在没有execve的情况下运行Linux可执行文件的技术研究

strace -e trace=%process ./noexec $(which cat) haxmas.txt

在没有execve的情况下运行Linux可执行文件的技术研究 1. 背景介绍 ELF(Executable and Linkable Format)是Unix/Linux系统的基础可执行文件格式。传统上，Linux系统通过 execve 系统调用来加载和执行ELF文件。然而，在某些安全限制环境下，直接使用 execve 可能会被检测或阻止。本文探讨了多种在不使用 execve 的情况下运行Linux可执行文件的技术。 2. 反射加载技术概述 反射加载(Reflective Loading)是后渗透阶段的重要技术，用于逃避检测和在受限环境中执行复杂命令。其基本步骤包括： 获取代码执行权限(如漏洞利用或网络钓鱼) 获取自身代码(从网络或其他来源) 使操作系统运行代码(非传统进程加载方式) 3. 现有技术分类 3.1 写入临时文件 将可执行内容写入 /tmp 或 /dev/shm 限制：许多系统已将这些目录挂载为 noexec 3.2 注入ptrace 使用 ptrace 进行进程注入 限制：受 kernel.yama.ptrace_scope sysctl控制 现代系统默认限制非特权用户的ptrace访问 3.3 自修改可执行文件 使用 dd 等工具修改自身内存 需要定制shellcode 技术较为原始，灵活性有限 3.4 脚本语言FFI 使用Python的 ctypes 或Ruby的 fiddle 限制：只能加载shellcode，无法处理完整ELF 依赖特定解释器版本 3.5 非文件系统的临时文件 使用 memfd_create (内核3.17+)创建内存文件 使用 execveat (内核3.19+)执行内存文件 优点：绕过 noexec 限制 缺点：可通过 /proc/*/fd 检测 4. 用户空间exec技术(ul_ exec) 4.1 技术原理 模拟内核执行 execve 时的进程初始化过程 将控制权移交给运行时链接器 ld.so 不依赖 execve 系统调用 4.2 现代实现优势 现代系统支持位置无关可执行文件(PIE) 地址空间布局随机化(ASLR)使硬编码地址不再必要 实现更加简单直接 4.3 实现要求 页面对齐的内存分配 分配后可执行权限 能够跳转到分配的内存执行 5. 技术实现细节 5.1 内存分配与保护 使用 mmap 分配页面对齐内存 设置 PROT_EXEC 标志使内存可执行 注意SELinux可能限制可执行内存分配 5.2 进程初始化模拟 设置栈和寄存器状态 准备辅助向量(auxiliary vector) 设置线程本地存储(TLS) 跳转到入口点 5.3 现代系统变化 辅助向量包含更多信息 大多数程序不再依赖特定内存地址 位置无关代码成为标准 6. 实际应用与工具 6.1 Mettle实现 共享库形式，与Linux Meterpreter共存 不依赖Meterpreter代码 可使用标准toolchain构建 6.2 使用示例 6.3 功能扩展 支持内存中执行上传的文件 可更改进程名称作为伪装 简化插件分发(无需预构建内存映像) 7. 防御对策 7.1 系统加固措施 将 /tmp 和 /dev/shm 挂载为 noexec 设置 kernel.yama.ptrace_scope=2 启用SELinux并限制可执行内存分配 监控 /proc/*/fd 中的 memfd 链接 7.2 检测方法 检查异常的内存分配(PROT_ EXEC) 监控非标准进程初始化 分析 strace 输出中的异常系统调用序列 8. 总结 本文详细介绍了多种在不使用 execve 系统调用的情况下运行Linux可执行文件的技术。从传统的反射加载方法到现代的用户空间exec实现，这些技术为在受限环境中执行代码提供了多种途径。同时，也提出了相应的防御措施，帮助系统管理员加固系统安全。