在 Ubuntu 和 CentOS 上通过 LD_PRELOAD 挂钩库函数时的行为差异
Difference in behavior when hooking a library function via LD_PRELOAD on Ubuntu and CentOS
有一个钩子函数socketHook.c拦截socket()调用:
#include <stdio.h>
int socket(int domain, int type, int protocol)
{
printf("socket() has been intercepted!\n");
return 0;
}
gcc -c -fPIC socketHook.c
gcc -shared -o socketHook.so socketHook.o
还有一个简单的程序 getpwuid.c (1) 只调用 getpwuid() 函数:
#include <pwd.h>
int main()
{
getpwuid(0);
return 0;
}
gcc getpwuid.c -o getpwuid
getpwuid() 在内部进行 socket() 调用。
在 CentOS 上:
$ strace -e trace=socket ./getpwuid
socket(AF_UNIX, SOCK_STREAM|SOCK_CLOEXEC|SOCK_NONBLOCK, 0) = 3
socket(AF_UNIX, SOCK_STREAM|SOCK_CLOEXEC|SOCK_NONBLOCK, 0) = 3
socket(AF_UNIX, SOCK_STREAM, 0) = 4
在 Ubuntu:
$ strace -e trace=socket ./getpwuid
socket(AF_UNIX, SOCK_STREAM|SOCK_CLOEXEC|SOCK_NONBLOCK, 0) = 5
socket(AF_UNIX, SOCK_STREAM|SOCK_CLOEXEC|SOCK_NONBLOCK, 0) = 5
当运行(1)时,socket()在CentOS上被拦截,但在Ubuntu.
上没有被拦截
CentOS. printf() 来自 socketHook.c 存在:
$ uname -a
Linux centos-stream 4.18.0-301.1.el8.x86_64 #1 SMP Tue Apr 13 16:24:22 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
$ LD_PRELOAD=$(pwd)/socketHook.so ./getpwuid
socket() has been intercepted!
Ubuntu(Xubuntu 20.04)。 printf() 来自 socketHook.c 不存在:
$ uname -a
Linux ibse-VirtualBox 5.8.0-50-generic #56~20.04.1-Ubuntu SMP Mon Apr 12 21:46:35 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
$ LD_PRELOAD=$(pwd)/socketHook.so ./getpwuid
$
所以我的问题是:
- 它取决于什么?我认为这是受到 socket() 不是直接从可执行文件调用,而是从 getpwuid() 调用的事实的影响,如果我理解正确的话,它又从 libc.so
- 如何在 CentOS 中实现与 Ubuntu 相同的行为?我不想拦截来自 libc
的间接调用
What does it depend on?
有两个问题想请教:
- 哪个函数实际调用了
socket系统调用?
- 如何调用该函数。
您可以看到 如何 socket 系统调用 被 运行 您的程序在 GDB 下调用,并使用 catch syscall socket 命令。在 Ubuntu:
(gdb) catch syscall socket
Catchpoint 1 (syscall 'socket' [41])
(gdb) run
Starting program: /tmp/a.out
Catchpoint 1 (call to syscall socket), 0x00007ffff7ed3477 in socket () at ../sysdeps/unix/syscall-template.S:120
120 ../sysdeps/unix/syscall-template.S: No such file or directory.
(gdb) bt
#0 0x00007ffff7ed3477 in socket () at ../sysdeps/unix/syscall-template.S:120
#1 0x00007ffff7f08010 in open_socket (type=type@entry=GETFDPW, key=key@entry=0x7ffff7f612ca "passwd", keylen=keylen@entry=7) at nscd_helper.c:171
#2 0x00007ffff7f084fa in __nscd_get_mapping (type=type@entry=GETFDPW, key=key@entry=0x7ffff7f612ca "passwd", mappedp=mappedp@entry=0x7ffff7f980c8 <map_handle+8>) at nscd_helper.c:269
#3 0x00007ffff7f0894f in __nscd_get_map_ref (type=type@entry=GETFDPW, name=name@entry=0x7ffff7f612ca "passwd", mapptr=mapptr@entry=0x7ffff7f980c0 <map_handle>,
gc_cyclep=gc_cyclep@entry=0x7fffffffda0c) at nscd_helper.c:419
#4 0x00007ffff7f04fb7 in nscd_getpw_r (key=0x7fffffffdaa6 "0", keylen=2, type=type@entry=GETPWBYUID, resultbuf=resultbuf@entry=0x7ffff7f96520 <resbuf>,
buffer=buffer@entry=0x5555555592a0 "", buflen=buflen@entry=1024, result=0x7fffffffdb60) at nscd_getpw_r.c:93
#5 0x00007ffff7f05412 in __nscd_getpwuid_r (uid=uid@entry=0, resultbuf=resultbuf@entry=0x7ffff7f96520 <resbuf>, buffer=buffer@entry=0x5555555592a0 "", buflen=buflen@entry=1024,
result=result@entry=0x7fffffffdb60) at nscd_getpw_r.c:62
#6 0x00007ffff7e9e95d in __getpwuid_r (uid=uid@entry=0, resbuf=resbuf@entry=0x7ffff7f96520 <resbuf>, buffer=0x5555555592a0 "", buflen=buflen@entry=1024,
result=result@entry=0x7fffffffdb60) at ../nss/getXXbyYY_r.c:255
#7 0x00007ffff7e9dfd3 in getpwuid (uid=0) at ../nss/getXXbyYY.c:134
#8 0x0000555555555143 in main () at t.c:5
(gdb) info sym $pc
socket + 7 in section .text of /lib/x86_64-linux-gnu/libc.so.6
(gdb) up
#1 0x00007ffff7f08010 in open_socket (type=type@entry=GETFDPW, key=key@entry=0x7ffff7f612ca "passwd", keylen=keylen@entry=7) at nscd_helper.c:171
171 nscd_helper.c: No such file or directory.
(gdb) x/i $pc-5
0x7ffff7f0800b <open_socket+59>: callq 0x7ffff7ed3470 <socket>
由此可见
- 函数
socket被调用。使用 nm -D /lib/x86_64-linux-gnu/libc.so.6 | grep ' socket' 我们可以确认该函数是从 libc.so.6 导出的,因此应该是可插入的。
- 调用者 不 调用
socket@plt(即不使用 procedure linkage table),因此 LD_PRELOAD 将无效。
从 open_socket() 到 socket() 的调用自 2004 年以来一直是不可插入的,因此很可能 this 调用也没有在 CentOS 上被拦截,但有些 other 调用是。可能是您 strace 输出中的第三个。
使用上面的方法你应该能够知道那个调用来自哪里。
I don't want intercept indirect calls from libc
在那种情况下,LD_PRELOAD 可能是使用错误的机制。
如果您只想拦截来自您自己代码的 socket() 调用,将它们重定向到例如mysocket() 不需要 LD_PRELOAD.
您可以通过添加例如
在源代码级别执行此操作
#define socket mysocket
到所有文件,或在编译时使用 -Dsocket=mysocket 参数。
或者,使用链接器 --wrap=socket 将在不重新编译的情况下进行重定向。
有一个钩子函数socketHook.c拦截socket()调用:
#include <stdio.h>
int socket(int domain, int type, int protocol)
{
printf("socket() has been intercepted!\n");
return 0;
}
gcc -c -fPIC socketHook.c
gcc -shared -o socketHook.so socketHook.o
还有一个简单的程序 getpwuid.c (1) 只调用 getpwuid() 函数:
#include <pwd.h>
int main()
{
getpwuid(0);
return 0;
}
gcc getpwuid.c -o getpwuid
getpwuid() 在内部进行 socket() 调用。 在 CentOS 上:
$ strace -e trace=socket ./getpwuid
socket(AF_UNIX, SOCK_STREAM|SOCK_CLOEXEC|SOCK_NONBLOCK, 0) = 3
socket(AF_UNIX, SOCK_STREAM|SOCK_CLOEXEC|SOCK_NONBLOCK, 0) = 3
socket(AF_UNIX, SOCK_STREAM, 0) = 4
在 Ubuntu:
$ strace -e trace=socket ./getpwuid
socket(AF_UNIX, SOCK_STREAM|SOCK_CLOEXEC|SOCK_NONBLOCK, 0) = 5
socket(AF_UNIX, SOCK_STREAM|SOCK_CLOEXEC|SOCK_NONBLOCK, 0) = 5
当运行(1)时,socket()在CentOS上被拦截,但在Ubuntu.
上没有被拦截CentOS. printf() 来自 socketHook.c 存在:
$ uname -a
Linux centos-stream 4.18.0-301.1.el8.x86_64 #1 SMP Tue Apr 13 16:24:22 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
$ LD_PRELOAD=$(pwd)/socketHook.so ./getpwuid
socket() has been intercepted!
Ubuntu(Xubuntu 20.04)。 printf() 来自 socketHook.c 不存在:
$ uname -a
Linux ibse-VirtualBox 5.8.0-50-generic #56~20.04.1-Ubuntu SMP Mon Apr 12 21:46:35 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
$ LD_PRELOAD=$(pwd)/socketHook.so ./getpwuid
$
所以我的问题是:
- 它取决于什么?我认为这是受到 socket() 不是直接从可执行文件调用,而是从 getpwuid() 调用的事实的影响,如果我理解正确的话,它又从 libc.so
- 如何在 CentOS 中实现与 Ubuntu 相同的行为?我不想拦截来自 libc 的间接调用
What does it depend on?
有两个问题想请教:
- 哪个函数实际调用了
socket系统调用? - 如何调用该函数。
您可以看到 如何 socket 系统调用 被 运行 您的程序在 GDB 下调用,并使用 catch syscall socket 命令。在 Ubuntu:
(gdb) catch syscall socket
Catchpoint 1 (syscall 'socket' [41])
(gdb) run
Starting program: /tmp/a.out
Catchpoint 1 (call to syscall socket), 0x00007ffff7ed3477 in socket () at ../sysdeps/unix/syscall-template.S:120
120 ../sysdeps/unix/syscall-template.S: No such file or directory.
(gdb) bt
#0 0x00007ffff7ed3477 in socket () at ../sysdeps/unix/syscall-template.S:120
#1 0x00007ffff7f08010 in open_socket (type=type@entry=GETFDPW, key=key@entry=0x7ffff7f612ca "passwd", keylen=keylen@entry=7) at nscd_helper.c:171
#2 0x00007ffff7f084fa in __nscd_get_mapping (type=type@entry=GETFDPW, key=key@entry=0x7ffff7f612ca "passwd", mappedp=mappedp@entry=0x7ffff7f980c8 <map_handle+8>) at nscd_helper.c:269
#3 0x00007ffff7f0894f in __nscd_get_map_ref (type=type@entry=GETFDPW, name=name@entry=0x7ffff7f612ca "passwd", mapptr=mapptr@entry=0x7ffff7f980c0 <map_handle>,
gc_cyclep=gc_cyclep@entry=0x7fffffffda0c) at nscd_helper.c:419
#4 0x00007ffff7f04fb7 in nscd_getpw_r (key=0x7fffffffdaa6 "0", keylen=2, type=type@entry=GETPWBYUID, resultbuf=resultbuf@entry=0x7ffff7f96520 <resbuf>,
buffer=buffer@entry=0x5555555592a0 "", buflen=buflen@entry=1024, result=0x7fffffffdb60) at nscd_getpw_r.c:93
#5 0x00007ffff7f05412 in __nscd_getpwuid_r (uid=uid@entry=0, resultbuf=resultbuf@entry=0x7ffff7f96520 <resbuf>, buffer=buffer@entry=0x5555555592a0 "", buflen=buflen@entry=1024,
result=result@entry=0x7fffffffdb60) at nscd_getpw_r.c:62
#6 0x00007ffff7e9e95d in __getpwuid_r (uid=uid@entry=0, resbuf=resbuf@entry=0x7ffff7f96520 <resbuf>, buffer=0x5555555592a0 "", buflen=buflen@entry=1024,
result=result@entry=0x7fffffffdb60) at ../nss/getXXbyYY_r.c:255
#7 0x00007ffff7e9dfd3 in getpwuid (uid=0) at ../nss/getXXbyYY.c:134
#8 0x0000555555555143 in main () at t.c:5
(gdb) info sym $pc
socket + 7 in section .text of /lib/x86_64-linux-gnu/libc.so.6
(gdb) up
#1 0x00007ffff7f08010 in open_socket (type=type@entry=GETFDPW, key=key@entry=0x7ffff7f612ca "passwd", keylen=keylen@entry=7) at nscd_helper.c:171
171 nscd_helper.c: No such file or directory.
(gdb) x/i $pc-5
0x7ffff7f0800b <open_socket+59>: callq 0x7ffff7ed3470 <socket>
由此可见
- 函数
socket被调用。使用nm -D /lib/x86_64-linux-gnu/libc.so.6 | grep ' socket'我们可以确认该函数是从libc.so.6导出的,因此应该是可插入的。 - 调用者 不 调用
socket@plt(即不使用 procedure linkage table),因此LD_PRELOAD将无效。
从 open_socket() 到 socket() 的调用自 2004 年以来一直是不可插入的,因此很可能 this 调用也没有在 CentOS 上被拦截,但有些 other 调用是。可能是您 strace 输出中的第三个。
使用上面的方法你应该能够知道那个调用来自哪里。
I don't want intercept indirect calls from libc
在那种情况下,LD_PRELOAD 可能是使用错误的机制。
如果您只想拦截来自您自己代码的 socket() 调用,将它们重定向到例如mysocket() 不需要 LD_PRELOAD.
您可以通过添加例如
在源代码级别执行此操作#define socket mysocket
到所有文件,或在编译时使用 -Dsocket=mysocket 参数。
或者,使用链接器 --wrap=socket 将在不重新编译的情况下进行重定向。