ICMP 上の核シェル

TL; DR: SSH がクラッシュした場合でも、ICMP ペイロードからコマンドを読み取り、サーバー上で実行するカーネル モジュールを作成しています。 最もせっかちな人のために、すべてのコードは次のとおりです。 githubの.

注意！ 経験豊富な C プログラマーは血の涙を流す危険があります。 用語が間違っている可能性もありますが、ご批判は大歓迎です。 この投稿は、C プログラミングについて大まかなアイデアを持っていて、Linux の内部を調べたい人を対象としています。

私の最初のコメントで статье SoftEther VPN については、一部の「通常の」プロトコル、特に HTTPS、ICMP、さらには DNS を模倣できると述べました。 私は HTTP(S) に精通しており、ICMP と DNS を介したトンネリングについて学ぶ必要があったので、そのうちの最初のものだけが動作することを想像できます。

はい、2020 年に、ICMP パケットに任意のペイロードを挿入できることを知りました。 しかし、遅くなっても何もしないよりはマシです。 そして、それについて何かできるのであれば、それを行う必要があります。 私は日常生活で SSH 経由などコマンド ラインを使用することが多いため、ICMP シェルのアイデアが最初に頭に浮かびました。 そして、完全なブルシールド ビンゴを組み立てるために、大まかなアイデアしか知らない言語でそれを Linux モジュールとして書くことにしました。 このようなシェルはプロセスのリストには表示されず、カーネルにロードできますが、ファイル システム上には存在せず、リスニング ポートのリストには疑わしいものは表示されません。 機能の点では、これは本格的なルートキットですが、これを改善して、負荷平均が高すぎて SSH 経由でログインして少なくとも実行できない場合の最後の手段のシェルとして使用したいと考えています。 echo i > /proc/sysrq-trigger再起動せずにアクセスを復元します。

テキスト エディター、Python と C、Google の基本的なプログラミング スキルが必要です。 バーチャル すべてが壊れた場合はナイフの下に置くことを気にしないでください（オプション - ローカルのVirtualBox/KVMなど）、さあ、始めましょう！

クライアント部分

クライアント部分は80行くらいのスクリプトを書かなければいけないと思っていましたが、親切な方が代わりに書いてくれました。 すべての仕事。 コードは予想外に単純で、重要な 10 行に収まりました。

import sys
from scapy.all import sr1, IP, ICMP

if len(sys.argv) < 3:
    print('Usage: {} IP "command"'.format(sys.argv[0]))
    exit(0)

p = sr1(IP(dst=sys.argv[1])/ICMP()/"run:{}".format(sys.argv[2]))
if p:
    p.show()

スクリプトは、アドレスとペイロードという XNUMX つの引数を取ります。 送信前に、ペイロードの前にキーが付けられます run:、ランダムなペイロードを持つパッケージを除外するために必要になります。

カーネルにはパッケージを作成する権限が必要なので、スクリプトはスーパーユーザーとして実行する必要があります。 実行権限を付与し、scapy自体をインストールすることを忘れないでください。 Debian には次のようなパッケージがあります。 python3-scapy。 これで、すべてがどのように機能するかを確認できます。

コマンドの実行と出力
morq@laptop:~/icmpshell$ sudo ./send.py 45.11.26.232 "Hello, world!"
Begin emission:
.Finished sending 1 packets.
*
Received 2 packets, got 1 answers, remaining 0 packets
###[ IP ]###
version = 4
ihl = 5
tos = 0x0
len = 45
id = 17218
flags =
frag = 0
ttl = 58
proto = icmp
chksum = 0x3403
src = 45.11.26.232
dst = 192.168.0.240
options
###[ ICMP ]###
type = echo-reply
code = 0
chksum = 0xde03
id = 0x0
seq = 0x0
###[ Raw ]###
load = 'run:Hello, world!

スニッファーではこんな感じです
morq@laptop:~/icmpshell$ sudo tshark -i wlp1s0 -O icmp -f "icmp and host 45.11.26.232"
Running as user "root" and group "root". This could be dangerous.
Capturing on 'wlp1s0'
Frame 1: 59 bytes on wire (472 bits), 59 bytes captured (472 bits) on interface wlp1s0, id 0
Internet Protocol Version 4, Src: 192.168.0.240, Dst: 45.11.26.232
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Code: 0
Checksum: 0xd603 [correct] [Checksum Status: Good] Identifier (BE): 0 (0x0000)
Identifier (LE): 0 (0x0000)
Sequence number (BE): 0 (0x0000)
Sequence number (LE): 0 (0x0000)
Data (17 bytes)

0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 run:Hello, world
0010 21 !
Data: 72756e3a48656c6c6f2c20776f726c6421
[Length: 17]

Frame 2: 59 bytes on wire (472 bits), 59 bytes captured (472 bits) on interface wlp1s0, id 0
Internet Protocol Version 4, Src: 45.11.26.232, Dst: 192.168.0.240
Internet Control Message Protocol
Type: 0 (Echo (ping) reply)
Code: 0
Checksum: 0xde03 [correct] [Checksum Status: Good] Identifier (BE): 0 (0x0000)
Identifier (LE): 0 (0x0000)
Sequence number (BE): 0 (0x0000)
Sequence number (LE): 0 (0x0000)
[Request frame: 1] [Response time: 19.094 ms] Data (17 bytes)

0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 run:Hello, world
0010 21 !
Data: 72756e3a48656c6c6f2c20776f726c6421
[Length: 17]

^C2 packets captured


応答パッケージ内のペイロードは変更されません。

カーネルモジュール

Debian 仮想マシンをビルドするには、少なくとも次のものが必要です。 make и linux-headers-amd64、残りは依存関係の形で提供されます。 この記事ではコード全体を紹介しませんが、Github でクローンを作成できます。

フックのセットアップ

まず、モジュールをロードしアンロードするには XNUMX つの関数が必要です。 アンロードする機能は必要ありませんが、 rmmod これは機能しません。モジュールは電源がオフになった場合にのみアンロードされます。

#include <linux/module.h>
#include <linux/netfilter_ipv4.h>

static struct nf_hook_ops nfho;

static int __init startup(void)
{
  nfho.hook = icmp_cmd_executor;
  nfho.hooknum = NF_INET_PRE_ROUTING;
  nfho.pf = PF_INET;
  nfho.priority = NF_IP_PRI_FIRST;
  nf_register_net_hook(&init_net, &nfho);
  return 0;
}

static void __exit cleanup(void)
{
  nf_unregister_net_hook(&init_net, &nfho);
}

MODULE_LICENSE("GPL");
module_init(startup);
module_exit(cleanup);

何が起きてる：

1. モジュール自体とネットフィルターを操作するために XNUMX つのヘッダー ファイルが取り込まれます。
2. すべての操作はネットフィルターを通過し、ネットフィルターにフックを設定できます。 これを行うには、フックが構成される構造を宣言する必要があります。 最も重要なことは、フックとして実行される関数を指定することです。 nfho.hook = icmp_cmd_executor; 関数自体については後ほど説明します。
   次に、パッケージの処理時間を設定します。 NF_INET_PRE_ROUTING パッケージがカーネルに最初に現れたときにパッケージを処理するように指定します。 に使える NF_INET_POST_ROUTING パケットがカーネルから出るときに処理します。
   フィルターを IPv4 に設定しました。 nfho.pf = PF_INET;.
   私はフックを最優先にします。 nfho.priority = NF_IP_PRI_FIRST;
   そして、データ構造を実際のフックとして登録します。 nf_register_net_hook(&init_net, &nfho);
3. 最後の関数はフックを削除します。
4. コンパイラが文句を言わないようにライセンスを明示しています。
5. 機能 module_init() и module_exit() モジュールの初期化と終了を行う他の関数を設定します。

ペイロードの取得

次にペイロードを抽出する必要がありますが、これが最も難しい作業であることが判明しました。 カーネルにはペイロードを操作するための組み込み関数がありません。解析できるのは上位レベルのプロトコルのヘッダーのみです。

#include <linux/ip.h>
#include <linux/icmp.h>

#define MAX_CMD_LEN 1976

char cmd_string[MAX_CMD_LEN];

struct work_struct my_work;

DECLARE_WORK(my_work, work_handler);

static unsigned int icmp_cmd_executor(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
  struct iphdr *iph;
  struct icmphdr *icmph;

  unsigned char *user_data;
  unsigned char *tail;
  unsigned char *i;
  int j = 0;

  iph = ip_hdr(skb);
  icmph = icmp_hdr(skb);

  if (iph->protocol != IPPROTO_ICMP) {
    return NF_ACCEPT;
  }
  if (icmph->type != ICMP_ECHO) {
    return NF_ACCEPT;
  }

  user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
  tail = skb_tail_pointer(skb);

  j = 0;
  for (i = user_data; i != tail; ++i) {
    char c = *(char *)i;

    cmd_string[j] = c;

    j++;

    if (c == '')
      break;

    if (j == MAX_CMD_LEN) {
      cmd_string[j] = '';
      break;
    }

  }

  if (strncmp(cmd_string, "run:", 4) != 0) {
    return NF_ACCEPT;
  } else {
    for (j = 0; j <= sizeof(cmd_string)/sizeof(cmd_string[0])-4; j++) {
      cmd_string[j] = cmd_string[j+4];
      if (cmd_string[j] == '')
	break;
    }
  }

  schedule_work(&my_work);

  return NF_ACCEPT;
}

何が起こります：

1. 今回は IP ヘッダーと ICMP ヘッダーを操作するために、追加のヘッダー ファイルを含める必要がありました。
2. 行の最大長を設定します。 #define MAX_CMD_LEN 1976。 まさになぜこれなのでしょうか？ コンパイラがそれについて文句を言うからです。 彼らはすでに、スタックとヒープを理解する必要があると私に提案しました。いつか必ずこれを実行し、場合によってはコードを修正するつもりです。 すぐにコマンドを含む行を設定します。 char cmd_string[MAX_CMD_LEN];。 これはすべての関数で表示される必要があります。これについては段落 9 で詳しく説明します。
3. 次に、初期化する必要があります(struct work_struct my_work;) 構造体を作成し、それを別の関数 (DECLARE_WORK(my_work, work_handler);）。 なぜこれが必要なのかについては、XNUMX 番目の段落で説明します。
4. ここで、フックとなる関数を宣言します。 型と受け入れられる引数はネットフィルターによって決まります。私たちが関心があるのは、 skb。 これはソケット バッファであり、パケットに関するすべての利用可能な情報が含まれる基本的なデータ構造です。
5. この関数が機能するには、XNUMX つの構造体と、XNUMX つのイテレータを含むいくつかの変数が必要です。

     struct iphdr *iph;
     struct icmphdr *icmph;
   
     unsigned char *user_data;
     unsigned char *tail;
     unsigned char *i;
     int j = 0;

6. 論理から始めることができます。 モジュールが動作するには、ICMP Echo 以外のパケットは必要ないため、組み込み関数を使用してバッファを解析し、非 ICMP および非 Echo パケットをすべてスローします。 戻る NF_ACCEPT は荷物の受け入れを意味しますが、返送することで荷物をドロップすることもできます NF_DROP.

     iph = ip_hdr(skb);
     icmph = icmp_hdr(skb);
   
     if (iph->protocol != IPPROTO_ICMP) {
       return NF_ACCEPT;
     }
     if (icmph->type != ICMP_ECHO) {
       return NF_ACCEPT;
     }

   IP ヘッダーをチェックしないと何が起こるかはテストしていません。 私の C に関する最低限の知識からすると、追加のチェックがなければ、何か恐ろしいことが起こるに違いありません。 これを思いとどまらせてくれると嬉しいです！

7. パッケージが必要なタイプになったので、データを抽出できます。 組み込み関数がない場合は、まずペイロードの先頭へのポインターを取得する必要があります。 これは XNUMX か所で行われます。ICMP ヘッダーの先頭へのポインターを取得し、それをこのヘッダーのサイズに移動する必要があります。 すべては構造を使用します icmph: user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
   ヘッダーの末尾はペイロードの末尾と一致する必要があります。 skbしたがって、対応する構造から核手段を使用してそれを取得します。 tail = skb_tail_pointer(skb);.

   
   
   写真が盗まれました 故にソケット バッファーの詳細については、こちらをご覧ください。

8. 先頭と末尾へのポインターを取得したら、データを文字列にコピーできます。 cmd_string、プレフィックスの存在を確認してください run: そして、パッケージが見つからない場合は破棄するか、このプレフィックスを削除して行を再度書き直します。
9. これで、別のハンドラーを呼び出すことができます。 schedule_work(&my_work);。 このような呼び出しにパラメータを渡すことはできないため、コマンドを含む行はグローバルである必要があります。 schedule_work() 渡された構造体に関連付けられた関数がタスク スケジューラの一般キューに配置されて完了するため、コマンドが完了するのを待つ必要がなくなります。 フックは非常に高速でなければならないため、これが必要です。 そうしないと、何も開始されないか、カーネル パニックが発生するかが選択できます。 遅れは死のようなものだ！
10. これで、対応する返品を伴うパッケージを受け入れることができます。

ユーザー空間でプログラムを呼び出す

この機能が一番わかりやすいですね。 その名前が付けられたのは、 DECLARE_WORK()、型と受け入れられる引数は興味深いものではありません。 コマンドを含む行を取得し、それを完全にシェルに渡します。 解析、バイナリの検索、その他すべてを彼に任せてください。

static void work_handler(struct work_struct * work)
{
  static char *argv[] = {"/bin/sh", "-c", cmd_string, NULL};
  static char *envp[] = {"PATH=/bin:/sbin", NULL};

  call_usermodehelper(argv[0], argv, envp, UMH_WAIT_PROC);
}

1. 引数を文字列の配列に設定します argv[]。 プログラムは実際にはスペースを含む連続行としてではなく、この方法で実行されることは誰もが知っていると仮定します。
2. 環境変数を設定します。 すべてが既に結合されていることを願い、最小限のパスのセットを持つ PATH のみを挿入しました。 /bin с /usr/bin и /sbin с /usr/sbin。 他のパスが実際には問題になることはほとんどありません。
3. やった、やってみよう！ カーネル関数 call_usermodehelper() エントリーを受け付けます。 バイナリへのパス、引数の配列、環境変数の配列。 ここでは、実行可能ファイルへのパスを別の引数として渡す意味を誰もが理解していると仮定しますが、尋ねることもできます。 最後の引数は、プロセスが完了するまで待つかどうかを指定します (UMH_WAIT_PROC)、プロセス開始(UMH_WAIT_EXEC) またはまったく待たない (UMH_NO_WAIT）。 他にもありますか UMH_KILLABLE, 調べてませんでした。

組立

カーネル モジュールのアセンブリは、カーネル make-framework を通じて実行されます。 呼ばれた make カーネルのバージョンに関連付けられた特別なディレクトリ内 (ここで定義されています: KERNELDIR:=/lib/modules/$(shell uname -r)/build)、モジュールの場所が変数に渡されます。 M 議論の中で。 icmpshell.ko と clean ターゲットは完全にこのフレームワークを使用します。 で obj-m モジュールに変換されるオブジェクトファイルを示します。 リメイクする構文 main.o в icmpshell.o (icmpshell-objs = main.o）私にはあまり論理的とは思えませんが、それはそれでいいでしょう。

KERNELDIR:=/lib/modules/$(shell uname -r)/build

obj-m = icmpshell.o
icmpshell-objs = main.o

all: icmpshell.ko

icmpshell.ko: main.c
make -C $(KERNELDIR) M=$(PWD) modules

clean:
make -C $(KERNELDIR) M=$(PWD) clean

私たちは以下を収集します: make。 読み込み中: insmod icmpshell.ko。 完了すると、次のことを確認できます。 sudo ./send.py 45.11.26.232 "date > /tmp/test"。 マシン上にファイルがある場合 /tmp/test それにはリクエストが送信された日付が含まれています。つまり、あなたはすべて正しく行い、私もすべて正しく行ったことを意味します。

まとめ

私の初めての核開発体験は、予想していたよりもずっと簡単でした。 C での開発経験がなくても、コンパイラのヒントと Google の結果に焦点を当てて、機能するモジュールを作成して、カーネル ハッカーであると同時にスクリプト小僧のような気分を味わうことができました。 さらに、Kernel Newbies チャンネルにアクセスすると、次のコマンドを使用するように言われました。 schedule_work() 電話する代わりに call_usermodehelper() フック自体の中にいて、詐欺を疑って彼を恥じさせました。 XNUMX 行のコードを作成するには、自由時間を使って約 XNUMX 週間の開発費用がかかりました。 システム開発の圧倒的な複雑さについての私の個人的な通説を打ち破った成功体験。

誰かが Github でコードレビューを行うことに同意してくれたら、感謝します。 特に文字列を扱うときに、愚かな間違いをたくさん犯したと確信しています。

出所： habr.com