🥇ICMP를 통한 핵탄

TL; DR: 저는 SSH가 충돌하더라도 ICMP 페이로드에서 명령을 읽고 서버에서 실행하는 커널 모듈을 작성 중입니다. 가장 참을성이 없는 사람을 위해 모든 코드는 다음과 같습니다. github.

주의! 숙련된 C 프로그래머라면 피눈물을 흘릴지도 모릅니다! 제가 사용하는 용어가 틀릴 수도 있지만, 어떤 비판이든 환영합니다. 이 글은 C 프로그래밍에 대한 기초적인 이해만 있는 분들이 C 코드의 작동 방식을 살짝 엿보고 싶어 하실 때 참고하시기 바랍니다. Linux.

내 첫 댓글에 기사 일부 "일반" 프로토콜, 특히 HTTPS, ICMP, 심지어 DNS를 모방할 수 있는 SoftEther VPN에 대해 언급했습니다. 나는 HTTP(S)에 매우 익숙하고 ICMP와 DNS를 통한 터널링을 배워야 했기 때문에 그 중 첫 번째만 작동한다고 상상할 수 있습니다.

네, 2020년에 ICMP 패킷에 임의의 페이로드를 삽입할 수 있다는 사실을 알게 되었습니다. 하지만 늦었지만 지금이라도 알게 된 게 다행이죠! 그리고 뭔가 할 수 있다면 해야 할 일입니다. 저는 주로 명령줄을 사용하고 SSH도 활용하기 때문에 ICMP 셸을 만드는 아이디어가 가장 먼저 떠올랐습니다. 그리고 완벽한 Bullshield 빙고를 만들기 위해 모듈 형태로 작성하기로 했습니다. Linux 제가 대략적으로만 이해하는 언어로 작성된 셸입니다. 이러한 셸은 프로세스 목록에 표시되지 않고, 커널에 로드될 수 있으며 파일 시스템에 상주하지 않고, 수신 포트 목록에서도 의심스러운 것을 찾을 수 없습니다. 기능적으로는 완전한 루트킷이지만, 향후 개선하여 로드 평균이 너무 높아 SSH로 로그인하여 기본적인 작업조차 수행할 수 없을 때 최후의 수단으로 사용할 셸로 만들고 싶습니다. echo i > /proc/sysrq-trigger재부팅하지 않고 액세스를 복원합니다.

우리는 텍스트 편집기, Python 및 C의 기본 프로그래밍 기술, Google 및 가상 모든 것이 고장나더라도(선택 사항 - 로컬 VirtualBox/KVM/등) 칼 밑에 넣어도 괜찮습니다.

클라이언트 부분

클라이언트 부분은 80줄 정도의 스크립트를 작성해야 할 것 같았는데, 친절하게 해주시는 분들이 계셨어요. 모든 일. 코드는 예상외로 간단하여 10개의 중요한 줄에 들어맞습니다.

import sys
from scapy.all import sr1, IP, ICMP

if len(sys.argv) < 3:
    print('Usage: {} IP "command"'.format(sys.argv[0]))
    exit(0)

p = sr1(IP(dst=sys.argv[1])/ICMP()/"run:{}".format(sys.argv[2]))
if p:
    p.show()

스크립트는 주소와 페이로드라는 두 가지 인수를 사용합니다. 전송하기 전에 페이로드 앞에 키가 옵니다. run:, 무작위 페이로드가 있는 패키지를 제외하려면 이 정보가 필요합니다.

커널이 패킷을 생성하려면 권한이 필요하므로 스크립트를 루트 권한으로 실행해야 합니다. 실행 권한을 부여하고 Scapy 자체를 설치하는 것을 잊지 마세요. Debian 패키지 이름이 있습니다 python3-scapy. 이제 모든 것이 어떻게 작동하는지 확인할 수 있습니다.

명령 실행 및 출력
morq@laptop:~/icmpshell$ sudo ./send.py 45.11.26.232 "Hello, world!" Begin emission: .Finished sending 1 packets. * Received 2 packets, got 1 answers, remaining 0 packets ###[ IP ]### version = 4 ihl = 5 tos = 0x0 len = 45 id = 17218 flags = frag = 0 ttl = 58 proto = icmp chksum = 0x3403 src = 45.11.26.232 dst = 192.168.0.240 options ###[ ICMP ]### type = echo-reply code = 0 chksum = 0xde03 id = 0x0 seq = 0x0 ###[ Raw ]### load = 'run:Hello, world!

스니퍼에서는 이렇게 나오네요
morq@laptop:~/icmpshell$ sudo tshark -i wlp1s0 -O icmp -f "icmp and host 45.11.26.232" Running as user "root" and group "root". This could be dangerous. Capturing on 'wlp1s0' Frame 1: 59 bytes on wire (472 bits), 59 bytes captured (472 bits) on interface wlp1s0, id 0 Internet Protocol Version 4, Src: 192.168.0.240, Dst: 45.11.26.232 Internet Control Message Protocol Type: 8 (Echo (ping) request) Code: 0 Checksum: 0xd603 [correct] [Checksum Status: Good] Identifier (BE): 0 (0x0000) Identifier (LE): 0 (0x0000) Sequence number (BE): 0 (0x0000) Sequence number (LE): 0 (0x0000) Data (17 bytes)

0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 실행:안녕하세요, 세상
0010 21 !
Data: 72756e3a48656c6c6f2c20776f726c6421
[길이: 17]

프레임 2: 와이어에 59바이트(472비트), 인터페이스 wlp59s472에 캡처된 1바이트(0비트), ID 0
인터넷 프로토콜 버전 4, 출처: 45.11.26.232, 대상: 192.168.0.240
인터넷 제어 메시지 프로토콜
유형: 0(에코(핑) 응답)
코드 : 0
체크섬: 0xde03 [정확함]
[체크섬 상태: 양호]
식별자(BE): 0(0x0000)
식별자(LE): 0(0x0000)
시퀀스 번호(BE): 0(0x0000)
시퀀스 번호(LE): 0(0x0000)
[요청 프레임: 1]
[응답시간 : 19.094ms]
데이터(17바이트)

0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 실행:안녕하세요, 세상
0010 21 !
Data: 72756e3a48656c6c6f2c20776f726c6421
[길이: 17]

^C2 패킷이 캡처되었습니다

응답 패키지의 페이로드는 변경되지 않습니다.

커널 모듈

가상 머신에서 빌드하려면 Debian 최소한이 필요합니다 make и linux-headers-amd64, 나머지는 종속성의 형태로 제공됩니다. 기사에서는 전체 코드를 제공하지 않으므로 Github에서 복제할 수 있습니다.

후크 설정

우선, 모듈을 로드하고 언로드하려면 두 가지 함수가 필요합니다. 언로드 기능은 필요하지 않지만, rmmod 작동하지 않습니다. 모듈은 꺼질 때만 언로드됩니다.

#include <linux/module.h>
#include <linux/netfilter_ipv4.h>

static struct nf_hook_ops nfho;

static int __init startup(void)
{
  nfho.hook = icmp_cmd_executor;
  nfho.hooknum = NF_INET_PRE_ROUTING;
  nfho.pf = PF_INET;
  nfho.priority = NF_IP_PRI_FIRST;
  nf_register_net_hook(&init_net, &nfho);
  return 0;
}

static void __exit cleanup(void)
{
  nf_unregister_net_hook(&init_net, &nfho);
}

MODULE_LICENSE("GPL");
module_init(startup);
module_exit(cleanup);

무슨 일이야?

모듈 자체와 netfilter를 조작하기 위해 두 개의 헤더 파일을 가져옵니다.
모든 작업은 넷필터를 거치며 여기에 후크를 설정할 수 있습니다. 이렇게 하려면 후크를 구성할 구조를 선언해야 합니다. 가장 중요한 것은 후크로 실행될 함수를 지정하는 것입니다. nfho.hook = icmp_cmd_executor; 나중에 함수 자체에 대해 알아보겠습니다.
그런 다음 패키지 처리 시간을 설정합니다. NF_INET_PRE_ROUTING 패키지가 커널에 처음 나타날 때 패키지를 처리하도록 지정합니다. 사용될 수 있다 NF_INET_POST_ROUTING 커널을 종료할 때 패킷을 처리합니다.
필터를 IPv4로 설정했습니다. nfho.pf = PF_INET;.
나는 내 후크에 가장 높은 우선순위를 부여합니다. nfho.priority = NF_IP_PRI_FIRST;
그리고 데이터 구조를 실제 후크로 등록합니다. nf_register_net_hook(&init_net, &nfho);
마지막 함수는 후크를 제거합니다.
컴파일러가 불평하지 않도록 라이센스가 명확하게 표시되어 있습니다.
기능 module_init() и module_exit() 모듈을 초기화하고 종료하는 다른 기능을 설정합니다.

페이로드 검색

이제 페이로드를 추출해야 하는데 이것이 가장 어려운 작업이었습니다. 커널에는 페이로드 작업을 위한 내장 기능이 없으므로 상위 수준 프로토콜의 헤더만 구문 분석할 수 있습니다.

#include <linux/ip.h>
#include <linux/icmp.h>

#define MAX_CMD_LEN 1976

char cmd_string[MAX_CMD_LEN];

struct work_struct my_work;

DECLARE_WORK(my_work, work_handler);

static unsigned int icmp_cmd_executor(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
  struct iphdr *iph;
  struct icmphdr *icmph;

  unsigned char *user_data;
  unsigned char *tail;
  unsigned char *i;
  int j = 0;

  iph = ip_hdr(skb);
  icmph = icmp_hdr(skb);

  if (iph->protocol != IPPROTO_ICMP) {
    return NF_ACCEPT;
  }
  if (icmph->type != ICMP_ECHO) {
    return NF_ACCEPT;
  }

  user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
  tail = skb_tail_pointer(skb);

  j = 0;
  for (i = user_data; i != tail; ++i) {
    char c = *(char *)i;

    cmd_string[j] = c;

    j++;

    if (c == ' ')
      break;

    if (j == MAX_CMD_LEN) {
      cmd_string[j] = ' ';
      break;
    }

  }

  if (strncmp(cmd_string, "run:", 4) != 0) {
    return NF_ACCEPT;
  } else {
    for (j = 0; j <= sizeof(cmd_string)/sizeof(cmd_string[0])-4; j++) {
      cmd_string[j] = cmd_string[j+4];
      if (cmd_string[j] == ' ')
	break;
    }
  }

  schedule_work(&my_work);

  return NF_ACCEPT;
}

무슨 일이야:

이번에는 IP 및 ICMP 헤더를 조작하기 위해 추가 헤더 파일을 포함해야 했습니다.
최대 줄 길이를 설정했습니다. #define MAX_CMD_LEN 1976. 정확히 왜 이런가요? 컴파일러가 그것에 대해 불평하기 때문입니다! 그들은 이미 나에게 스택과 힙을 이해해야 한다고 제안했습니다. 언젠가는 반드시 이를 수행하고 코드를 수정할 수도 있습니다. 나는 즉시 명령을 포함할 줄을 설정했습니다. char cmd_string[MAX_CMD_LEN];. 모든 함수에서 볼 수 있어야 하며 이에 대해서는 9단락에서 자세히 설명하겠습니다.
이제 초기화해야 합니다(struct work_struct my_work;) 구조를 만들고 이를 다른 함수와 연결합니다(DECLARE_WORK(my_work, work_handler);). 이것이 왜 필요한지에 대해서도 아홉 번째 문단에서 이야기하겠습니다.
이제 후크가 될 함수를 선언합니다. 유형과 허용되는 인수는 netfilter에 의해 결정되며 우리는 다음에만 관심이 있습니다. skb. 이것은 패킷에 대해 사용 가능한 모든 정보를 포함하는 기본 데이터 구조인 소켓 버퍼입니다.

함수가 작동하려면 두 개의 구조와 두 개의 반복자를 포함한 여러 변수가 필요합니다.

  struct iphdr *iph;
  struct icmphdr *icmph;

  unsigned char *user_data;
  unsigned char *tail;
  unsigned char *i;
  int j = 0;

우리는 논리부터 시작할 수 있습니다. 모듈이 작동하려면 ICMP Echo 이외의 패킷이 필요하지 않으므로 내장 함수를 사용하여 버퍼를 구문 분석하고 ICMP가 아닌 패킷과 Echo가 아닌 패킷을 모두 버립니다. 반품 NF_ACCEPT 패키지를 수락한다는 의미이지만 반품을 통해 패키지를 삭제할 수도 있습니다. NF_DROP.
```
  iph = ip_hdr(skb);
  icmph = icmp_hdr(skb);

  if (iph->protocol != IPPROTO_ICMP) {
    return NF_ACCEPT;
  }
  if (icmph->type != ICMP_ECHO) {
    return NF_ACCEPT;
  }
```
IP 헤더를 확인하지 않고 무슨 일이 일어날지는 테스트하지 않았습니다. C에 대한 나의 최소한의 지식은 추가 확인 없이는 끔찍한 일이 발생할 수밖에 없다는 것을 말해줍니다. 당신이 나를 설득하면 기뻐할 것입니다!
이제 패키지가 필요한 정확한 유형이므로 데이터를 추출할 수 있습니다. 내장 함수가 없으면 먼저 페이로드의 시작 부분에 대한 포인터를 가져와야 합니다. 이 작업은 한 곳에서 수행됩니다. 포인터를 ICMP 헤더의 시작 부분으로 가져와 이 헤더의 크기로 이동해야 합니다. 모든 것은 구조를 사용한다 icmph: user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
헤더의 끝은 페이로드의 끝과 일치해야 합니다. skb따라서 우리는 해당 구조의 핵 수단을 사용하여 이를 얻습니다. tail = skb_tail_pointer(skb);.

사진이 도난당했어요 따라서, 소켓 버퍼에 대한 자세한 내용을 읽을 수 있습니다.
시작과 끝을 가리키는 포인터가 있으면 데이터를 문자열로 복사할 수 있습니다. cmd_string, 접두사가 있는지 확인하세요. run: 패키지가 누락된 경우 해당 패키지를 삭제하거나 이 접두사를 제거하여 줄을 다시 작성하세요.
그게 다입니다. 이제 다른 핸들러를 호출할 수 있습니다. schedule_work(&my_work);. 이러한 호출에는 매개변수를 전달할 수 없으므로 명령이 포함된 행은 전역적이어야 합니다. schedule_work() 전달된 구조와 관련된 기능을 작업 스케줄러의 일반 대기열에 배치하고 완료하므로 명령이 완료될 때까지 기다리지 않아도 됩니다. 이는 후크가 매우 빨라야 하기 때문에 필요합니다. 그렇지 않으면 아무것도 시작되지 않거나 커널 패닉이 발생하게 됩니다. 지연은 죽음과 같습니다!
그게 다입니다. 해당 반품이 포함된 패키지를 수락할 수 있습니다.

사용자 공간에서 프로그램 호출하기

이 기능이 가장 이해하기 쉽습니다. 그 이름은 DECLARE_WORK(), 유형 및 허용되는 인수는 흥미롭지 않습니다. 명령이 포함된 행을 가져와 전체를 셸에 전달합니다. 구문 분석, 바이너리 검색 및 기타 모든 작업을 그에게 맡기십시오.

static void work_handler(struct work_struct * work)
{
  static char *argv[] = {"/bin/sh", "-c", cmd_string, NULL};
  static char *envp[] = {"PATH=/bin:/sbin", NULL};

  call_usermodehelper(argv[0], argv, envp, UMH_WAIT_PROC);
}

인수를 문자열 배열로 설정 argv[]. 나는 프로그램이 실제로 공백이 있는 연속된 선이 아니라 이런 방식으로 실행된다는 것을 모든 사람이 알고 있다고 가정하겠습니다.
환경 변수를 설정합니다. 모두 이미 결합되어 있기를 바라면서 최소한의 경로 집합이 있는 PATH만 삽입했습니다. /bin с /usr/bin и /sbin с /usr/sbin. 다른 경로는 실제로 거의 중요하지 않습니다.
됐어요, 해보자! 커널 기능 call_usermodehelper() 입장을 받아들입니다. 바이너리 경로, 인수 배열, 환경 변수 배열. 여기서는 실행 파일 경로를 별도의 인수로 전달하는 의미를 모든 사람이 이해한다고 가정하지만 질문할 수 있습니다. 마지막 인수는 프로세스가 완료될 때까지 기다릴지 여부를 지정합니다(UMH_WAIT_PROC), 프로세스 시작(UMH_WAIT_EXEC) 또는 전혀 기다리지 않음(UMH_NO_WAIT). 좀 더 있나요 UMH_KILLABLE, 나는 그것을 조사하지 않았습니다.

조립

커널 모듈의 어셈블리는 커널 make-framework를 통해 수행됩니다. 라고 불리는 make 커널 버전과 연결된 특수 디렉토리 내부(여기에 정의됨: KERNELDIR:=/lib/modules/$(shell uname -r)/build), 모듈의 위치가 변수에 전달됩니다. M 인수에서. icmpshell.ko 및 clean 대상은 이 프레임워크를 완전히 사용합니다. 안에 obj-m 모듈로 변환될 객체 파일을 나타냅니다. 리메이크 구문 main.o в icmpshell.o (icmpshell-objs = main.o) 제가 보기에는 그다지 논리적이지 않은 것 같지만 그렇습니다.

KERNELDIR:=/lib/modules/$(shell uname -r)/build

obj-m = icmpshell.o
icmpshell-objs = main.o

전체: icmpshell.ko

icmpshell.ko:main.c
-C $(KERNELDIR) M=$(PWD) 모듈을 만듭니다.

깨끗한:
make -C $(KERNELDIR) M=$(PWD) clean

우리는 다음을 수집합니다: make. 로드 중: insmod icmpshell.ko. 완료되었습니다. 다음을 확인할 수 있습니다. sudo ./send.py 45.11.26.232 "date > /tmp/test". 컴퓨터에 파일이 있는 경우 /tmp/test 여기에는 요청이 전송된 날짜가 포함되어 있습니다. 이는 귀하가 모든 일을 올바르게 했고 나도 모든 일을 올바르게 했다는 의미입니다.

결론

원자력 개발에 대한 나의 첫 경험은 예상보다 훨씬 쉬웠습니다. C 개발 경험이 없어도 컴파일러 힌트와 Google 결과에 중점을 두어 작업 모듈을 작성할 수 있었고 커널 해커이자 동시에 스크립트 키디 같은 느낌을 받을 수 있었습니다. 그리고 Kernel Newbies 채널에 갔는데 거기서 사용하라고 하더군요. schedule_work() 전화하는 대신 call_usermodehelper() 후크 자체 내부에서 그를 부끄럽게 생각하여 사기를 의심했습니다. XNUMX줄의 코드 때문에 여가 시간에 개발하는 데 약 일주일이 걸렸습니다. 시스템 개발의 압도적인 복잡성에 대한 개인적인 신화를 무너뜨린 성공적인 경험이었습니다.

누군가가 Github에서 코드 검토에 동의한다면 감사하겠습니다. 나는 특히 문자열로 작업할 때 어리석은 실수를 많이 저질렀다고 확신합니다.

출처 : habr.com

ICMP를 통한 핵 껍질

클라이언트 부분

커널 모듈

후크 설정

페이로드 검색

사용자 공간에서 프로그램 호출하기

조립

결론