Kodolapvalks virs ICMP

TL; DR: Es rakstu kodola moduli, kas nolasīs komandas no ICMP slodzes un izpildīs tās serverī pat tad, ja jūsu SSH avarē. Nepacietīgākajiem viss kods ir GitHub.

Uzmanību! Pieredzējuši C programmētāji riskē izplūst asiņu asarās! Varbūt pat kļūdos terminoloģijā, bet jebkura kritika ir apsveicama. Šis ieraksts ir paredzēts tiem, kam ir ļoti aptuvens priekšstats par C programmēšanu un kuri vēlas ieskatīties Linux iekšienē.

Komentāros manam pirmajam raksts minēts SoftEther VPN, kas var atdarināt dažus “parastos” protokolus, jo īpaši HTTPS, ICMP un pat DNS. Es varu iedomāties, ka darbojas tikai pirmais no tiem, jo ​​es ļoti labi pārzinu HTTP(S), un man bija jāiemācās tunelēšana, izmantojot ICMP un DNS.

Jā, 2020. gadā es uzzināju, ka ICMP paketēs varat ievietot patvaļīgu lietderīgo slodzi. Bet labāk vēlu nekā nekad! Un tā kā ar to var kaut ko darīt, tad tas ir jādara. Tā kā manā ikdienā visbiežāk izmantoju komandrindu, tai skaitā caur SSH, man vispirms ienāca prātā doma par ICMP čaulu. Un, lai saliktu pilnīgu bullshield bingo, es nolēmu to uzrakstīt kā Linux moduli valodā, par kuru man ir tikai aptuvens priekšstats. Šāds apvalks nebūs redzams procesu sarakstā, jūs varat to ielādēt kodolā un tas nebūs failu sistēmā, jūs neredzēsit neko aizdomīgu klausīšanās portu sarakstā. Pēc iespējām šis ir pilnvērtīgs rootkit, taču es ceru to uzlabot un izmantot kā pēdējo līdzekli, kad vidējā slodze ir pārāk augsta, lai pieteiktos caur SSH un izpildītu vismaz echo i > /proc/sysrq-triggerlai atjaunotu piekļuvi bez atkārtotas palaišanas.

Ņemam teksta redaktoru, programmēšanas pamatprasmes Python un C, Google un virtuāls kuru jūs neiebilstat likt zem naža, ja viss saplīst (pēc izvēles — vietējais VirtualBox/KVM/u.c.), un dodamies!

Klienta puse

Man likās, ka klienta daļai būs jāraksta scenārijs ar apmēram 80 rindiņām, bet bija laipni cilvēki, kas to izdarīja manā vietā visu darbu. Kods izrādījās negaidīti vienkāršs, iekļaujoties 10 nozīmīgās rindās:

import sys
from scapy.all import sr1, IP, ICMP

if len(sys.argv) < 3:
    print('Usage: {} IP "command"'.format(sys.argv[0]))
    exit(0)

p = sr1(IP(dst=sys.argv[1])/ICMP()/"run:{}".format(sys.argv[2]))
if p:
    p.show()

Skriptam ir divi argumenti, adrese un lietderīgā slodze. Pirms nosūtīšanas lietderīgās kravas ievada atslēga run:, mums tas būs nepieciešams, lai izslēgtu pakotnes ar nejaušu lietderīgo slodzi.

Kodolam ir nepieciešamas privilēģijas pakotņu izstrādei, tāpēc skripts būs jāpalaiž kā superlietotājam. Neaizmirstiet piešķirt izpildes atļaujas un instalēt pašu scapy. Debianam ir pakotne ar nosaukumu python3-scapy. Tagad jūs varat pārbaudīt, kā tas viss darbojas.

Komandas palaišana un izvadīšana
morq@laptop:~/icmpshell$ sudo ./send.py 45.11.26.232 "Hello, world!"
Begin emission:
.Finished sending 1 packets.
*
Received 2 packets, got 1 answers, remaining 0 packets
###[ IP ]###
version = 4
ihl = 5
tos = 0x0
len = 45
id = 17218
flags =
frag = 0
ttl = 58
proto = icmp
chksum = 0x3403
src = 45.11.26.232
dst = 192.168.0.240
options
###[ ICMP ]###
type = echo-reply
code = 0
chksum = 0xde03
id = 0x0
seq = 0x0
###[ Raw ]###
load = 'run:Hello, world!

Lūk, kā tas izskatās sniferī
morq@laptop:~/icmpshell$ sudo tshark -i wlp1s0 -O icmp -f "icmp and host 45.11.26.232"
Running as user "root" and group "root". This could be dangerous.
Capturing on 'wlp1s0'
Frame 1: 59 bytes on wire (472 bits), 59 bytes captured (472 bits) on interface wlp1s0, id 0
Internet Protocol Version 4, Src: 192.168.0.240, Dst: 45.11.26.232
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Code: 0
Checksum: 0xd603 [correct] [Checksum Status: Good] Identifier (BE): 0 (0x0000)
Identifier (LE): 0 (0x0000)
Sequence number (BE): 0 (0x0000)
Sequence number (LE): 0 (0x0000)
Data (17 bytes)

0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 run:Hello, world
0010 21 !
Data: 72756e3a48656c6c6f2c20776f726c6421
[Length: 17]

Frame 2: 59 bytes on wire (472 bits), 59 bytes captured (472 bits) on interface wlp1s0, id 0
Internet Protocol Version 4, Src: 45.11.26.232, Dst: 192.168.0.240
Internet Control Message Protocol
Type: 0 (Echo (ping) reply)
Code: 0
Checksum: 0xde03 [correct] [Checksum Status: Good] Identifier (BE): 0 (0x0000)
Identifier (LE): 0 (0x0000)
Sequence number (BE): 0 (0x0000)
Sequence number (LE): 0 (0x0000)
[Request frame: 1] [Response time: 19.094 ms] Data (17 bytes)

0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 run:Hello, world
0010 21 !
Data: 72756e3a48656c6c6f2c20776f726c6421
[Length: 17]

^C2 packets captured


Lietderīgā slodze atbildes pakotnē nemainās.

Kodola modulis

Lai izveidotu Debian virtuālo mašīnu, jums būs nepieciešams vismaz make и linux-headers-amd64, pārējais būs atkarību veidā. Es nesniegšu visu kodu rakstā; jūs varat to klonēt vietnē Github.

Āķa iestatīšana

Sākumā mums ir nepieciešamas divas funkcijas, lai ielādētu moduli un to izlādētu. Izkraušanas funkcija nav nepieciešama, bet tad rmmod tas nedarbosies; modulis tiks izlādēts tikai tad, kad tas būs izslēgts.

#include <linux/module.h>
#include <linux/netfilter_ipv4.h>

static struct nf_hook_ops nfho;

static int __init startup(void)
{
  nfho.hook = icmp_cmd_executor;
  nfho.hooknum = NF_INET_PRE_ROUTING;
  nfho.pf = PF_INET;
  nfho.priority = NF_IP_PRI_FIRST;
  nf_register_net_hook(&init_net, &nfho);
  return 0;
}

static void __exit cleanup(void)
{
  nf_unregister_net_hook(&init_net, &nfho);
}

MODULE_LICENSE("GPL");
module_init(startup);
module_exit(cleanup);

Kas šeit notiek:

1. Tiek ievilkti divi galvenes faili, lai manipulētu ar pašu moduli un tīkla filtru.
2. Visas darbības iet caur tīkla filtru, tajā var iestatīt āķus. Lai to izdarītu, jums ir jādeklarē struktūra, kurā āķis tiks konfigurēts. Vissvarīgākais ir norādīt funkciju, kas tiks izpildīta kā āķis: nfho.hook = icmp_cmd_executor; Pie pašas funkcijas es pievērsīšos vēlāk.
   Tad es iestatīju iepakojuma apstrādes laiku: NF_INET_PRE_ROUTING nosaka pakotnes apstrādi, kad tā pirmo reizi parādās kodolā. Var izmantot NF_INET_POST_ROUTING lai apstrādātu paketi, kad tā iziet no kodola.
   Es iestatīju filtru uz IPv4: nfho.pf = PF_INET;.
   Es piešķiru savam āķim visaugstāko prioritāti: nfho.priority = NF_IP_PRI_FIRST;
   Un es reģistrēju datu struktūru kā faktisko āķi: nf_register_net_hook(&init_net, &nfho);
3. Pēdējā funkcija noņem āķi.
4. Licence ir skaidri norādīta, lai sastādītājs nesūdzētos.
5. Funkcijas module_init() и module_exit() iestatiet citas funkcijas, lai inicializētu un pārtrauktu moduli.

Kravas izgūšana

Tagad mums ir jāizņem krava, tas izrādījās visgrūtākais uzdevums. Kodolam nav iebūvētu funkciju darbam ar kravām; jūs varat parsēt tikai augstāka līmeņa protokolu galvenes.

#include <linux/ip.h>
#include <linux/icmp.h>

#define MAX_CMD_LEN 1976

char cmd_string[MAX_CMD_LEN];

struct work_struct my_work;

DECLARE_WORK(my_work, work_handler);

static unsigned int icmp_cmd_executor(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
  struct iphdr *iph;
  struct icmphdr *icmph;

  unsigned char *user_data;
  unsigned char *tail;
  unsigned char *i;
  int j = 0;

  iph = ip_hdr(skb);
  icmph = icmp_hdr(skb);

  if (iph->protocol != IPPROTO_ICMP) {
    return NF_ACCEPT;
  }
  if (icmph->type != ICMP_ECHO) {
    return NF_ACCEPT;
  }

  user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
  tail = skb_tail_pointer(skb);

  j = 0;
  for (i = user_data; i != tail; ++i) {
    char c = *(char *)i;

    cmd_string[j] = c;

    j++;

    if (c == '')
      break;

    if (j == MAX_CMD_LEN) {
      cmd_string[j] = '';
      break;
    }

  }

  if (strncmp(cmd_string, "run:", 4) != 0) {
    return NF_ACCEPT;
  } else {
    for (j = 0; j <= sizeof(cmd_string)/sizeof(cmd_string[0])-4; j++) {
      cmd_string[j] = cmd_string[j+4];
      if (cmd_string[j] == '')
	break;
    }
  }

  schedule_work(&my_work);

  return NF_ACCEPT;
}

Kas notiek:

1. Man bija jāiekļauj papildu galvenes faili, šoreiz, lai manipulētu ar IP un ICMP galvenēm.
2. Es iestatīju maksimālo līnijas garumu: #define MAX_CMD_LEN 1976. Kāpēc tieši tā? Jo sastādītājs par to sūdzas! Viņi jau man ieteica, ka man ir jāsaprot kaudze un kaudze, kādreiz es noteikti to izdarīšu un varbūt pat labošu kodu. Es nekavējoties iestatīju rindu, kurā būs komanda: char cmd_string[MAX_CMD_LEN];. Tam jābūt redzamam visās funkcijās; par to es runāšu sīkāk 9. punktā.
3. Tagad mums ir jāinicializē (struct work_struct my_work;) struktūru un savienot to ar citu funkciju (DECLARE_WORK(my_work, work_handler);). Par to, kāpēc tas ir nepieciešams, es runāšu arī devītajā rindkopā.
4. Tagad es paziņoju funkciju, kas būs āķis. Veidu un pieņemtos argumentus diktē netfilter, mūs tikai interesē skb. Tas ir ligzdas buferis, pamata datu struktūra, kas satur visu pieejamo informāciju par paketi.
5. Lai funkcija darbotos, jums būs nepieciešamas divas struktūras un vairāki mainīgie, tostarp divi iteratori.

     struct iphdr *iph;
     struct icmphdr *icmph;
   
     unsigned char *user_data;
     unsigned char *tail;
     unsigned char *i;
     int j = 0;

6. Mēs varam sākt ar loģiku. Lai modulis darbotos, nav nepieciešamas citas paketes, izņemot ICMP Echo, tāpēc mēs parsējam buferi, izmantojot iebūvētās funkcijas, un izmetam visas paketes, kas nav ICMP un Echo. Atgriezties NF_ACCEPT nozīmē pakas pieņemšanu, bet pakas var nomest arī atgriežot NF_DROP.

     iph = ip_hdr(skb);
     icmph = icmp_hdr(skb);
   
     if (iph->protocol != IPPROTO_ICMP) {
       return NF_ACCEPT;
     }
     if (icmph->type != ICMP_ECHO) {
       return NF_ACCEPT;
     }

   Neesmu pārbaudījis, kas notiks, nepārbaudot IP galvenes. Manas minimālās zināšanas par C man saka, ka bez papildu pārbaudēm noteikti notiks kaut kas briesmīgs. Es priecāšos, ja jūs mani no tā atrunāsit!

7. Tagad, kad pakotne ir tieši tāda veida, kāds jums nepieciešams, varat iegūt datus. Ja nav iebūvētas funkcijas, vispirms ir jāiegūst rādītājs uz lietderīgās slodzes sākumu. Tas tiek darīts vienuviet, jums ir jānoņem rādītājs uz ICMP galvenes sākumu un jāpārvieto līdz šīs galvenes izmēram. Viss izmanto struktūru icmph: user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
   Virsraksta beigām ir jāatbilst lietderīgās slodzes beigām skb, tāpēc mēs to iegūstam, izmantojot kodollīdzekļus no atbilstošās struktūras: tail = skb_tail_pointer(skb);.

   
   
   Bilde tika nozagta tātad, varat lasīt vairāk par ligzdas buferi.

8. Kad ir norādes uz sākumu un beigām, varat kopēt datus virknē cmd_string, pārbaudiet, vai tajā nav prefiksa run: un vai nu izmetiet pakotni, ja tās trūkst, vai pārrakstiet rindu vēlreiz, noņemot šo prefiksu.
9. Tas arī viss, tagad varat piezvanīt citam apdarinātājam: schedule_work(&my_work);. Tā kā šādam izsaukumam parametru nodot nebūs iespējams, rindai ar komandu jābūt globālai. schedule_work() ievietos funkciju, kas saistīta ar nodoto struktūru, uzdevumu plānotāja vispārējā rindā un pabeigs, ļaujot jums negaidīt, kamēr komanda tiks pabeigta. Tas ir nepieciešams, jo āķim jābūt ļoti ātram. Pretējā gadījumā jūsu izvēle ir tāda, ka nekas nesāksies, vai arī jūs saņemsit kodola paniku. Kavēšanās ir kā nāve!
10. Tas ir viss, jūs varat pieņemt paku ar atbilstošu atgriešanu.

Programmas izsaukšana lietotāja telpā

Šī funkcija ir visskaidrākā. Tā nosaukums tika dots DECLARE_WORK(), veids un pieņemtie argumenti nav interesanti. Mēs uzņemam līniju ar komandu un pilnībā nododam to apvalkam. Ļaujiet viņam nodarboties ar parsēšanu, bināro failu meklēšanu un visu pārējo.

static void work_handler(struct work_struct * work)
{
  static char *argv[] = {"/bin/sh", "-c", cmd_string, NULL};
  static char *envp[] = {"PATH=/bin:/sbin", NULL};

  call_usermodehelper(argv[0], argv, envp, UMH_WAIT_PROC);
}

1. Iestatiet argumentus uz virkņu masīvu argv[]. Es pieņemu, ka visi zina, ka programmas faktiski tiek izpildītas šādā veidā, nevis kā nepārtraukta rinda ar atstarpēm.
2. Iestatiet vides mainīgos. Es ievietoju tikai PATH ar minimālu ceļu kopu, cerot, ka tie visi jau ir apvienoti /bin с /usr/bin и /sbin с /usr/sbin. Citiem ceļiem praksē reti ir nozīme.
3. Gatavs, darīsim to! Kodola funkcija call_usermodehelper() pieņem ieeju. ceļš uz bināro, argumentu masīvs, vides mainīgo masīvs. Šeit es arī pieņemu, ka visi saprot, ko nozīmē ceļš uz izpildāmo failu kā atsevišķu argumentu, bet jūs varat jautāt. Pēdējais arguments norāda, vai gaidīt procesa pabeigšanu (UMH_WAIT_PROC), procesa sākums (UMH_WAIT_EXEC) vai negaidi nemaz (UMH_NO_WAIT). Vai ir vēl daži UMH_KILLABLE, es to neskatījos.

Montāža

Kodola moduļu montāža tiek veikta, izmantojot kodola make-framework. Zvanīja make īpašā direktorijā, kas saistīts ar kodola versiju (definēts šeit: KERNELDIR:=/lib/modules/$(shell uname -r)/build), un moduļa atrašanās vieta tiek nodota mainīgajam M argumentos. icmpshell.ko un tīrie mērķi pilnībā izmanto šo sistēmu. IN obj-m norāda objekta failu, kas tiks pārveidots par moduli. Sintakse, kas pārtaisa main.o в icmpshell.o (icmpshell-objs = main.o) man nešķiet ļoti loģiski, bet lai tā būtu.

KERNELDIR:=/lib/modules/$(shell uname -r)/build

obj-m = icmpshell.o
icmpshell-objs = main.o

all: icmpshell.ko

icmpshell.ko: main.c
make -C $(KERNELDIR) M=$(PWD) modules

clean:
make -C $(KERNELDIR) M=$(PWD) clean

Mēs savācam: make. Notiek ielāde: insmod icmpshell.ko. Gatavs, varat pārbaudīt: sudo ./send.py 45.11.26.232 "date > /tmp/test". Ja jūsu datorā ir fails /tmp/test un tajā ir norādīts pieprasījuma nosūtīšanas datums, kas nozīmē, ka jūs visu izdarījāt pareizi un es visu izdarīju pareizi.

Secinājums

Mana pirmā pieredze kodolenerģijas attīstībā bija daudz vieglāka, nekā es gaidīju. Pat bez pieredzes, izstrādājot C valodā, koncentrējoties uz kompilatoru padomiem un Google rezultātiem, es varēju uzrakstīt darba moduli un justies kā kodola hakeris un tajā pašā laikā skriptu mazulis. Turklāt es devos uz Kernel Newbies kanālu, kur man lika izmantot schedule_work() tā vietā, lai piezvanītu call_usermodehelper() pašā āķa iekšpusē un nokaunināja viņu, pamatoti aizdomājoties par krāpniecību. Simts koda rindiņas man izmaksāja apmēram nedēļu, ko attīstīju brīvajā laikā. Veiksmīga pieredze, kas iznīcināja manu personīgo mītu par sistēmas izstrādes milzīgo sarežģītību.

Ja kāds piekritīs Github koda pārskatīšanai, būšu pateicīgs. Esmu diezgan pārliecināts, ka esmu pieļāvis daudz stulbu kļūdu, it īpaši strādājot ar stīgām.

Avots: www.habr.com