ICMP वर आण्विक कवच

TL; डॉ: मी एक कर्नल मॉड्यूल लिहित आहे जे ICMP पेलोड वरून कमांड वाचेल आणि तुमचा SSH क्रॅश झाला तरीही सर्व्हरवर कार्यान्वित करेल. सर्वात अधीर साठी, सर्व कोड आहे github.

खबरदारी अनुभवी सी प्रोग्रामरना रक्ताचे अश्रू फुटण्याचा धोका! मी शब्दशः चुकीचे असू शकते, पण कोणत्याही टीका स्वागत आहे. पोस्ट त्यांच्यासाठी आहे ज्यांना सी प्रोग्रामिंगची खूप ढोबळ कल्पना आहे आणि ज्यांना लिनक्सच्या अंतर्भागात लक्ष घालायचे आहे.

माझ्या पहिल्या टिप्पण्यांमध्ये लेख सॉफ्टइथर व्हीपीएनचा उल्लेख केला आहे, जो काही "नियमित" प्रोटोकॉलची नक्कल करू शकतो, विशेषत: HTTPS, ICMP आणि अगदी DNS. मी कल्पना करू शकतो की त्यापैकी पहिले काम करत आहेत, कारण मी HTTP(S) शी खूप परिचित आहे, आणि मला ICMP आणि DNS वर टनेलिंग शिकावे लागले.

होय, 2020 मध्ये मला कळले की तुम्ही ICMP पॅकेटमध्ये अनियंत्रित पेलोड घालू शकता. पण कधीही न करण्यापेक्षा उशीरा चांगले! आणि त्याबद्दल काहीतरी केले जाऊ शकते म्हणून, ते करणे आवश्यक आहे. माझ्या दैनंदिन जीवनात मी बहुतेकदा कमांड लाइन वापरत असल्याने, SSH द्वारे, ICMP शेलची कल्पना प्रथम माझ्या मनात आली. आणि संपूर्ण बुलशील्ड बिंगो एकत्र करण्यासाठी, मी ते एका भाषेत लिनक्स मॉड्यूल म्हणून लिहिण्याचा निर्णय घेतला ज्याची मला फक्त अंदाज आहे. असे शेल प्रक्रियांच्या सूचीमध्ये दिसणार नाही, तुम्ही ते कर्नलमध्ये लोड करू शकता आणि ते फाइल सिस्टमवर नसेल, ऐकण्याच्या पोर्टच्या सूचीमध्ये तुम्हाला काहीही संशयास्पद दिसणार नाही. त्याच्या क्षमतेच्या बाबतीत, हे एक पूर्ण वाढ झालेले रूटकिट आहे, परंतु मला आशा आहे की त्यात सुधारणा होईल आणि SSH द्वारे लॉग इन करण्यासाठी आणि किमान कार्यान्वित करण्यासाठी लोड सरासरी खूप जास्त असेल तेव्हा अंतिम उपाय म्हणून ते वापरावे. echo i > /proc/sysrq-triggerरीबूट न ​​करता प्रवेश पुनर्संचयित करण्यासाठी.

आम्ही मजकूर संपादक घेतो, पायथन आणि सी, Google आणि मधील मूलभूत प्रोग्रामिंग कौशल्ये आभासी सर्व काही तुटल्यास चाकूखाली ठेवण्यास तुमची हरकत नाही (पर्यायी - स्थानिक व्हर्च्युअलबॉक्स/केव्हीएम/इ.) आणि चला जाऊया!

क्लायंटची बाजू

मला असे वाटले की क्लायंटच्या भागासाठी मला सुमारे 80 ओळींची स्क्रिप्ट लिहावी लागेल, परंतु माझ्यासाठी असे दयाळू लोक होते. सर्व काम. कोड अनपेक्षितपणे सोपा निघाला, 10 महत्त्वपूर्ण ओळींमध्ये बसतो:

import sys
from scapy.all import sr1, IP, ICMP

if len(sys.argv) < 3:
    print('Usage: {} IP "command"'.format(sys.argv[0]))
    exit(0)

p = sr1(IP(dst=sys.argv[1])/ICMP()/"run:{}".format(sys.argv[2]))
if p:
    p.show()

स्क्रिप्ट दोन वितर्क घेते, एक पत्ता आणि पेलोड. पाठवण्यापूर्वी, पेलोडच्या आधी की असते run:, यादृच्छिक पेलोडसह पॅकेजेस वगळण्यासाठी आम्हाला याची आवश्यकता असेल.

कर्नलला संकुल क्राफ्ट करण्यासाठी विशेषाधिकार आवश्यक आहेत, म्हणून स्क्रिप्ट सुपरयुजर म्हणून चालवावी लागेल. अंमलबजावणीसाठी परवानग्या देण्यास विसरू नका आणि स्कॅपी स्वतः स्थापित करा. डेबियन नावाचे पॅकेज आहे python3-scapy. आता आपण हे सर्व कसे कार्य करते ते तपासू शकता.

कमांड चालवणे आणि आउटपुट करणे
morq@laptop:~/icmpshell$ sudo ./send.py 45.11.26.232 "Hello, world!"
Begin emission:
.Finished sending 1 packets.
*
Received 2 packets, got 1 answers, remaining 0 packets
###[ IP ]###
version = 4
ihl = 5
tos = 0x0
len = 45
id = 17218
flags =
frag = 0
ttl = 58
proto = icmp
chksum = 0x3403
src = 45.11.26.232
dst = 192.168.0.240
options
###[ ICMP ]###
type = echo-reply
code = 0
chksum = 0xde03
id = 0x0
seq = 0x0
###[ Raw ]###
load = 'run:Hello, world!

स्निफरमध्ये हे असे दिसते
morq@laptop:~/icmpshell$ sudo tshark -i wlp1s0 -O icmp -f "icmp and host 45.11.26.232"
Running as user "root" and group "root". This could be dangerous.
Capturing on 'wlp1s0'
Frame 1: 59 bytes on wire (472 bits), 59 bytes captured (472 bits) on interface wlp1s0, id 0
Internet Protocol Version 4, Src: 192.168.0.240, Dst: 45.11.26.232
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Code: 0
Checksum: 0xd603 [correct] [Checksum Status: Good] Identifier (BE): 0 (0x0000)
Identifier (LE): 0 (0x0000)
Sequence number (BE): 0 (0x0000)
Sequence number (LE): 0 (0x0000)
Data (17 bytes)

0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 run:Hello, world
0010 21 !
Data: 72756e3a48656c6c6f2c20776f726c6421
[Length: 17]

Frame 2: 59 bytes on wire (472 bits), 59 bytes captured (472 bits) on interface wlp1s0, id 0
Internet Protocol Version 4, Src: 45.11.26.232, Dst: 192.168.0.240
Internet Control Message Protocol
Type: 0 (Echo (ping) reply)
Code: 0
Checksum: 0xde03 [correct] [Checksum Status: Good] Identifier (BE): 0 (0x0000)
Identifier (LE): 0 (0x0000)
Sequence number (BE): 0 (0x0000)
Sequence number (LE): 0 (0x0000)
[Request frame: 1] [Response time: 19.094 ms] Data (17 bytes)

0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 run:Hello, world
0010 21 !
Data: 72756e3a48656c6c6f2c20776f726c6421
[Length: 17]

^C2 packets captured


प्रतिसाद पॅकेजमधील पेलोड बदलत नाही.

कर्नल मॉड्यूल

डेबियन व्हर्च्युअल मशीन तयार करण्यासाठी आपल्याला किमान आवश्यक असेल make и linux-headers-amd64, उर्वरित अवलंबित्वाच्या स्वरूपात येईल. मी लेखात संपूर्ण कोड प्रदान करणार नाही; तुम्ही ते गिथबवर क्लोन करू शकता.

हुक सेटअप

सुरुवातीला, आम्हाला मॉड्यूल लोड करण्यासाठी आणि ते अनलोड करण्यासाठी दोन फंक्शन्सची आवश्यकता आहे. अनलोडिंगसाठी फंक्शन आवश्यक नाही, परंतु नंतर rmmod ते कार्य करणार नाही; मॉड्यूल केवळ बंद केल्यावरच अनलोड केले जाईल.

#include <linux/module.h>
#include <linux/netfilter_ipv4.h>

static struct nf_hook_ops nfho;

static int __init startup(void)
{
  nfho.hook = icmp_cmd_executor;
  nfho.hooknum = NF_INET_PRE_ROUTING;
  nfho.pf = PF_INET;
  nfho.priority = NF_IP_PRI_FIRST;
  nf_register_net_hook(&init_net, &nfho);
  return 0;
}

static void __exit cleanup(void)
{
  nf_unregister_net_hook(&init_net, &nfho);
}

MODULE_LICENSE("GPL");
module_init(startup);
module_exit(cleanup);

येथे काय चालले आहे:

1. मॉड्यूल स्वतः आणि नेटफिल्टरमध्ये फेरफार करण्यासाठी दोन हेडर फाइल्स खेचल्या जातात.
2. सर्व ऑपरेशन्स नेटफिल्टरद्वारे जातात, आपण त्यात हुक सेट करू शकता. हे करण्यासाठी, आपल्याला रचना घोषित करणे आवश्यक आहे ज्यामध्ये हुक कॉन्फिगर केले जाईल. सर्वात महत्वाची गोष्ट म्हणजे हुक म्हणून कार्यान्वित होणारे कार्य निर्दिष्ट करणे: nfho.hook = icmp_cmd_executor; मी नंतर स्वतः फंक्शनला जाईन.
   मग मी पॅकेजसाठी प्रक्रिया वेळ सेट केला: NF_INET_PRE_ROUTING जेव्हा ते प्रथम कर्नलमध्ये दिसते तेव्हा पॅकेजवर प्रक्रिया करण्यासाठी निर्देशीत करते. वापरले जाऊ शकते NF_INET_POST_ROUTING पॅकेट कर्नलमधून बाहेर पडल्यावर त्यावर प्रक्रिया करण्यासाठी.
   मी फिल्टरला IPv4 वर सेट केले: nfho.pf = PF_INET;.
   मी माझ्या हुकला सर्वोच्च प्राधान्य देतो: nfho.priority = NF_IP_PRI_FIRST;
   आणि मी डेटा संरचना वास्तविक हुक म्हणून नोंदणीकृत करतो: nf_register_net_hook(&init_net, &nfho);
3. अंतिम कार्य हुक काढून टाकते.
4. संकलक तक्रार करू नये म्हणून परवाना स्पष्टपणे दर्शविला आहे.
5. कार्ये module_init() и module_exit() मॉड्यूल सुरू करण्यासाठी आणि समाप्त करण्यासाठी इतर कार्ये सेट करा.

पेलोड पुनर्प्राप्त करत आहे

आता आपल्याला पेलोड काढण्याची आवश्यकता आहे, हे सर्वात कठीण काम असल्याचे दिसून आले. पेलोडसह कार्य करण्यासाठी कर्नलमध्ये अंगभूत कार्ये नाहीत; तुम्ही फक्त उच्च-स्तरीय प्रोटोकॉलचे शीर्षलेख पार्स करू शकता.

#include <linux/ip.h>
#include <linux/icmp.h>

#define MAX_CMD_LEN 1976

char cmd_string[MAX_CMD_LEN];

struct work_struct my_work;

DECLARE_WORK(my_work, work_handler);

static unsigned int icmp_cmd_executor(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
  struct iphdr *iph;
  struct icmphdr *icmph;

  unsigned char *user_data;
  unsigned char *tail;
  unsigned char *i;
  int j = 0;

  iph = ip_hdr(skb);
  icmph = icmp_hdr(skb);

  if (iph->protocol != IPPROTO_ICMP) {
    return NF_ACCEPT;
  }
  if (icmph->type != ICMP_ECHO) {
    return NF_ACCEPT;
  }

  user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
  tail = skb_tail_pointer(skb);

  j = 0;
  for (i = user_data; i != tail; ++i) {
    char c = *(char *)i;

    cmd_string[j] = c;

    j++;

    if (c == '')
      break;

    if (j == MAX_CMD_LEN) {
      cmd_string[j] = '';
      break;
    }

  }

  if (strncmp(cmd_string, "run:", 4) != 0) {
    return NF_ACCEPT;
  } else {
    for (j = 0; j <= sizeof(cmd_string)/sizeof(cmd_string[0])-4; j++) {
      cmd_string[j] = cmd_string[j+4];
      if (cmd_string[j] == '')
	break;
    }
  }

  schedule_work(&my_work);

  return NF_ACCEPT;
}

काय चाललय:

1. आयपी आणि आयसीएमपी शीर्षलेख हाताळण्यासाठी मला अतिरिक्त शीर्षलेख फायली समाविष्ट कराव्या लागल्या.
2. मी कमाल ओळ लांबी सेट केली आहे: #define MAX_CMD_LEN 1976. हे नक्की का? कारण संकलक त्याबद्दल तक्रार करतो! त्यांनी मला आधीच सुचवले आहे की मला स्टॅक आणि ढीग समजून घेणे आवश्यक आहे, एखाद्या दिवशी मी हे नक्कीच करेन आणि कदाचित कोड दुरुस्त करेन. मी ताबडतोब ओळ सेट केली ज्यामध्ये कमांड असेल: char cmd_string[MAX_CMD_LEN];. हे सर्व फंक्शन्समध्ये दृश्यमान असले पाहिजे; मी परिच्छेद 9 मध्ये याबद्दल अधिक तपशीलवार बोलेन.
3. आता आपल्याला प्रारंभ करणे आवश्यक आहे (struct work_struct my_work;) रचना करा आणि त्यास दुसर्या फंक्शनसह कनेक्ट करा (DECLARE_WORK(my_work, work_handler);). हे नवव्या परिच्छेदात का आवश्यक आहे याबद्दल मी देखील बोलेन.
4. आता मी एक फंक्शन घोषित करतो, जे हुक असेल. प्रकार आणि स्वीकृत युक्तिवाद नेटफिल्टरद्वारे निर्धारित केले जातात, आम्हाला फक्त त्यात रस आहे skb. हा एक सॉकेट बफर आहे, एक मूलभूत डेटा संरचना ज्यामध्ये पॅकेटबद्दल सर्व उपलब्ध माहिती असते.
5. फंक्शन कार्य करण्यासाठी, आपल्याला दोन पुनरावृत्त्यांसह दोन संरचना आणि अनेक व्हेरिएबल्सची आवश्यकता असेल.

     struct iphdr *iph;
     struct icmphdr *icmph;
   
     unsigned char *user_data;
     unsigned char *tail;
     unsigned char *i;
     int j = 0;

6. आपण तर्काने सुरुवात करू शकतो. मॉड्यूलने कार्य करण्यासाठी, ICMP इको व्यतिरिक्त इतर कोणत्याही पॅकेटची आवश्यकता नाही, म्हणून आम्ही अंगभूत फंक्शन्स वापरून बफरचे विश्लेषण करतो आणि सर्व नॉन-ICMP आणि नॉन-इको पॅकेट्स बाहेर टाकतो. परत NF_ACCEPT म्हणजे पॅकेजची स्वीकृती, परंतु तुम्ही परत येऊन पॅकेज देखील सोडू शकता NF_DROP.

     iph = ip_hdr(skb);
     icmph = icmp_hdr(skb);
   
     if (iph->protocol != IPPROTO_ICMP) {
       return NF_ACCEPT;
     }
     if (icmph->type != ICMP_ECHO) {
       return NF_ACCEPT;
     }

   आयपी हेडर तपासल्याशिवाय काय होईल याची मी चाचणी केली नाही. माझे C चे अत्यल्प ज्ञान मला सांगते की अतिरिक्त तपासण्यांशिवाय काहीतरी भयंकर घडणे निश्चितच आहे. तुम्ही मला यापासून परावृत्त केल्यास मला आनंद होईल!

7. आता पॅकेज तुम्हाला आवश्यक त्या प्रकारचे आहे, तुम्ही डेटा काढू शकता. बिल्ट-इन फंक्शनशिवाय, तुम्हाला प्रथम पेलोडच्या सुरूवातीस एक पॉइंटर मिळवावा लागेल. हे एकाच ठिकाणी केले जाते, तुम्हाला पॉइंटर ICMP शीर्षलेखाच्या सुरूवातीस नेणे आवश्यक आहे आणि ते या शीर्षलेखाच्या आकारात हलवावे लागेल. प्रत्येक गोष्ट रचना वापरते icmph: user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
   शीर्षलेखाचा शेवट पेलोडच्या शेवटाशी जुळला पाहिजे skb, म्हणून आम्ही ते संबंधित संरचनेतून आण्विक माध्यम वापरून मिळवतो: tail = skb_tail_pointer(skb);.

   
   
   चित्र चोरीला गेले येथून, आपण सॉकेट बफरबद्दल अधिक वाचू शकता.

8. एकदा तुमच्याकडे सुरुवात आणि शेवटचे पॉइंटर आले की, तुम्ही डेटा स्ट्रिंगमध्ये कॉपी करू शकता cmd_string, उपसर्गाच्या उपस्थितीसाठी ते तपासा run: आणि, एकतर पॅकेज गहाळ असल्यास टाकून द्या, किंवा हा उपसर्ग काढून ओळ पुन्हा लिहा.
9. तेच, आता तुम्ही दुसऱ्या हँडलरला कॉल करू शकता: schedule_work(&my_work);. अशा कॉलसाठी पॅरामीटर पास करणे शक्य नसल्यामुळे, कमांडसह ओळ जागतिक असणे आवश्यक आहे. schedule_work() पास केलेल्या स्ट्रक्चरशी संबंधित फंक्शन टास्क शेड्यूलरच्या सामान्य रांगेत ठेवेल आणि पूर्ण होईल, तुम्हाला कमांड पूर्ण होण्याची प्रतीक्षा करू नये. हे आवश्यक आहे कारण हुक खूप वेगवान असणे आवश्यक आहे. अन्यथा, तुमची निवड अशी आहे की काहीही सुरू होणार नाही किंवा तुम्हाला कर्नल पॅनिक मिळेल. विलंब मृत्यूसारखा आहे!
10. इतकेच, तुम्ही संबंधित रिटर्नसह पॅकेज स्वीकारू शकता.

यूजरस्पेसमध्ये प्रोग्राम कॉल करणे

हे कार्य सर्वात समजण्यासारखे आहे. मध्ये त्याचे नाव दिले होते DECLARE_WORK(), प्रकार आणि स्वीकृत युक्तिवाद मनोरंजक नाहीत. आम्ही कमांडसह ओळ घेतो आणि ती पूर्णपणे शेलमध्ये पास करतो. त्याला पार्सिंग, बायनरी शोधणे आणि इतर सर्व गोष्टी हाताळू द्या.

static void work_handler(struct work_struct * work)
{
  static char *argv[] = {"/bin/sh", "-c", cmd_string, NULL};
  static char *envp[] = {"PATH=/bin:/sbin", NULL};

  call_usermodehelper(argv[0], argv, envp, UMH_WAIT_PROC);
}

1. वितर्कांना स्ट्रिंगच्या अॅरेवर सेट करा argv[]. मी असे गृहीत धरतो की प्रत्येकाला माहित आहे की प्रोग्राम्स प्रत्यक्षात अशा प्रकारे कार्यान्वित केले जातात, आणि रिक्त स्थानांसह एक सतत ओळ म्हणून नाही.
2. पर्यावरण व्हेरिएबल्स सेट करा. मी पथांच्या किमान संचासह फक्त PATH घातला आहे, आशा आहे की ते सर्व आधीच एकत्र केले आहेत /bin с /usr/bin и /sbin с /usr/sbin. व्यवहारात इतर मार्ग क्वचितच महत्त्वाचे असतात.
3. झाले, करूया! कर्नल कार्य call_usermodehelper() प्रवेश स्वीकारतो. बायनरीचा मार्ग, वितर्कांचा अ‍ॅरे, पर्यावरण व्हेरिएबल्सचा अ‍ॅरे. येथे मी असेही गृहीत धरतो की प्रत्येकास स्वतंत्र युक्तिवाद म्हणून एक्झिक्यूटेबल फाईलचा मार्ग पास करण्याचा अर्थ समजतो, परंतु आपण विचारू शकता. शेवटचा युक्तिवाद प्रक्रिया पूर्ण होण्याची प्रतीक्षा करायची की नाही हे निर्दिष्ट करते (UMH_WAIT_PROC), प्रक्रिया सुरू (UMH_WAIT_EXEC) किंवा अजिबात वाट पाहू नका (UMH_NO_WAIT). अजून काही आहे का UMH_KILLABLE, मी त्यात लक्ष घातले नाही.

असेंब्ली

कर्नल मॉड्यूल्सची असेंब्ली कर्नल मेक-फ्रेमवर्कद्वारे केली जाते. कॉल केला make कर्नल आवृत्तीशी जोडलेल्या विशेष निर्देशिकेत (येथे परिभाषित: KERNELDIR:=/lib/modules/$(shell uname -r)/build), आणि मॉड्यूलचे स्थान व्हेरिएबलला दिले जाते M युक्तिवाद मध्ये. icmpshell.ko आणि स्वच्छ लक्ष्य हे फ्रेमवर्क पूर्णपणे वापरतात. IN obj-m ऑब्जेक्ट फाइल दर्शवते जी मॉड्यूलमध्ये रूपांतरित केली जाईल. रीमेक करणारी वाक्यरचना main.o в icmpshell.o (icmpshell-objs = main.o) मला फारसे तार्किक वाटत नाही, पण तसे असू द्या.

KERNELDIR:=/lib/modules/$(shell uname -r)/build

obj-m = icmpshell.o
icmpshell-objs = main.o

all: icmpshell.ko

icmpshell.ko: main.c
make -C $(KERNELDIR) M=$(PWD) modules

clean:
make -C $(KERNELDIR) M=$(PWD) clean

आम्ही गोळा करतो: make. लोड करत आहे: insmod icmpshell.ko. पूर्ण झाले, तुम्ही तपासू शकता: sudo ./send.py 45.11.26.232 "date > /tmp/test". तुमच्या मशीनवर फाइल असल्यास /tmp/test आणि त्यात विनंती पाठवल्याची तारीख आहे, याचा अर्थ तुम्ही सर्वकाही बरोबर केले आणि मी सर्वकाही बरोबर केले.

निष्कर्ष

आण्विक विकासाचा माझा पहिला अनुभव माझ्या अपेक्षेपेक्षा खूपच सोपा होता. C मध्‍ये विकसित होण्‍याचा अनुभव नसतानाही, कंपाइलर इशारे आणि Google परिणामांवर लक्ष केंद्रित करून, मी एक कार्यरत मॉड्यूल लिहू शकलो आणि कर्नल हॅकर आणि त्याच वेळी स्क्रिप्ट किडी सारखे वाटू शकलो. याव्यतिरिक्त, मी कर्नल न्यूबीज चॅनेलवर गेलो, जिथे मला वापरण्यास सांगितले होते schedule_work() कॉल करण्याऐवजी call_usermodehelper() हुक आत आणि त्याला लाज वाटली, योग्यरित्या एक घोटाळा संशय. कोडच्या शंभर ओळींचा माझ्या मोकळ्या वेळेत विकासाचा एक आठवडा खर्च होतो. एक यशस्वी अनुभव ज्याने सिस्टम विकासाच्या जबरदस्त जटिलतेबद्दल माझी वैयक्तिक समज नष्ट केली.

जर कोणी Github वर कोड पुनरावलोकन करण्यास सहमत असेल तर मी आभारी आहे. मला खात्री आहे की मी बर्‍याच मूर्ख चुका केल्या आहेत, विशेषत: स्ट्रिंगसह काम करताना.

स्त्रोत: www.habr.com