-
-
[原创]一种直接调用C++程序so库导出函数的方法
-
发表于: 2023-3-6 00:20
-
前言
最近分析了一个C++写的程序,从程序设计的角度来看,非常棒,各种设计模式让人看的赏心悦目。不过对于逆向分析来说,各种代理类设计、各种类的继承是种很烦的事情,IDA分析起来跳来跳去,有时候就不想分析了,想直接调用so库现成的导出函数。可是这时候发现了一个问题,导出函数的返回值与参数往往含有类指针,而我又没有可以定义这些类的头文件,该如何处理?
通过实践,本文提出了一种有效的直接调用C++程序so库导出函数的方法,这种方法对于C写的程序、dll库是同样有效的。核心原理其实也简单,没有头文件,不知道类的定义其实不打紧,因为程序调用关心的只有压参、出参,保持栈平衡就行,而类指针其实也就是个long类型的值,因此直接用long替换就好了。当然,调用时,类对象的内存分配和初始化也要处理好,这个看IDA的反编译结果就好了。
实验过程
已知:test、libdemo.so
目标:手动调用A::hello函数
测试环境:kali-linux-2022.3-vmware-amd64.vmwarevm
反编译结果
图1 test的main函数逆向结果
图2 libdemo.so的A::hello函数逆向结果
测试代码1
首先,可以根据IDA反编译分析出各类的成员变量都有哪些,定义出结构体A和结构体B。
其次,C++函数函数调用在底层也是C函数调用的那套逻辑,本例中,A::hello就是_ZN1A5helloER1B,第一个参数是this指针,其实就是结构体A的首地址。
最后,参照test的反编译结果,完成结构体A与B的初始化,调用A::hello。
图3 A::hello对应C函数_ZN1A5helloER1B
caller.c
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 | #include<stdio.h>#include<dlfcn.h>typedef int (*fn_B_setName)(long pthis, char *name);typedef void (*fn_A_A)(long pthis, char *name, int age);typedef void (*fn_A_hello)(long pthis, long a2);struct A{ char name[32]; int age;};struct B{ char name[32];};int main(){ //加载 libdemo.so printf("load libdemo.so\n"); void* libdemo_handle = dlopen("./libdemo.so", RTLD_NOW ); printf("%016lx\n", libdemo_handle); fprintf(stderr, "%s\n", dlerror()); fn_B_setName B_setName = (fn_B_setName)dlsym(libdemo_handle, "_ZN1B7setNameEPc"); //不严谨的写法,应该判断 libdemo_handle 的返回值;... printf("%016lx\n", B_setName); fprintf(stderr, "%s\n", dlerror()); fn_A_A A_A = (fn_A_A)dlsym(libdemo_handle, "_ZN1AC2EPci"); printf("%016lx\n", A_A); fn_A_hello A_hello = (fn_A_hello)dlsym(libdemo_handle, "_ZN1A5helloER1B"); printf("%016lx\n", A_hello); struct A a={0}; struct B b={0}; B_setName((long)&b, "xiaoB2"); A_A((long)&a, "xiaoA2", 19); A_hello((long)&a, (long)&b); return 0;} |
效果1
测试代码2
其实就算不知道结构体A与B的定义也是可以调用A::hello的,只要申请两块足够大的内存即可。
caller2.c
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 | #include<stdio.h>#include<dlfcn.h>typedef int (*fn_B_setName)(long pthis, char *name);typedef void (*fn_A_A)(long pthis, char *name, int age);typedef void (*fn_A_hello)(long pthis, long a2);int main(){ //加载 libdemo.so printf("load libdemo.so\n"); void* libdemo_handle = dlopen("./libdemo.so", RTLD_NOW ); printf("%016lx\n", libdemo_handle); fprintf(stderr, "%s\n", dlerror()); fn_B_setName B_setName = (fn_B_setName)dlsym(libdemo_handle, "_ZN1B7setNameEPc"); //不严谨的写法,应该判断 libdemo_handle 的返回值;... printf("%016lx\n", B_setName); fprintf(stderr, "%s\n", dlerror()); fn_A_A A_A = (fn_A_A)dlsym(libdemo_handle, "_ZN1AC2EPci"); printf("%016lx\n", A_A); fn_A_hello A_hello = (fn_A_hello)dlsym(libdemo_handle, "_ZN1A5helloER1B"); printf("%016lx\n", A_hello); char a[1024]={0}; char b[1024]={0}; B_setName((long)b, "xiaoB3"); A_A((long)a, "xiaoA3", 20); A_hello((long)a, (long)b); return 0;} |
效果2
测试代码3
(这段代码是补充的,感谢mudebug师傅的提醒)
使用 基址+偏移 的方式不仅可以获得导出函数的地址,还可以获得未导出函数的地址,更加通用一些。
caller3.c
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 | #include<stdio.h>#include<dlfcn.h>typedef int (*fn_B_setName)(long pthis, char *name);typedef void (*fn_A_A)(long pthis, char *name, int age);typedef void (*fn_A_hello)(long pthis, long a2);int get_baseaddr(char* filename, unsigned long* baseaddr){ unsigned long start=0; unsigned long end; char line[4096]={0}; char modulefile[1024]={0}; char flags[32]={0}; FILE *fp=NULL; int ret=-1; fp = fopen("/proc/self/maps", "r"); if (fp == NULL) { return ret; } while (fgets(line, sizeof(line), fp) != NULL) { //printf("%s",line); sscanf(line, "%lx-%lx %s %*Lx %*x:%*x %*Lu %s", &start, &end, flags, modulefile); //%*x里的*表示不获取,即 %*Lx %*x:%*x %*Lu 都不要 if (strstr(modulefile, filename)!=NULL) { *baseaddr=start; ret = 0; //printf("%s", line); //printf("baseaddr=%lx", *baseaddr); break; } } fclose(fp); return ret;}int main(){ //加载 libdemo.so printf("load libdemo.so\n"); void* libdemo_handle = dlopen("./libdemo.so", RTLD_NOW ); printf("%016lx\n", libdemo_handle); fprintf(stderr, "%s\n", dlerror()); unsigned long baseaddr=0; get_baseaddr("libdemo.so", &baseaddr); //不严谨的写法,应该判断返回值; printf("baseaddr=0x%016lx\n", baseaddr); fn_B_setName B_setName = (fn_B_setName)(baseaddr+0x12F8); fn_A_A A_A = (fn_A_A)(baseaddr+0x115A); fn_A_hello A_hello = (fn_A_hello)(baseaddr+0x11CA); char a[1024]={0}; char b[1024]={0}; B_setName((long)b, "MM"); A_A((long)a, "GG", 21); A_hello((long)a, (long)b); return 0;} |
效果3
测试代码4,使用ctypes完成python对C++so库的调用与传参
(2024年10月29日补充)
写exp其实还是比较习惯于使用python来写,因此使用python来直接调用so库可以使得事半功倍。 关键词:ctypes、构造函数、数组、指针、传参。
caller.py
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | from ctypes import *libdemo=CDLL("./libdemo.so")print(libdemo._ZN1B7setNameEPc) # B::setNameB_setName = libdemo._ZN1B7setNameEPcA_A = libdemo._ZN1AC2EPciA_hello = libdemo._ZN1A5helloER1B# 结构体的成员结构不知道没有关系,只要数组够大就可以bufa = (c_char*1024)() # char buf[1024] ; (c_char*1024)相当于一个类型 或者 类bufb = (c_char*1024)()# 一定要套个c_long强转,否则B_setName调用的时候传进去的是c_int,少了高位字节会出段错误。这个问题可以用gdb调试python进程来分析,gdb -p pidpa = c_long(addressof(cast(bufa, POINTER(c_void_p)).contents))pb = c_long(addressof(cast(bufb, POINTER(c_void_p)).contents))#print(hex( addressof(cast(B_setName, POINTER(c_void_p)).contents) )) #打印函数的内存地址,gdb下断点的时候用的到。pdb配合gdb调试,可以很方便的排查一些问题。# 函数调用B_setName( pb, b"BBB") #当C函数参数为char*时,在python调用这里要传bytes类型,否则传str类型虽然不报错,但是取的值不对。A_A(pa, b"AAA", 20)A_hello(pa, pb) |
效果4
其他说明
1.如果依赖的so库在当前路径却找不到
1 2 | export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:../test |
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2024-10-30 21:13
被Jtian编辑
,原因:
|
|
|---|---|
|
|
|
|
|
只管调用,不关心命名规则呀,命名直接看IDA结果好了 |
|
|
|
|
|
|
|
|
“调用时,类对象的内存分配和初始化也要处理好,这个看IDA的反编译结果就好了。” |
|
|
获取模块首地址,然后加偏移的获取函数地址的方式确实是可以的,可以调用到未导出的函数,更通用一些。在某些情况下,没有对抗,最容易看到的就是IDA的反编译结果,也就是说函数符号是比较容易获得的,上面的方案还是比较方便的。 |
|
|
|
|
|
chatGPT给了一个方案如下: ELF(Executable and Linkable Format)是一种可执行文件格式,用于在Unix和Linux系统上运行的程序。在ELF文件中调用内部函数的方法与调用动态链接库中的内部函数类似,可以使用函数指针来执行该函数。需要注意的是,调用内部函数可能会破坏代码的稳定性和安全性,因此建议只在有充分理由的情况下进行。 下面是调用ELF文件内部函数的基本步骤:
需要注意的是,在使用
最后于 2023-3-6 13:55
被Jtian编辑
,原因:
|
|
|
怎么可能用mmap呢,肯定要用dlopen加载啊,如果dlopen只能加载so的话,那就得写一个加载器加载到内存中,因为ELF在内存中的布局和在磁盘中是不一样的,不能直接使用mmap映射上去 |
|
|
我实验了一下,在一些简单的情况下,用mmap确实可以。 下面的主体代码也是chatgpt给的,我做了简单修改。 caller.c #include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/mman.h>
#include <fcntl.h>
typedef int (*fn_sum)(int a, int b);
int main() {
const char* filename = "./hello";
unsigned char* base = NULL;
off_t size = 0;
int fd = open(filename, O_RDONLY);
if (fd == -1) {
printf("Failed to open ELF file!\n");
return -1;
}
size = lseek(fd, 0, SEEK_END);
base = mmap(NULL, size, PROT_READ|PROT_EXEC, MAP_PRIVATE, fd, 0);
if (base == MAP_FAILED) {
printf("Failed to mmap ELF file!\n");
return -1;
}
// 获取指定函数的地址
fn_sum sum = (fn_sum)(base + 0x1149);
// 调用函数
int a=2;
int b=3;
int c=sum(2, 3);
printf("%d+%d=%d\n", a, b, c);
munmap(base, size);
close(fd);
return 0;
}效果
最后于 2023-3-7 14:55
被Jtian编辑
,原因:
|
|
|
|
|
|
是的,要自己做重定位,我之前自己写过一个简单的内存loader,主要就是做符号的重定位 |
|
|
|
|
|
 能凑合用,可以用这个方法,在没有qt头文件的情况下调用qt的库,显示窗口。但是也只是凑合,因为用起来太复杂了。
|
