ICMP မှနျူကလီးယားအခွံ

TL; DR: ကျွန်ုပ်သည် ICMP payload မှ command များကိုဖတ်ပြီး သင်၏ SSH ပျက်သွားလျှင်ပင် ဆာဗာပေါ်တွင် လုပ်ဆောင်မည့် kernel module တစ်ခုကို ရေးသားနေပါသည်။ စိတ်မရှည်ဆုံးအတွက်၊ ကုဒ်အားလုံးသည် github.

သတိပြုရန်! အတွေ့အကြုံရှိ C ပရိုဂရမ်မာများသည် သွေးမျက်ရည်များကျရန် အန္တရာယ်ရှိသည်။ စကားအသုံးအနှုန်းတွေမှာတောင် မှားနိုင်ပေမယ့် ဝေဖန်မှုမှန်သမျှကို ကြိုဆိုပါတယ်။ C programming ကို အကြမ်းဖျင်း စိတ်ကူးရှိပြီး Linux ၏ အတွင်းပိုင်းကို ကြည့်ရှုလိုသူများအတွက် ရည်ရွယ်ပါသည်။

မှတ်ချက်များတွင် ကျွန်ုပ်၏ ပထမဆုံးသော စကား ဆောင်းပါး အထူးသဖြင့် HTTPS၊ ICMP နှင့် DNS တို့တွင် အချို့သော “ပုံမှန်” ပရိုတိုကောများကို အတုခိုးနိုင်သည့် SoftEther VPN ကို ဖော်ပြထားပါသည်။ HTTP(S) နှင့် အလွန်ရင်းနှီးသောကြောင့် ၎င်းတို့အနက်မှ ပထမဆုံးအလုပ်လုပ်သူကိုသာ စိတ်ကူးကြည့်နိုင်ပြီး ICMP နှင့် DNS တို့ကို tunneling လုပ်ရန် သင်ယူခဲ့ရပါသည်။

ဟုတ်ကဲ့၊ 2020 မှာ ICMP packets တွေထဲကို မထင်သလို payload တစ်ခုကို ထည့်သွင်းနိုင်တယ်ဆိုတာ သိလာရတယ်။ ဒါပေမယ့် ဘယ်တော့မှ နောက်ကျတာ ပိုကောင်းပါတယ်။ ပြီးတော့ အဲဒါနဲ့ ပတ်သက်ပြီး တစ်ခုခု လုပ်နိုင်တဲ့အတွက်၊ အဲဒါကို လုပ်ရမယ်။ ကျွန်ုပ်၏နေ့စဉ်အသက်တာတွင် SSH အပါအဝင် command line ကို အများဆုံးအသုံးပြုသောကြောင့် ICMP shell တစ်ခု၏စိတ်ကူးသည် ကျွန်ုပ်၏စိတ်တွင် ပထမဆုံးဖြစ်လာသည်။ ပြီးပြည့်စုံသော bullshield bingo ကိုစုစည်းရန်အတွက် ကျွန်ုပ်သည် အကြမ်းဖျင်းစိတ်ကူးသာရှိသော ဘာသာစကားဖြင့် ၎င်းကို Linux module အဖြစ်ရေးရန် ဆုံးဖြတ်ခဲ့သည်။ ထိုသို့သော shell ကိုလုပ်ငန်းစဉ်များစာရင်းတွင်မြင်နိုင်မည်မဟုတ်ပါ၊ သင်သည်၎င်းကို kernel တွင်တင်နိုင်ပြီး၎င်းသည်ဖိုင်စနစ်တွင်ရှိလိမ့်မည်မဟုတ်ပါ၊ နားထောင်ခြင်းအပေါက်များစာရင်းတွင်သံသယရှိသောအရာကိုတွေ့လိမ့်မည်မဟုတ်ပါ။ ၎င်း၏စွမ်းဆောင်ရည်အရ၊ ၎င်းသည် ပြည့်စုံသော rootkit တစ်ခုဖြစ်သည်၊ သို့သော် Load Average သည် SSH မှတဆင့်ဝင်ရောက်ရန် မြင့်မားလွန်းပြီး အနည်းဆုံးလုပ်ဆောင်သည့်အခါ ၎င်းကို မြှင့်တင်ပြီး နောက်ဆုံးအပန်းဖြေစခန်းအဖြစ် အသုံးပြုရန် မျှော်လင့်ပါသည်။ echo i > /proc/sysrq-triggerပြန်လည်စတင်ခြင်းမရှိဘဲ access ကိုပြန်လည်ရယူရန်။

ကျွန်ုပ်တို့သည် Python နှင့် C၊ Google နှင့် Python တို့တွင် အခြေခံပရိုဂရမ်ရေးသားခြင်းစွမ်းရည်ကို စာသားတည်းဖြတ်သူအဖြစ် ရယူပါသည်။ virtual အရာအားလုံးပျက်သွားပါက ဓားအောက်တွင်ထည့်ထားရန် စိတ်မ၀င်စားပါ (ချန်လှပ်ထားနိုင်သည် - local VirtualBox/KVM/etc) ပြီးသွားကြရအောင်။

ဖောက်သည်ဘက်

client အပိုင်းအတွက် စာကြောင်း 80 လောက်နဲ့ ဇာတ်ညွှန်းရေးဖို့ လိုမယ်ထင်ပေမယ့် ကျွန်တော့်အတွက် စေတနာကောင်းထားတဲ့သူတွေ ရှိပါတယ်၊ အားလုံးအလုပ်. ကုဒ်သည် မထင်မှတ်ဘဲ ရိုးရိုးရှင်းရှင်း ဖြစ်သွားပြီး သိသာထင်ရှားသော စာကြောင်း ၁၀ ကြောင်းသို့ လိုက်ဖက်ပါသည်။

import sys
from scapy.all import sr1, IP, ICMP

if len(sys.argv) < 3:
    print('Usage: {} IP "command"'.format(sys.argv[0]))
    exit(0)

p = sr1(IP(dst=sys.argv[1])/ICMP()/"run:{}".format(sys.argv[2]))
if p:
    p.show()

ဇာတ်ညွှန်းသည် အကြောင်းပြချက်နှစ်ခု၊ လိပ်စာတစ်ခုနှင့် payload တစ်ခုယူသည်။ မပို့မီ၊ payload သည် သော့တစ်ခု၏ ရှေ့တွင် ရှိနေသည်။ run:ကျပန်း payloads များဖြင့် ပက်ကေ့ဂျ်များကို ဖယ်ထုတ်ရန် ၎င်းကို ကျွန်ုပ်တို့ လိုအပ်ပါမည်။

kernel သည် packages များဖန်တီးရန်အတွက် အခွင့်ထူးများ လိုအပ်သောကြောင့် script ကို superuser အဖြစ် run ရပါမည်။ execution permissions ပေးပြီး scapy ကိုယ်တိုင် install လုပ်ရန် မမေ့ပါနှင့်။ Debian ဟုခေါ်သော အထုပ်တစ်ခုရှိသည်။ python3-scapy. ယခု သင်သည် ၎င်းအားလုံး မည်သို့အလုပ်လုပ်သည်ကို စစ်ဆေးနိုင်ပြီဖြစ်သည်။

လုပ်ဆောင်ခြင်းနှင့် အမိန့်ထုတ်ခြင်း
morq@laptop:~/icmpshell$ sudo ./send.py 45.11.26.232 "Hello, world!"
Begin emission:
.Finished sending 1 packets.
*
Received 2 packets, got 1 answers, remaining 0 packets
###[ IP ]###
version = 4
ihl = 5
tos = 0x0
len = 45
id = 17218
flags =
frag = 0
ttl = 58
proto = icmp
chksum = 0x3403
src = 45.11.26.232
dst = 192.168.0.240
options
###[ ICMP ]###
type = echo-reply
code = 0
chksum = 0xde03
id = 0x0
seq = 0x0
###[ Raw ]###
load = 'run:Hello, world!

ဒါက sniffer ထဲကပုံပါပဲ။
morq@laptop:~/icmpshell$ sudo tshark -i wlp1s0 -O icmp -f "icmp and host 45.11.26.232"
Running as user "root" and group "root". This could be dangerous.
Capturing on 'wlp1s0'
Frame 1: 59 bytes on wire (472 bits), 59 bytes captured (472 bits) on interface wlp1s0, id 0
Internet Protocol Version 4, Src: 192.168.0.240, Dst: 45.11.26.232
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Code: 0
Checksum: 0xd603 [correct] [Checksum Status: Good] Identifier (BE): 0 (0x0000)
Identifier (LE): 0 (0x0000)
Sequence number (BE): 0 (0x0000)
Sequence number (LE): 0 (0x0000)
Data (17 bytes)

0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 run:Hello, world
0010 21 !
Data: 72756e3a48656c6c6f2c20776f726c6421
[Length: 17]

Frame 2: 59 bytes on wire (472 bits), 59 bytes captured (472 bits) on interface wlp1s0, id 0
Internet Protocol Version 4, Src: 45.11.26.232, Dst: 192.168.0.240
Internet Control Message Protocol
Type: 0 (Echo (ping) reply)
Code: 0
Checksum: 0xde03 [correct] [Checksum Status: Good] Identifier (BE): 0 (0x0000)
Identifier (LE): 0 (0x0000)
Sequence number (BE): 0 (0x0000)
Sequence number (LE): 0 (0x0000)
[Request frame: 1] [Response time: 19.094 ms] Data (17 bytes)

0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 run:Hello, world
0010 21 !
Data: 72756e3a48656c6c6f2c20776f726c6421
[Length: 17]

^C2 packets captured


တုံ့ပြန်မှုပက်ကေ့ချ်ရှိ ပေးဆောင်မှုမှာ ပြောင်းလဲခြင်းမရှိပါ။

Kernel module

Debian virtual machine တစ်ခုတွင် တည်ဆောက်ရန် အနည်းဆုံး လိုအပ်ပါမည်။ make и linux-headers-amd64ကျန်တာတွေက မှီခိုမှုပုံစံနဲ့လာမယ်။ ဆောင်းပါးရှိ ကုဒ်တစ်ခုလုံးကို ကျွန်ုပ်ပေးမည်မဟုတ်ပါ၊ သင်သည် ၎င်းကို Github တွင် ပုံတူပွားနိုင်သည်။

ချိတ်တပ်ဆင်မှု

စတင်ရန်အတွက်၊ ကျွန်ုပ်တို့သည် module ကိုဖွင့်ရန်နှင့် ၎င်းကိုဖြုတ်ချရန်အတွက် လုပ်ဆောင်မှုနှစ်ခု လိုအပ်ပါသည်။ Unloading အတွက် function မလိုအပ်ပေမယ့်၊ rmmod ၎င်းသည်အလုပ်မလုပ်ပါ၊ ပိတ်ထားသောအခါမှသာ module ကိုပြန်ဖွင့်လိမ့်မည်။

#include <linux/module.h>
#include <linux/netfilter_ipv4.h>

static struct nf_hook_ops nfho;

static int __init startup(void)
{
  nfho.hook = icmp_cmd_executor;
  nfho.hooknum = NF_INET_PRE_ROUTING;
  nfho.pf = PF_INET;
  nfho.priority = NF_IP_PRI_FIRST;
  nf_register_net_hook(&init_net, &nfho);
  return 0;
}

static void __exit cleanup(void)
{
  nf_unregister_net_hook(&init_net, &nfho);
}

MODULE_LICENSE("GPL");
module_init(startup);
module_exit(cleanup);

ဒီမှာဘာတွေဖြစ်နေတာလဲ:

1. module ကိုယ်တိုင်နှင့် netfilter ကို စီမံရန် ခေါင်းစီးဖိုင်နှစ်ခုကို ဆွဲထုတ်ပါသည်။
2. လုပ်ဆောင်ချက်အားလုံးသည် netfilter မှတဆင့်သွားသည်၊ ၎င်းတွင်ချိတ်များကိုသင်သတ်မှတ်နိုင်သည်။ ဒါကိုလုပ်ဖို့၊ ချိတ်ကို configure လုပ်မယ့် ဖွဲ့စည်းပုံကို ကြေညာဖို့ လိုပါတယ်။ အရေးအကြီးဆုံးအချက်မှာ hook အဖြစ်လုပ်ဆောင်မည့် function ကိုသတ်မှတ်ရန်ဖြစ်သည်။ nfho.hook = icmp_cmd_executor; ငါနောက်မှ function ကိုရောက်လိမ့်မယ်။
   ထို့နောက် ပက်ကေ့ဂျ်အတွက် လုပ်ဆောင်ချိန်ကို ကျွန်ုပ်သတ်မှတ်ထားသည်- NF_INET_PRE_ROUTING kernel တွင်ပထမဆုံးပေါ်လာသောအခါ package ကိုလုပ်ဆောင်ရန်သတ်မှတ်သည်။ သုံးနိုင်တယ် NF_INET_POST_ROUTING kernel မှထွက်သည်နှင့်အမျှ packet ကိုလုပ်ဆောင်ရန်။
   ငါ filter ကို IPv4 သို့သတ်မှတ်ထားသည် nfho.pf = PF_INET;.
   ကျွန်ုပ်သည် ကျွန်ုပ်၏ချိတ်ကို အမြင့်ဆုံးဦးစားပေးဖြစ်သည်- nfho.priority = NF_IP_PRI_FIRST;
   ပြီးတော့ ဒေတာဖွဲ့စည်းပုံကို တကယ့်ချိတ်အဖြစ် မှတ်ပုံတင်လိုက်တယ်။ nf_register_net_hook(&init_net, &nfho);
3. နောက်ဆုံးလုပ်ဆောင်ချက်သည် ချိတ်ကိုဖယ်ရှားသည်။
4. Compiler က မတိုင်ကြားနိုင်စေရန် လိုင်စင်ကို ရှင်းရှင်းလင်းလင်း ညွှန်ပြထားသည်။
5. လုပ်ငန်းဆောင်တာ module_init() и module_exit() module ကို စတင်ရန်နှင့် အဆုံးသတ်ရန် အခြားလုပ်ဆောင်ချက်များကို သတ်မှတ်ပါ။

payload ကိုပြန်လည်ရယူခြင်း။

ယခုကျွန်ုပ်တို့သည် payload ကိုထုတ်ယူရန်လိုအပ်သည်၊ ၎င်းသည်အခက်ခဲဆုံးအလုပ်ဖြစ်လာခဲ့သည်။ kernel တွင် payloads များနှင့်အလုပ်လုပ်ရန်အတွက် built-in function များမပါဝင်ပါ၊ သင်သည် အဆင့်မြင့် protocols များ၏ ခေါင်းစီးများကိုသာ ပိုင်းခြားနိုင်ပါသည်။

#include <linux/ip.h>
#include <linux/icmp.h>

#define MAX_CMD_LEN 1976

char cmd_string[MAX_CMD_LEN];

struct work_struct my_work;

DECLARE_WORK(my_work, work_handler);

static unsigned int icmp_cmd_executor(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
  struct iphdr *iph;
  struct icmphdr *icmph;

  unsigned char *user_data;
  unsigned char *tail;
  unsigned char *i;
  int j = 0;

  iph = ip_hdr(skb);
  icmph = icmp_hdr(skb);

  if (iph->protocol != IPPROTO_ICMP) {
    return NF_ACCEPT;
  }
  if (icmph->type != ICMP_ECHO) {
    return NF_ACCEPT;
  }

  user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
  tail = skb_tail_pointer(skb);

  j = 0;
  for (i = user_data; i != tail; ++i) {
    char c = *(char *)i;

    cmd_string[j] = c;

    j++;

    if (c == '')
      break;

    if (j == MAX_CMD_LEN) {
      cmd_string[j] = '';
      break;
    }

  }

  if (strncmp(cmd_string, "run:", 4) != 0) {
    return NF_ACCEPT;
  } else {
    for (j = 0; j <= sizeof(cmd_string)/sizeof(cmd_string[0])-4; j++) {
      cmd_string[j] = cmd_string[j+4];
      if (cmd_string[j] == '')
	break;
    }
  }

  schedule_work(&my_work);

  return NF_ACCEPT;
}

ဘာဖြစ်တာလဲ:

1. IP နှင့် ICMP ခေါင်းစီးများကို ကိုင်တွယ်ရန် ဤတစ်ကြိမ်တွင် နောက်ထပ် ခေါင်းစီးဖိုင်များ ထည့်သွင်းခဲ့ရပါသည်။
2. အများဆုံးလိုင်းအရှည်ကို ငါသတ်မှတ်ထားသည်- #define MAX_CMD_LEN 1976. ဒါကို ဘာကြောင့် တိတိကျကျ အကြောင်းမှာ compiler က တိုင်ကြားသောကြောင့်ဖြစ်သည်။ stack နဲ့ heap ကို နားလည်ဖို့လိုတယ်၊ တစ်နေ့ကျရင် ဒါကို သေချာလုပ်ပြီး ကုဒ်ကိုတောင် ပြင်ပေးမယ်လို့ သူတို့က အကြံပြုထားပြီးသားပါ။ ငါချက်ချင်း command ပါ ၀ င်မည့်လိုင်းကိုသတ်မှတ်ခဲ့သည် char cmd_string[MAX_CMD_LEN];. လုပ်ဆောင်ချက်အားလုံးတွင် မြင်နိုင်ရမည်၊ ဤအကြောင်းကို အပိုဒ် 9 တွင် အသေးစိတ်ပြောပြပါမည်။
3. ယခု ကျွန်ုပ်တို့ စတင်လုပ်ဆောင်ရန် လိုအပ်သည် (struct work_struct my_work;) ဖွဲ့စည်းတည်ဆောက်ပြီး ၎င်းကို အခြားလုပ်ဆောင်ချက်တစ်ခုနှင့် ချိတ်ဆက်ပါ (DECLARE_WORK(my_work, work_handler);) နဝမအပိုဒ်မှာ ဘာ့ကြောင့် လိုအပ်သလဲ ဆိုတာကိုလည်း ပြောပြပါမယ်။
4. အခုကျွန်တော်ကြေငြာတဲ့ function က ချိတ်ဖြစ်လိမ့်မယ်။ အမျိုးအစားနှင့် လက်ခံထားသော ငြင်းခုံမှုများကို netfilter မှ ညွှန်ပြသည်၊ ကျွန်ုပ်တို့သာ စိတ်ဝင်စားပါသည်။ skb. ၎င်းသည် ပက်ကတ်တစ်ခုနှင့်ပတ်သက်သော ရရှိနိုင်သော အချက်အလက်အားလုံးပါ၀င်သည့် အခြေခံဒေတာတည်ဆောက်မှုတစ်ခုဖြစ်သည့် socket ကြားခံတစ်ခုဖြစ်သည်။
5. လုပ်ဆောင်ချက်ကို လုပ်ဆောင်ရန်အတွက်၊ သင်သည် iteration နှစ်ခုအပါအဝင် တည်ဆောက်ပုံနှစ်ခုနှင့် variable များစွာ လိုအပ်မည်ဖြစ်သည်။

     struct iphdr *iph;
     struct icmphdr *icmph;
   
     unsigned char *user_data;
     unsigned char *tail;
     unsigned char *i;
     int j = 0;

6. ယုတ္တိဗေဒဖြင့် စတင်နိုင်သည်။ module အလုပ်လုပ်ရန်အတွက် ICMP Echo မှလွဲ၍ အခြား packet များမလိုအပ်ပါ၊ ထို့ကြောင့် ကျွန်ုပ်တို့သည် built-in လုပ်ဆောင်ချက်များကို အသုံးပြု၍ ကြားခံကိုခွဲခြမ်းစိပ်ဖြာကာ ICMP မဟုတ်သော နှင့် Non-Echo ပက်ကေ့ခ်ျများအားလုံးကို ဖယ်ထုတ်လိုက်ပါ။ ပြန်လာ NF_ACCEPT ပက်ကေ့ဂျ်လက်ခံခြင်းကိုဆိုလိုသည်၊ သို့သော်သင်ပြန်လာခြင်းဖြင့်ပက်ကေ့ဂျ်များကိုချနိုင်သည်။ NF_DROP.

     iph = ip_hdr(skb);
     icmph = icmp_hdr(skb);
   
     if (iph->protocol != IPPROTO_ICMP) {
       return NF_ACCEPT;
     }
     if (icmph->type != ICMP_ECHO) {
       return NF_ACCEPT;
     }

   IP ခေါင်းစီးများကို မစစ်ဆေးဘဲ ဘာဖြစ်မည်ကို ကျွန်ုပ် မစမ်းသပ်ခဲ့ပါ။ C နှင့် ပတ်သက်၍ ကျွန်ုပ်၏ အနိမ့်ဆုံး အသိပညာက ထပ်လောင်းစစ်ဆေးမှုများ မရှိဘဲ၊ ကြောက်မက်ဖွယ် တစ်စုံတစ်ရာ ဖြစ်လာနိုင်သည်ဟု ကျွန်ုပ်အား ပြောပြသည်။ ဒါကို မင်းငါ့ကို တားရင် ငါပျော်မယ်။

7. ယခု Package သည် သင်လိုအပ်သော အမျိုးအစားအတိအကျဖြစ်သောကြောင့် ဒေတာကို သင်ထုတ်ယူနိုင်ပါသည်။ Built-in လုပ်ဆောင်ချက်မပါဘဲ၊ သင်သည် payload ၏အစသို့ ညွှန်ပြချက်ကို ဦးစွာရယူရပါမည်။ ၎င်းကို တစ်နေရာတည်းတွင် လုပ်ဆောင်ပြီး၊ သင်သည် ICMP ခေါင်းစီး၏အစသို့ ညွှန်ပြချက်ကိုယူကာ ၎င်းကို ဤခေါင်းစီး၏အရွယ်အစားသို့ ရွှေ့ရန် လိုအပ်သည်။ အားလုံးက ဖွဲ့စည်းပုံကို သုံးတယ်။ icmph: user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
   ခေါင်းစီး၏အဆုံးသည် payload ၏အဆုံးနှင့်ကိုက်ညီရပါမည်။ skbထို့ကြောင့်၊ သက်ဆိုင်ရာဖွဲ့စည်းပုံမှနျူကလီးယားနည်းလမ်းများကိုအသုံးပြု၍ ၎င်းကိုကျွန်ုပ်တို့ရရှိပါသည်။ tail = skb_tail_pointer(skb);.

   
   
   ဓါတ်ပုံ ခိုးယူခံရတယ်။ ဒီမှာ, socket ကြားခံအကြောင်းပိုမိုဖတ်ရှုနိုင်ပါသည်။

8. သင့်တွင် အစနှင့်အဆုံးကို ညွှန်ပြပြီးသည်နှင့်၊ သင်သည် အချက်အလက်ကို စာကြောင်းတစ်ခုသို့ ကူးယူနိုင်သည်။ cmd_string၊ ရှေ့ဆက်တစ်ခုရှိမရှိ စစ်ဆေးပါ။ run: နှင့် ပက်ကေ့ဂျ် ပျောက်ဆုံးပါက စွန့်ပစ်ပါ သို့မဟုတ် လိုင်းကို ထပ်မံရေးသားခြင်းဖြင့် ဤရှေ့ဆက်ကို ဖယ်ရှားပါ။
9. ဒါပဲ၊ အခု တခြား ကိုင်တွယ်သူကို ခေါ်နိုင်ပါပြီ- schedule_work(&my_work);. ထိုသို့သောခေါ်ဆိုမှုဆီသို့ ကန့်သတ်ဘောင်တစ်ခုကို ကျော်ဖြတ်ရန် မဖြစ်နိုင်သောကြောင့်၊ အမိန့်ပေးသည့်စာကြောင်းသည် ဂလိုဘယ်ဖြစ်ရပါမည်။ schedule_work() ပြီးမြောက်သည့်ဖွဲ့စည်းပုံနှင့်ဆက်စပ်သည့်လုပ်ဆောင်ချက်ကို အလုပ်ချိန်ဇယားရေးဆွဲသူ၏ အထွေထွေတန်းစီတွင် ထည့်သွင်းပြီး ပြီးမြောက်စေကာ၊ သင်သည် အမိန့်ကို ပြီးမြောက်ရန် မစောင့်ဘဲနေစေမည်ဖြစ်သည်။ ချိတ်သည် အလွန်လျင်မြန်သောကြောင့် လိုအပ်ပါသည်။ မဟုတ်ပါက သင့်ရွေးချယ်မှုမှာ မည်သည့်အရာမှ စတင်မည်မဟုတ် သို့မဟုတ် သင်သည် kernel အထိတ်တလန့်ဖြစ်သွားမည်ဖြစ်သည်။ နှောင့်နှေးခြင်းသည် သေခြင်းနှင့်တူ၏။
10. ဒါပဲ၊ သက်ဆိုင်တဲ့ ပြန်ပို့မှုနဲ့အတူ အထုပ်ကို လက်ခံနိုင်ပါတယ်။

အသုံးပြုသူနေရာရှိ ပရိုဂရမ်တစ်ခုကို ခေါ်ဆိုခြင်း။

ဤလုပ်ဆောင်ချက်သည် နားလည်နိုင်ဆုံးဖြစ်သည်။ ၎င်း၏အမည်ကိုပေးခဲ့သည်။ DECLARE_WORK()အမျိုးအစားနှင့် လက်ခံထားသော ငြင်းခုံမှုများသည် စိတ်ဝင်စားဖွယ်မရှိပါ။ ကျွန်ုပ်တို့သည် command ဖြင့်စာကြောင်းကိုယူပြီး shell ကိုလုံးဝဖြတ်သန်းပါ။ ခွဲခြမ်းစိတ်ဖြာခြင်း၊ binaries နှင့် အခြားအရာအားလုံးကို ရှာဖွေခြင်းတို့ကို ကိုင်တွယ်စေပါ။

static void work_handler(struct work_struct * work)
{
  static char *argv[] = {"/bin/sh", "-c", cmd_string, NULL};
  static char *envp[] = {"PATH=/bin:/sbin", NULL};

  call_usermodehelper(argv[0], argv, envp, UMH_WAIT_PROC);
}

1. အငြင်းအခုံများကို strings များ array တစ်ခုသို့ သတ်မှတ်ပါ။ argv[]. ပရိုဂရမ်များကို ဤနည်းဖြင့် အမှန်တကယ်လုပ်ဆောင်ကြောင်း လူတိုင်းသိကြပြီး spaces နှင့် အဆက်မပြတ်လိုင်းအဖြစ် မဟုတ်ဘဲ၊
2. ပတ်ဝန်းကျင်ပြောင်းလဲမှုများကို သတ်မှတ်ပါ။ ကျွန်ုပ်သည် ၎င်းတို့အားလုံးကို ပေါင်းစပ်ပြီးသားဟု မျှော်လင့်ပြီး အနည်းဆုံး လမ်းကြောင်းတစ်ခုဖြင့် PATH ကိုသာ ထည့်သွင်းခဲ့သည်။ /bin с /usr/bin и /sbin с /usr/sbin. အခြားလမ်းများသည် လက်တွေ့တွင် အရေးမကြီးပါ။
3. ပြီးပါပြီ၊ လုပ်ကြရအောင်။ Kernel လုပ်ဆောင်ချက် call_usermodehelper() ဝင်ခွင့်လက်ခံသည်။ binary သို့ လမ်းကြောင်း၊ array of arguments၊ array of environment variables။ ဤနေရာတွင် သီးခြားအငြင်းအခုံတစ်ခုအဖြစ် လူတိုင်းက executable file သို့သွားသည့်လမ်းကြောင်း၏အဓိပ္ပါယ်ကို နားလည်သည်ဟု ယူဆသော်လည်း သင်မေးနိုင်ပါသည်။ နောက်ဆုံးအငြင်းအခုံက လုပ်ငန်းစဉ်ပြီးအောင်စောင့်ရမလားဆိုတာကို သတ်မှတ်ပါတယ် (UMH_WAIT_PROC) လုပ်ငန်းစဉ်စတင်ခြင်း (UMH_WAIT_EXEC) သို့မဟုတ် လုံးဝမစောင့်ပါ (UMH_NO_WAIT) နောက်ထပ်ရှိသေးလား။ UMH_KILLABLEငါက အဲဒါကို မကြည့်ဘူး။

အစည်းအဝေး

kernel module များစုဝေးခြင်းကို kernel make-framework မှတဆင့်လုပ်ဆောင်သည်။ ခေါ်တယ်။ make kernel ဗားရှင်းနှင့် ချိတ်ဆက်ထားသော အထူးလမ်းညွှန်တစ်ခုအတွင်း (ဤနေရာတွင် သတ်မှတ်ထားသည်- KERNELDIR:=/lib/modules/$(shell uname -r)/build) နှင့် module ၏တည်နေရာကို variable သို့ပေးပို့သည်။ M အငြင်းအခုံများတွင်။ icmpshell.ko နှင့် သန့်ရှင်းသောပစ်မှတ်များသည် ဤမူဘောင်ကို လုံးဝအသုံးပြုသည်။ IN obj-m module တစ်ခုအဖြစ်သို့ပြောင်းလဲမည့်အရာဝတ္ထုဖိုင်ကိုညွှန်ပြသည်။ ပြန်လည်ဖန်တီးပေးသော Syntax main.o в icmpshell.o (icmpshell-objs = main.o) ငါ့အတွက် သိပ်ယုတ္တိမရှိဘူး၊ ဒါပေမယ့် ဒီလိုဖြစ်ပါစေ။

KERNELDIR:=/lib/modules/$(shell uname -r)/build

obj-m = icmpshell.o
icmpshell-objs = main.o

all: icmpshell.ko

icmpshell.ko: main.c
make -C $(KERNELDIR) M=$(PWD) modules

clean:
make -C $(KERNELDIR) M=$(PWD) clean

ကျွန်ုပ်တို့စုဆောင်းသည်- make. တင်နေသည်- insmod icmpshell.ko. ပြီးပါပြီ၊ သင်စစ်ဆေးနိုင်သည်- sudo ./send.py 45.11.26.232 "date > /tmp/test". သင့်စက်တွင် ဖိုင်တစ်ခုရှိလျှင် /tmp/test ၎င်းတွင် တောင်းဆိုချက်ပေးပို့သည့်ရက်စွဲပါရှိသည်၊ ဆိုလိုသည်မှာ မင်းအရာရာကို မှန်မှန်ကန်ကန်လုပ်ခဲ့ပြီး ငါအရာရာကို မှန်မှန်ကန်ကန်လုပ်ခဲ့တယ်။

ကောက်ချက်

နျူကလီယား ဖွံ့ဖြိုးတိုးတက်ရေးနဲ့ ပတ်သက်ပြီး ကျွန်တော့်ရဲ့ ပထမဆုံး အတွေ့အကြုံက မျှော်လင့်ထားတာထက် အများကြီး ပိုလွယ်ပါတယ်။ ကွန်ပြူလာ အရိပ်အမြွက်များနှင့် Google ရလဒ်များကို အာရုံစိုက်ကာ C တွင် တီထွင်ဖန်တီးမှု အတွေ့အကြုံမရှိသည့်တိုင် ကျွန်ုပ်သည် အလုပ်လုပ်သည့် module တစ်ခုကို ရေးနိုင်ခဲ့ပြီး kernel hacker နှင့် တစ်ချိန်တည်းတွင် script kiddie ကဲ့သို့ ခံစားခဲ့ရသည်။ ထို့အပြင်၊ ကျွန်ုပ်အသုံးပြုရန်ပြောခဲ့သည့် Kernel Newbies ချန်နယ်သို့သွားခဲ့သည်။ schedule_work() ခေါ်မယ့်အစား call_usermodehelper() ချိတ်အတွင်းတွင် သူ့ဘာသာသူ အရှက်ကွဲကာ လှည့်စားမှုတစ်ခုဟု သံသယဖြစ်မိသည်။ ကုဒ်လိုင်းတစ်ရာသည် ကျွန်ုပ်အားလပ်ချိန်၌ ဖွံ့ဖြိုးတိုးတက်မှုအတွက် တစ်ပတ်ခန့် ကုန်ကျပါသည်။ စနစ်ဖွံ့ဖြိုးတိုးတက်မှု၏ ရှုပ်ထွေးနက်နဲရှုပ်ထွေးမှုနှင့်ပတ်သက်ပြီး ကျွန်ုပ်၏ကိုယ်ပိုင်ဒဏ္ဍာရီကို ဖျက်ဆီးပစ်သည့် အောင်မြင်သောအတွေ့အကြုံတစ်ခု။

Github တွင် ကုဒ်ပြန်လည်သုံးသပ်ခြင်းကို တစ်စုံတစ်ဦးမှ သဘောတူပါက ကျွန်ုပ် ကျေးဇူးတင်ပါမည်။ အထူးသဖြင့် ကြိုးတွေနဲ့ အလုပ်လုပ်တဲ့အခါ မိုက်မဲတဲ့အမှားတွေ အများကြီးလုပ်ခဲ့တာ သေချာပါတယ်။

source: www.habr.com