前言

在ctf比赛中, 有时我们需要对可执行文件进行patch, 或者在植入后门时,patch也是常用的手段。不过手工patch比较麻烦,下面介绍几个工具。本文介绍遇到的各种技术,不断更新。

ELF

Patchkit

地址:

https://github.com/lunixbochs/patchkit.git

1.由于链接器的原因暂时还不能使用 libc 中的函数,所以所有要做的事情都需要我们自己实现。用 c 或者 asm

  • pt.patch(addr,jmp=jmp_addr) 用于修改程序流程。
  • pt.hook(addr, target) 用于劫持程序流程,进行参数过滤。

使用方式:./patch binary_file patch.py

过滤printf中 %n 的脚本。

def replace_free(pt):

    printf_addr = 0x400548;// call printf 时的地址

    new_printf = pt.inject(c=r'''

void fix_printf(char *fmt) {

    for (int i = 0; fmt[i]; ++i)

    {

        if (fmt[i] == '%' && fmt[i+1] == 'n') {

           //找到后,通过前移的方式删除字符,每次删掉一个。

            int len=0;

            int j;

            while(fmt[len++]){

            }

            for(j=i;j<len-1;j++)

                fmt[j] = fmt[j+1];

            fmt[len-1] = '\x00';

            len=0;

            while(fmt[len++]){

            }

            for(j=i;j<len-1;j++)

                fmt[j] = fmt[j+1];

            fmt[len-1] = '\x00';

            //i--;

        }

    }

}

    ''')

    pt.hook(printf_addr, new_printf);

64位程序,修改 malloc函数的参数为 0x20

def replace(pt):

    malloc_addr = 0x040057A;  //call malloc的位置

    new_malloc = pt.inject(asm=r'''

    mov rdi,0x20

    ret

    ''')

    pt.hook(malloc_addr, new_malloc);

32位,由于与栈进行操作,要注意保存还原返回地址

def replace(pt):

    malloc_addr = 0x08048454;

    new_malloc = pt.inject(asm=r'''

    pop eax

    pop ebx

    push 0x20

    push eax

    ret

    ''')

    pt.hook(malloc_addr,new_malloc);

或者

def replace(pt):

    malloc_addr = 0x08048454;

    new_malloc = pt.inject(asm=r'''

    mov eax,0x20

    mov [esp+4], eax

    ret

    ''')

    pt.hook(malloc_addr,new_malloc);

LIEF

程序地址:https://github.com/lief-project/LIEF

使用这个工具可以很方便的 patch elfpeMachO 文件。本文以 elf 为例。

通过交换导入导出符号

首先看第一个测试程序:

#include <stdio.h>

#include <stdlib.h>

int main(int argc, char** argv) {

  puts("/bin/sh");

  return EXIT_SUCCESS;

}

我们的目标是让他调用 puts 变成调用 system

方案一

修改 libc 中的相关符号,然后使用 LD_LIBRARY_PATH 加载我们修改后的库。

import lief

hashme = lief.parse("hashme")

libc = lief.parse("/lib/x86_64-linux-gnu/libc-2.23.so")

# get puts, system symbol

puts_sym = filter(lambda e: e.name == "puts", libc.dynamic_symbols)[0]

system_sym = filter(lambda e: e.name == "system", libc.dynamic_symbols)[0]

# swap them

puts_sym.name = "system"

system_sym.name = "puts"

libc.write("libc.so.6")

print("done")

首先拿到 puts 和 system 符号对象,然后交换他们的名称。

成功

方案二

直接修改目标文件的导入符号,代码如下

import lief

hashme = lief.parse("hashme")

# get puts, system symbol

puts_sym = filter(lambda e: e.name == "puts", hashme.imported_symbols)[0]

# set puts to system

puts_sym.name = "system"

hashme.write("hashme.patch")

print("done")

直接增加代码进行patch

修改库函数

测试程序:

#include <stdio.h>

#include <stdlib.h>

#include <math.h>

int main(int argc, char **argv) {

  if (argc != 2) {

    printf("Usage: %s <a> \n", argv[0]);

    exit(-1);

  }

  int a = atoi(argv[1]);

  printf("exp(%d) = %f\n", a, exp(a));

  return 0;

}

目标是hook exp 函数,直接增加一个 segments , 然后劫持函数指针到这里。首先编译一个 lib 用来提供用于 hook 的代码。

gcc -Os -nostdlib -nodefaultlibs -fPIC -Wl,-shared hook.c -o hook

hook.c 的内容:

double hook(double x) {

  return x + 100;

}

然后看脚本内容,很清晰。



import lief

libm = lief.parse("/lib/x86_64-linux-gnu/libm-2.23.so")

hook = lief.parse("hook")

segment_added = libm.add(hook.segments[0])

print("Hook inserted at VA: 0x{:06x}".format(segment_added.virtual_address))

exp_symbol = libm.get_symbol("exp")

hook_symbol = hook.get_symbol("hook")

exp_symbol.value = segment_added.virtual_address + hook_symbol.value

libm.write("libm.so.6")

通过 got/plt 表 直接劫持程序

测试程序

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

// Damn_YoU_Got_The_Flag

char password[] = "\x18\x3d\x31\x32\x03\x05\x33\x09\x03\x1b\x33\x28\x03\x08\x34\x39\x03\x1a\x30\x3d\x3b";

inline int check(char* input);

int check(char* input) {

  for (int i = 0; i < sizeof(password) - 1; ++i) {

    password[i] ^= 0x5c;

  }

  return memcmp(password, input, sizeof(password) - 1);

}

int main(int argc, char **argv) {

  if (check(argv[1]) == 0) {

    puts("You got it !!");

    return EXIT_SUCCESS;

  }

  puts("Wrong");

  return EXIT_FAILURE;

}

hook.c 内容,hook memcpy, 打印内容。

#include "arch/x86_64/syscall.c"

#define stdout 1

//gcc -nostdlib -nodefaultlibs -fPIC -Wl,-shared hook.c -o hook

int my_memcmp(const void* lhs, const void* rhs, int n) {

  const char msg[] = "Hook add\n";

  _write(stdout, msg, sizeof(msg));

  _write(stdout, (const char*)lhs, n);

  _write(stdout, "\n", 2);

  _write(stdout, (const char*)rhs, n);

  _write(stdout, "\n", 2);

  return 0;

}

hook 脚本

import lief

crackme = lief.parse("crackme.bin")

hook = lief.parse("hook")

segment_added = crackme.add(hook.segments[0])

my_memcmp = hook.get_symbol("my_memcmp")

my_memcmp_addr = segment_added.virtual_address + my_memcmp.value

crackme.patch_pltgot('memcmp', my_memcmp_addr)

crackme.write("crackme.hooked")

参考:

https://lief.quarkslab.com/doc/tutorials/

https://github.com/lunixbochs/patchkit

可执行文件patch技术&&持续更新的更多相关文章

  1. 《WCF技术剖析》博文系列汇总[持续更新中]

    原文:<WCF技术剖析>博文系列汇总[持续更新中] 近半年以来,一直忙于我的第一本WCF专著<WCF技术剖析(卷1)>的写作,一直无暇管理自己的Blog.在<WCF技术剖 ...

  2. 中国.NET:各地微软技术俱乐部汇总(持续更新中...)

    中国.NET:各地微软技术俱乐部汇总(持续更新中...)   本文是转载文,源地址: https://www.cnblogs.com/panchun/p/JLBList.html by ​史记微软. ...

  3. CNUTCon2017全球运维技术大会(持续更新中) - 斯达克学院 - 实战驱动的 IT 教育平台 - Powered By EduSoho

    CNUTCon2017全球运维技术大会(持续更新中) - 斯达克学院 - 实战驱动的 IT 教育平台 - Powered By EduSoho   https://new.stuq.org/cours ...

  4. (持续更新) C# 面试技术点、常见SQL技术点 和 解决高并发的相关技术

    这篇博客 持续更新. 方便小伙伴们学习与面试前的复习

  5. Linux面试题(史上最全、持续更新、吐血推荐)

    文章很长,建议收藏起来,慢慢读! 疯狂创客圈为小伙伴奉上以下珍贵的学习资源: 疯狂创客圈 经典图书 : <Netty Zookeeper Redis 高并发实战> 面试必备 + 大厂必备 ...

  6. 我的敏捷、需求分析、UML、软件设计电子书 - 下载(持续更新中)

    我将所有我的电子书汇总在一起,方便大家下载!(持续更新) 文档保存在我的网站——软件知识原创基地上(www.umlonline.org),请放心下载. 1)软件设计是怎样炼成的?(2014-4-1 发 ...

  7. java视频教程 Java自学视频整理(持续更新中...)

    视频教程,马士兵java视频教程,java视频 1.Java基础视频 <张孝祥JAVA视频教程>完整版[RMVB](东西网) 历经5年锤炼(史上最适合初学者入门的Java基础视频)(传智播 ...

  8. BLE资料应用笔记 -- 持续更新

    BLE资料应用笔记 -- 持续更新 BLE 应用笔记 小书匠 简而言之,蓝牙无处不在,易于使用,低耗能和低使用成本.'让我们'更深入地探索这些方面吧. 蓝牙无处不在-,您可以在几乎每一台电话.笔记本电 ...

  9. ( 译、持续更新 ) JavaScript 上分小技巧(三)

    最近家里杂事较多,自学时间实在少的可怜,所以都在空闲时间看看老外写的内容,学习之外顺便翻译分享~等学习的时间充足些再写写自己的一些学习内容和知识点分析(最近有在接触的:复习(C#,SQL).(学习)T ...

随机推荐

  1. Docker学习--docker的基本认识

    1.Docker 架构 Docker 使用客户端-服务器 (C/S) 架构模式,使用远程API来管理和创建Docker容器. Docker 容器通过 Docker 镜像来创建. 容器与镜像的关系类似于 ...

  2. Kafka消息队列

    转自:http://blog.csdn.net/yfkiss/article/details/17348693 代码案例 http://blog.csdn.net/ganglia/article/de ...

  3. paddlepaddle使用(一)

    paddlepaddle是百度提出来的深度学习的框架,个人感觉其实和tensorflow差不多(语法上面),因为本人也是初学者,也不是很懂tensorflow,所以,这些都是个人观点. 百度的padd ...

  4. 【jQuery源码】select方法

    /** * select方法是Sizzle选择器包的核心方法之一,其主要完成下列任务: * 1.调用tokenize方法完成对选择器的解析 * 2.对于没有初始集合(即seed没有赋值)且是单一块选择 ...

  5. Web自动化 - 选择操作元素 1

    文章转自 白月黑羽教Python 所有的 UI (用户界面)操作 的自动化,都需要选择界面元素. 选择界面元素就是:先让程序能找到你要操作的界面元素. 先找到元素,才能操作元素. 选择元素的方法 程序 ...

  6. 一款高效视频播放控件的设计思路(c# WPF版)

    因工作的需要,开发了一款视频播放程序.期间也经历许多曲折,查阅了大量资料,经过了反复测试,终于圆满完成了任务. 我把开发过程中的一些思路.想法写下来,以期对后来者有所帮助. 视频播放的本质 就是连续的 ...

  7. LDA理解

    LDA只是一个求解思路. 1.理解LDA首先要理解EM算法,EM不能叫做一个算法,只是一个思想:它要求解的其实是一个极大似然估计,就是我用已知量去求解导致这个已知量出现的最大概率,而在这里又恰恰有点偏 ...

  8. google tensorflow bert代码分析

    参考网上博客阅读了bert的代码,记个笔记.代码是 bert_modeling.py 参考的博客地址: https://blog.csdn.net/weixin_39470744/article/de ...

  9. [codeup] 1128 出租车费

    题目描述 某市出租车计价规则如下:起步4公里10元,即使你的行程没超过4公里:接下来的4公里,每公里2元:之后每公里2.4元.行程的最后一段即使不到1公里,也当作1公里计费. 一个乘客可以根据行程公里 ...

  10. C++ STL使用说明

    标准模板库(Standard Template Library,STL)是一系列通用化组件的集合,包括容器(container).算法(algorithm)和迭代器(iterator). 迭代器ite ...