命名空间中，并为其父进程当前拥有的同一文件系统提供不同的视图：

{   cd /tmp                      #usually a safe place for this stuff
    echo hey   >file             #some
    echo there >file2            #evidence
    sudo unshare -m sh -c '      #unshare requires root by default
         mount -B file2 file     #bind mount there over hey
         cat file                #show it
         kill -TSTP "$$"         #suspend root shell and switch back to parent
         umount file             #unbind there
         cat file'               #show it
    cat file                     #root shell just suspended
    fg                           #bring it back
    cat file2                    #round it off
}

there                            #root shell
hey                              #root shell suspended
hey                              #root shell restored
there                            #rounded

unshare尽管挂载命名空间工具本身对于整个 3.x 内核系列来说已经相当成熟，但您可以使用最新 Linux 系统上的实用程序为进程提供其文件系统的私有视图。您可以使用同一包中的实用程序输入各种预先存在的命名空间nsenter，并且可以使用man.

是否可以伪造进程的特定路径？

答案1

答案2

相关内容