Linux无文件渗透执行elf方式

Linux无文件渗透执行elf方式

概要

比如说你使用了一个开源组件，开源组件以bin的形式提供，但是你并不想直接./bin去运行它，而是想把开源bin直接集成到自己的代码中，这样对外相当于隐藏了开源bin，直接提供你自身代码的bin。这种场景可以简单应用到Linux elf in-memory execution这种方式。

方法

可以通过下面四个步骤来实现。

xxd

将你依赖的开源bin通过xxd -i生成头文件

xxd -i bin bin.h

xxd命令使用二进制或十六进制格式显示文件内容。若未指定outfile参数，则将结果显示在终端屏幕上；否则输出到outfile中。详细的用法可参考linux命令xxd。
这个头文件中有两个变量bin, bin_len。bin中保存的就是bin的十六进制数据，bin_len是bin的data长度。
eg:

unsigned char bin[] = {
...
};
unsigned int bin_len= xxx;

memfd_create

通过memfd_create创建匿名fd

int mem_fd = memfd_create("elf", MFD_CLOEXEC);
int ret = ftruncate(mem_fd, bin_len);
if (ret == -1) {
    std::cout << "ftruncate err: " << strerror(errno);
    close(mem_fd);
    return -1;
}

write

将头文件写到刚才创建的mem_fd中

ret = write(mem_fd, bin, bin_len);
if (ret == -1) {
    std::cout << "write err: ", strerror(errno);
    close(mem_fd);
    return -1;
}

execve

通过execve拉起服务

 std::string name("in-memory-bin");
 argv[0] = (char*)name.c_str();

 char cmdline[256];
 sprintf(cmdline, "/proc/self/fd/%d", mem_fd);

 if (execve(cmdline, argv, nullptr) < 0) {
   close(mem_fd);
 }