文章目录
一、dlopen 函数简介
二、获取 目标进程 linker 中的 dlopen 函数地址
三、远程调用 目标进程 linker 中的 dlopen 函数
一、dlopen 函数简介
dlopen 函数的作用是 打开一个 so 动态库 , 并返回该 so 的句柄 ;
包含头文件 :
#include<dlfcn.h>
函数原型 :
void * dlopen( const char * pathname, int mode);
参数说明 :
① const char * pathname : 动态库的路径 , Android 系统文件的绝对路径 ;
② int mode : 动态库的打开法方式 ;
void* 返回值 : 动态库句柄
二、获取 目标进程 linker 中的 dlopen 函数地址
获取 某个动态库 / 可执行文件 中的某个方法的地址 , 参考 【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 获取 远程 目标进程 中的 /system/lib/libc.so 动态库中的 mmap 函数地址 ) 博客 ;
获取 远程 目标进程 中的 动态库中的 函数地址流程 :
① 获取 本地进程 动态库 地址 ;
② 获取 远程进程 动态库 地址 ;
③ 计算 本地进程 与 远程进程 的 动态库 地址 偏移量 ;
④ 获取 本地进程 函数地址 ;
⑤ 根据 本地进程 函数地址 + 本地进程 与 远程进程 的 动态库 地址 偏移量 , 计算出 远程进程 动态库 的 函数地址 ;
三、远程调用 目标进程 linker 中的 dlopen 函数
dlopen 函数参数准备 : 将字符串 "/data/system/debug/libbridge.so" 写出到远程进程内存中 , 然后获取地址 , 该地址可以作为 char* 类型字符串使用 ;
/* 向 目标进程 内存 写出 "/data/system/debug/libbridge.so" 数据 */ ptrace_writedata(target_pid, map_base, (uint8_t*)library_path, strlen(library_path) + 1); parameters[0] = (long)map_base; parameters[1] = RTLD_NOW | RTLD_GLOBAL;
调用 dlopen 方法 :
/* 调用 目标进程 的 dlopen 函数 , dlopen_addr 是 libbridge.so 的地址 , 注意分析 dlopen 参数含义 此处就是 注入 libbridge.so 动态库 */ if (ptrace_call_wrapper(target_pid, "dlopen", dlopen_addr, parameters, 2, ®s) == -1)
参考 【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 远程调用 目标进程中 libc.so 动态库中的 mmap 函数 二 | 准备参数 | 远程调用 mmap 函数 ) 博客 , 通过
设置 EIP 寄存器 , 设置要执行的函数指令地址 ;
设置 ESP 寄存器 , 设置要执行的函数参数的栈内存 ;
可以远程调用执行指定的方法 ;
