Hoy hablaremos de LD_PRELOAD, tanto como funciona y como nos puede afectar en nuestra seguridad como por ejemplo el c\u00f3modo y a veces temido sudo<\/a> cuando no tenemos una configuraci\u00f3n correcta.<\/p>\n\n\n\n Lo primero sera ver como funciona LD_PRELOAD, para luego contar las cosas divertidas y problemas de seguridad con los que nos podemos encontrar.<\/p>\n\n\n\n Al ejecutar un programa con librer\u00edas din\u00e1micas, no todo el c\u00f3digo esta en el ejecutable, para localizar las funciones que no se encuentran en el c\u00f3digo realiza los siguientes pasos:<\/p>\n\n\n\n Esto que nos puede ser muy \u00fatil si estamos redise\u00f1ando una librer\u00eday queremos probar una nueva versi\u00f3n sin instalarla definitivamente, puede ser un problema de seguridad como veremos. Y como lo mejor es con un ejemplo.<\/p>\n\n\n\n Primero crearemos nuestro programa simple que nos dice la hora y un n\u00famero aleatorio<\/p>\n\n\n\n y lo compilamos simplemente<\/p>\n\n\n\n gcc ej1.c -o ej1.bin<\/strong><\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Tambi\u00e9n crearemos una librer\u00eda, con la funci\u00f3n rand, que modificaremos y llamaremos \u00absinrand.c\u00bb y la libreria \u00absinrand.so\u00bb.<\/p>\n\n\n\n gcc -shared -fPIC sinrand.c -o sinrand.so<\/strong><\/p>\n\n\n\n Y podremos comprobar las diferencias de ejecuci\u00f3n sin cargar este objeto antes de las librer\u00edas (LD_PRELOAD) ya sea solo para esta ejecuci\u00f3n o si lo fijamos para todas como se puede ver en la figura.<\/p>\n\n\n\n Podemos ver dos formas de cargar el objeto generado \u00absinrand.so\u00bb, uno anteponiendo la variable LD_PRELOAD y otra dej\u00e1ndola fija. Ojo eliminarla despu\u00e9s de las pruebas para evitar errores en otros programas (ya vemos el problema de precargar funciones estandard modificadas.<\/p>\n\n\n\n Tambi\u00e9n podr\u00edamos analizar las librer\u00edas cargadas con el comando \u00abldd\u00bb, viendo que se a\u00f1ade .\/sinrand.so delante de todas. El primer objeto \u00ablinux-vdso.<\/a>\u00bb es un obejto virtual perteneciente al kernel.<\/p>\n\n\n\n Podemos listar los simbolos con la instrucci\u00f3n \u00abnm<\/strong>\u00bb tanto de las librer\u00edas que carga el programa <\/p>\n\n\n\n Ya hemos visto como funciona LD_PRELOAD<\/strong> y ha llegado el momento de ver que cosas podemos hacer. Se ha visto que es muy sencillo modificar el funcionamiento de una funci\u00f3n, pero si lo que deseamos es interceptarla para analizar algo y que luego se ejecute de forma normal.<\/p>\n\n\n\n Lo que parecer\u00eda tan simple como ejecutar la funci\u00f3n, como nos podemos imaginar no valdr\u00eda, ya que entrar\u00edamos en una recursividad infinita. Para esto debemos realizar unos peque\u00f1os cambios en nuestro c\u00f3digo anterior.<\/p>\n\n\n\n A\u00f1adimos la directiva _GNU_SOURCE y se incluye \u00abdlfcn.h\u00bb.<\/p>\n\n\n\n Definimos, con typedef, el alias a la funci\u00f3n puntero de rand original.<\/p>\n\n\n\n Se recoge el puntero a la funci\u00f3n original con \u00abdlsym(RTLD_NEXT,<funcion>)\u00bb y se llama al rand original con el puntero. compilar con libreria dl (-ldl<\/strong>)<\/p>\n\n\n\n gcc -shared -fPIC intercepta_rand.c -o intercepta_rand.so -ldl<\/strong><\/p>\n\n\n\n Esto ha sido un ejemplo sencillo con una funci\u00f3n simple sin par\u00e1metros. Si us\u00e1ramos una funci\u00f3n m\u00e1s compleja, como printf<\/em> por ejemplo, con par\u00e1metros tampoco se complicar\u00eda ya que lo \u00fanico que se cambiar\u00eda es el prototipo de la funci\u00f3n puntero y se a\u00f1adir\u00edan los par\u00e1metros como podemos ver en el ejemplo en el que se realiza una captura de sprintf<\/em> pero a\u00f1adiendo a la cadena a devolver \u00ab***Interceptado***<texto original>***FIN***2020\u00bb.<\/p>\n\n\n\n Lo primero es conocer la definici\u00f3n exacta de la funci\u00f3n sprinf, para as\u00ed crear el prototipo.<\/p>\n\n\n\n Con esto podemos ver que lo que podemos hacer con LD_PRELOAD<\/strong>, dependera de nuestra imaginaci\u00f3n: capturas para depuraci\u00f3n y an\u00e1lisis de c\u00f3digo, interceptar datos(imagina si se define un nuevo fopen) ya sea para espiar o modificar, solucionar errores mientras el desarrollador crea una versi\u00f3n nueva, etc.<\/p>\n\n\n\n <\/p>\n\n\n\n Ya hemos podido ver que se pueden realizar muchas cosas, ahora trataremos el tema de la seguridad para evitarnos problemas.<\/p>\n\n\n\n \u00absudo<\/a>\u00bb (S<\/strong>uper U<\/strong>ser Do<\/strong>) que es hacer de super usuario, o lo que es lo mismo, permitir\u00e1 ejecutar dicho comando como root sin cambiar su usuario. Linux confirmar\u00e1 si ese usuario en particular est\u00e1 en el archivo \u00absudoers<\/em>\u00bb para saber si puede ejecutar o no. No solo verifica el usuario sino tambi\u00e9n si puede ejecutar ese programa o no y si hereda variables de entorno.<\/p>\n\n\n\n En el caso que hoy nos aplica de la variable \u00abLD_PRELOAD\u00bb, ya que las escaladas con \u00absudo<\/a>\u00bb son muchas, la variable de configuraci\u00f3n de \u00absudoers<\/em>\u00bb que debemos tener en cuenta es \u00abDefaults env_keep+=LD_PRELOAD\u00bb. Si tenemos esta opci\u00f3n habilitada la probabilidad de un ataque de escalada de privilegios esta muy garantizada, tengamos en cuenta que una ejecuci\u00f3n con sudo nos lleva a ataques similares a los de SUID<\/a>.<\/p>\n\n\n\n Lo que deberemos realizar es comentar esta linea, para evitar que un usuario ejecutando \u00absudo<\/a>\u00bb pueda usar la variable \u00abLD_PRELOAD\u00bb. En realizad y saliendo un poco del tema del que estamos hablando, el consejo es que se limite al m\u00e1ximo el uso en \u00absudo<\/a>\u00bb por ejemplo no \u00abALL=(ALL:ALL) ALL\u00bb evitarlo y definir solo esos programas que realmente usamos muy continuamente con necesidad de root ya que de esta forma evitaremos que un simple \u00abperl\u00bb con permiso de sudo nos permitir tener un shell con los permisos de super usuario, que siempre nos pida la clave(ojo a la palabra clave NOPASSWD) as\u00ed de esta forma si se obtiene acceso al usuario sin conocimiento de la clave no se podr\u00e1 usar \u00absudo\u00bb. Es una cuesti\u00f3n de poner las m\u00e1ximas barreras y que nos permitan claro un uso amigable de nuestro sistema, en nosotros esta esa balanza, en mi caso para un servidor publico (no mi Desktop) eliminar\u00eda el \u00absudo<\/a>\u00ab.<\/p>\n\n\n\n Con esto terminamos con SUDO, que dar\u00eda para otra entrada dedicada solo a sus seguridad.<\/p>\n\n\n\n Si conocemos llamadas, que est\u00e1n en librer\u00edas din\u00e1micas del ejecutable, podremos crear una librer\u00eda con esa llamada y luego cargar la nuestra con LD_PRELOAD. Por eso lo mejor en programa ya en uso es quitar informaci\u00f3n de depuraci\u00f3n para que se conozca lo m\u00ednimo de el. Ya vimos en el principio de la explicaci\u00f3n de las librer\u00edas como capturar funciones y que ademas luego se ejecutase la original de forma que no solo podemos escalar privilegios, sino que podemos dejar un esp\u00eda en un ejecutable totalmente inocente y sin necesidad de tocarlo.<\/p>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" Las librerias compartidas (shared libraries) se cargan en tiempo de ejecuci\u00f3n, logrando binarios m\u00e1s peque\u00f1os, pero esto puede darnos peque\u00f1os sustos. Las maneras en que se buscan y cargas las librer\u00edas tenemos: LD_PRELOAD: Objetos compartidos que se cargaran antes de cualquier libreria. LD_LIBRARY_PATH: Camino a los directorios de librerias. \/etc\/ld.so.conf Hoy hablaremos de LD_PRELOAD, tanto […]<\/p>\n","protected":false},"author":1,"featured_media":792,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-container-style":"default","site-container-layout":"default","site-sidebar-layout":"default","disable-article-header":"default","disable-site-header":"default","disable-site-footer":"default","disable-content-area-spacing":"default","footnotes":""},"categories":[19,16],"tags":[144,143,145,146,92],"class_list":["post-767","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-escalar-privilegios","category-seguridad","tag-gcc","tag-ld_preload","tag-ldd","tag-nm","tag-sudo"],"_links":{"self":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/767","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/comments?post=767"}],"version-history":[{"count":13,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/767\/revisions"}],"predecessor-version":[{"id":791,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/767\/revisions\/791"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media\/792"}],"wp:attachment":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media?parent=767"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/categories?post=767"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/tags?post=767"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Como funciona LD_PRELOAD<\/h2>\n\n\n\n
![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2020\/08\/image.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2020\/08\/image-1.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2020\/08\/image-3.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2020\/08\/image-4.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2020\/08\/image-5.png\")
<\/figure><\/div>\n\n\n\nnm -D \/lib\/x86_64-linux-gnu\/libc.so.6<\/code><\/pre>\n\n\n\nTrabajando con LD_PRELOAD<\/h2>\n\n\n\n
![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2020\/08\/image-6.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2020\/08\/image-7.png\")
<\/figure><\/div>\n\n\n\nint sprintf (char *cadena, const char *formato, ...)\nEl prototipo seria typedef int(*original)(char *cadena, const char *formato, ...);<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2020\/08\/image-8.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2020\/08\/image-9.png\")
<\/figure>\n\n\n\nAlertas de seguridad con LD_PRELOAD<\/h2>\n\n\n\n
sudo<\/h2>\n\n\n\n
Sustituci\u00f3n de librer\u00edas<\/h2>\n\n\n\n