יאָדער שאָל איבער ICMP

טל; דר: איך שרייב אַ קערן מאָדולע וואָס וועט לייענען קאַמאַנדז פון די ICMP פּיילאָוד און ויספירן זיי אויף די סערווער אפילו אויב דיין SSH קראַשיז. פֿאַר די מערסט ומגעדולדיק, אַלע די קאָד איז גיטהוב.

וואָרענען יקספּיריאַנסט C פּראָוגראַמערז ריזיקירן בערסטינג אין טרערן פון בלוט! איך קען אפילו זיין פאַלש אין די טערמינאָלאָגיע, אָבער קיין קריטיק איז באַגריסן. דער פּאָסטן איז בדעה פֿאַר יענע וואָס האָבן אַ זייער פּראָסט געדאַנק פון C פּראָגראַממינג און ווילן צו קוקן אין די ין פון לינוקס.

אין די באַמערקונגען צו מיין ערשטער אַרטיקל דערמאנט SoftEther VPN, וואָס קענען נאָכקרימען עטלעכע "רעגולער" פּראָטאָקאָלס, ספּעציעל הטטפּס, ICMP און אפילו דנס. איך קען ימאַדזשאַן בלויז דער ערשטער פון זיי ארבעטן, ווייַל איך בין זייער באַקאַנט מיט הטטפּ (S), און איך האָבן צו לערנען טאַנאַלינג איבער ICMP און DNS.

יאָ, אין 2020 איך געלערנט אַז איר קענען אַרייַנלייגן אַ אַרביטראַריש פּיילאָוד אין ICMP פּאַקיץ. אָבער בעסער שפּעט ווי קיינמאָל! און וויבאלד מען קען עפעס טון דערוועגן, דארף מען עס טאן. זינט אין מיין טעגלעך לעבן איך רובֿ אָפט נוצן די באַפֿעלן שורה, אַרייַנגערעכנט דורך SSH, דער געדאַנק פון אַ ICMP שאָל געקומען צו מיין מיינונג ערשטער. און אין סדר צו אַסעמבאַל אַ גאַנץ בולשיעלד בינגאָ, איך באַשלאָסן צו שרייַבן עס ווי אַ לינוקס מאָדולע אין אַ שפּראַך וואָס איך נאָר האָבן אַ פּראָסט געדאַנק פון. אַזאַ אַ שאָל וועט ניט זיין קענטיק אין דער רשימה פון פּראַסעסאַז, איר קענען לאָדן עס אין די קערן און עס וועט נישט זיין אויף דער טעקע סיסטעם, איר וועט נישט זען עפּעס סאַספּישאַס אין דער רשימה פון צוגעהערט פּאָרץ. אין טערמינען פון זייַן קייפּאַבילאַטיז, דאָס איז אַ פול-פלעדזשד ראָאָטקיט, אָבער איך האָפֿן צו פֿאַרבעסערן עס און נוצן עס ווי אַ שאָל פון לעצטע ריזאָרט ווען די מאַסע דורכשניטלעך איז צו הויך צו קלאָץ אין דורך SSH און ויספירן לפּחות echo i > /proc/sysrq-triggerצו ומקערן אַקסעס אָן רעבאָאָטינג.

מיר נעמען אַ טעקסט רעדאַקטאָר, יקערדיק פּראָגראַממינג סקילז אין Python און C, Google און ווירטואַל וואָס איר טאָן ניט האָבן צו שטעלן אונטער די מעסער אויב אַלץ ברייקס (אַפּשאַנאַל - היגע ווירטואַלבאָקס / קוום / עטק) און לאָזן ס גיין!

קליענט זייַט

עס האט מיר אויסגעזען אז פאר דעם קליענט זאל איך דארפן שרייבן א שריפט מיט בערך 80 שורות, אבער עס זענען געווען גוטע מענטשן וואס האבן דאס געטון פאר מיר אַלע אַרבעט. דער קאָד איז געווען אַניקספּעקטידלי פּשוט, פּאַסיק אין 10 באַטייטיק שורות:

import sys
from scapy.all import sr1, IP, ICMP

if len(sys.argv) < 3:
    print('Usage: {} IP "command"'.format(sys.argv[0]))
    exit(0)

p = sr1(IP(dst=sys.argv[1])/ICMP()/"run:{}".format(sys.argv[2]))
if p:
    p.show()

דער שריפט נעמט צוויי אַרגומענטן, אַן אַדרעס און אַ פּיילאָוד. איידער שיקן, די פּיילאָוד איז פּריסידאַד דורך אַ שליסל run:, מיר וועלן דאַרפֿן עס צו ויסשליסן פּאַקאַדזשאַז מיט טראַפ פּיילאָודז.

דער קערן ריקווייערז פּריווילאַדזשאַז אין סדר צו מאַכן פּאַקאַדזשאַז, אַזוי די שריפט וועט זיין לויפן מיט סופּערוסער רעכט. דו זאלסט נישט פאַרגעסן צו געבן דורכפירונג פּערמישאַנז און ינסטאַלירן סקאַפּי זיך. דעביאַן האט אַ פּעקל גערופן python3-scapy. איצט איר קענען קאָנטראָלירן ווי אַלץ אַרבעט.

לויפן און אַרויספירן די באַפֿעל
morq@laptop:~/icmpshell$ sudo ./send.py 45.11.26.232 "Hello, world!"
Begin emission:
.Finished sending 1 packets.
*
Received 2 packets, got 1 answers, remaining 0 packets
###[ IP ]###
version = 4
ihl = 5
tos = 0x0
len = 45
id = 17218
flags =
frag = 0
ttl = 58
proto = icmp
chksum = 0x3403
src = 45.11.26.232
dst = 192.168.0.240
options
###[ ICMP ]###
type = echo-reply
code = 0
chksum = 0xde03
id = 0x0
seq = 0x0
###[ Raw ]###
load = 'run:Hello, world!

דאָס איז ווי עס קוקט ווי אין די סניפער
morq@laptop:~/icmpshell$ sudo tshark -i wlp1s0 -O icmp -f "icmp and host 45.11.26.232"
Running as user "root" and group "root". This could be dangerous.
Capturing on 'wlp1s0'
Frame 1: 59 bytes on wire (472 bits), 59 bytes captured (472 bits) on interface wlp1s0, id 0
Internet Protocol Version 4, Src: 192.168.0.240, Dst: 45.11.26.232
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Code: 0
Checksum: 0xd603 [correct] [Checksum Status: Good] Identifier (BE): 0 (0x0000)
Identifier (LE): 0 (0x0000)
Sequence number (BE): 0 (0x0000)
Sequence number (LE): 0 (0x0000)
Data (17 bytes)

0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 run:Hello, world
0010 21 !
Data: 72756e3a48656c6c6f2c20776f726c6421
[Length: 17]

Frame 2: 59 bytes on wire (472 bits), 59 bytes captured (472 bits) on interface wlp1s0, id 0
Internet Protocol Version 4, Src: 45.11.26.232, Dst: 192.168.0.240
Internet Control Message Protocol
Type: 0 (Echo (ping) reply)
Code: 0
Checksum: 0xde03 [correct] [Checksum Status: Good] Identifier (BE): 0 (0x0000)
Identifier (LE): 0 (0x0000)
Sequence number (BE): 0 (0x0000)
Sequence number (LE): 0 (0x0000)
[Request frame: 1] [Response time: 19.094 ms] Data (17 bytes)

0000 72 75 6e 3a 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 run:Hello, world
0010 21 !
Data: 72756e3a48656c6c6f2c20776f726c6421
[Length: 17]

^C2 packets captured


די פּיילאָוד אין די ענטפער פּעקל טוט נישט טוישן.

קערנעל מאָדולע

צו בויען אין אַ דעביאַן ווירטואַל מאַשין איר וועט דאַרפֿן בייַ מינדסטער make и linux-headers-amd64, די מנוחה וועט קומען אין די פאָרעם פון דיפּענדאַנסיז. איך וועל נישט צושטעלן די גאנצע קאָד אין דעם אַרטיקל, איר קענען קלאָון עס אויף Github.

קרוק סעטאַפּ

צו אָנהייבן מיט, מיר דאַרפֿן צוויי פאַנגקשאַנז צו לאָדן די מאָדולע און אַנלאָוד עס. די פונקציע פֿאַר אַנלאָודינג איז נישט פארלאנגט, אָבער דעמאָלט rmmod עס וועט נישט אַרבעטן, דער מאָדולע וועט זיין אַנלאָודיד בלויז ווען עס איז אַוועק.

#include <linux/module.h>
#include <linux/netfilter_ipv4.h>

static struct nf_hook_ops nfho;

static int __init startup(void)
{
  nfho.hook = icmp_cmd_executor;
  nfho.hooknum = NF_INET_PRE_ROUTING;
  nfho.pf = PF_INET;
  nfho.priority = NF_IP_PRI_FIRST;
  nf_register_net_hook(&init_net, &nfho);
  return 0;
}

static void __exit cleanup(void)
{
  nf_unregister_net_hook(&init_net, &nfho);
}

MODULE_LICENSE("GPL");
module_init(startup);
module_exit(cleanup);

וואס גייט פאר דא:

1. צוויי כעדער טעקעס זענען פּולד אין צו מאַניפּולירן די מאָדולע זיך און די נעטפילטער.
2. כל אַפּעריישאַנז גיין דורך אַ נעטפילטער, איר קענען שטעלן כוקס אין עס. צו טאָן דאָס, איר דאַרפֿן צו דערקלערן די סטרוקטור אין וואָס די קרוק וועט זיין קאַנפיגיערד. די מערסט וויכטיק זאַך איז צו ספּעציפיצירן די פֿונקציע וואָס וועט זיין עקסאַקיוטאַד ווי אַ קרוק: nfho.hook = icmp_cmd_executor; איך וועל קומען צו די פֿונקציע זיך שפּעטער.
   דערנאָך איך שטעלן די פּראַסעסינג צייט פֿאַר דעם פּעקל: NF_INET_PRE_ROUTING ספּעציפיצירט צו פּראָצעס דעם פּעקל ווען עס ערשטער אויס אין די קערן. קענען זיין געוויינט NF_INET_POST_ROUTING צו פּראָצעס די פּאַקאַט ווען עס גייט אַרויס די קערן.
   איך שטעלן די פילטער צו IPv4: nfho.pf = PF_INET;.
   איך געבן מיין קרוק די העכסטן בילכערקייַט: nfho.priority = NF_IP_PRI_FIRST;
   און איך פאַרשרייַבן די דאַטן סטרוקטור ווי די פאַקטיש פאַרטשעפּען: nf_register_net_hook(&init_net, &nfho);
3. די לעצט פֿונקציע רימוווז די קרוק.
4. די דערלויבעניש איז קלאר אנגעוויזן אַזוי אַז דער קאַמפּיילער קען נישט באַקלאָגנ זיך.
5. פאַנגקשאַנז module_init() и module_exit() שטעלן אנדערע פאַנגקשאַנז צו ינישאַלייז און פאַרענדיקן דעם מאָדולע.

ריטריווינג די פּיילאָוד

איצט מיר דאַרפֿן צו עקסטראַקט די פּיילאָוד, דאָס איז געווען די מערסט שווער אַרבעט. דער קערן טוט נישט האָבן אַ געבויט-אין פאַנגקשאַנז פֿאַר ארבעטן מיט פּיילאָודז, איר קענען בלויז פּאַרס כעדערז פון פּראָטאָקאָלס אויף העכער מדרגה.

#include <linux/ip.h>
#include <linux/icmp.h>

#define MAX_CMD_LEN 1976

char cmd_string[MAX_CMD_LEN];

struct work_struct my_work;

DECLARE_WORK(my_work, work_handler);

static unsigned int icmp_cmd_executor(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
  struct iphdr *iph;
  struct icmphdr *icmph;

  unsigned char *user_data;
  unsigned char *tail;
  unsigned char *i;
  int j = 0;

  iph = ip_hdr(skb);
  icmph = icmp_hdr(skb);

  if (iph->protocol != IPPROTO_ICMP) {
    return NF_ACCEPT;
  }
  if (icmph->type != ICMP_ECHO) {
    return NF_ACCEPT;
  }

  user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
  tail = skb_tail_pointer(skb);

  j = 0;
  for (i = user_data; i != tail; ++i) {
    char c = *(char *)i;

    cmd_string[j] = c;

    j++;

    if (c == '')
      break;

    if (j == MAX_CMD_LEN) {
      cmd_string[j] = '';
      break;
    }

  }

  if (strncmp(cmd_string, "run:", 4) != 0) {
    return NF_ACCEPT;
  } else {
    for (j = 0; j <= sizeof(cmd_string)/sizeof(cmd_string[0])-4; j++) {
      cmd_string[j] = cmd_string[j+4];
      if (cmd_string[j] == '')
	break;
    }
  }

  schedule_work(&my_work);

  return NF_ACCEPT;
}

וואס טוט זיך:

1. איך האָבן צו אַרייַננעמען נאָך כעדער טעקעס, דאָס מאָל צו מאַניפּולירן IP און ICMP כעדערז.
2. איך שטעלן די מאַקסימום שורה לענג: #define MAX_CMD_LEN 1976. פארוואס פּונקט דאָס? ווייל דער קאמפיילער קלאגט זיך דערויף! זיי האָבן מיר שוין סאַגדזשעסטיד אַז איך דאַרפֿן צו פֿאַרשטיין די סטאַק און קופּע, אַמאָל איך וועט באשטימט טאָן דאָס און אפֿשר אפילו ריכטיק די קאָד. איך גלייך שטעלן די שורה וואָס וועט אַנטהאַלטן דעם באַפֿעל: char cmd_string[MAX_CMD_LEN];. עס זאָל זיין קענטיק אין אַלע פאַנגקשאַנז, איך וועל רעדן וועגן דעם אין מער דעטאַל אין פּאַראַגראַף 9.
3. איצט מיר דאַרפֿן צו ינישאַלייז (struct work_struct my_work;) סטרוקטור און פאַרבינדן עס מיט אן אנדער פֿונקציע (DECLARE_WORK(my_work, work_handler);). איך וועל אויך רעדן וועגן וואָס דאָס איז נייטיק אין די נייַנט פּאַראַגראַף.
4. איצט איך דערקלערן אַ פֿונקציע, וואָס וועט זיין אַ קרוק. די טיפּ און אנגענומען אַרגומענטן זענען דיקטייטיד דורך די נעטפילטער, מיר זענען בלויז אינטערעסירט אין skb. דאָס איז אַ כאָלעל באַפער, אַ פונדאַמענטאַל דאַטן סטרוקטור וואָס כּולל אַלע בנימצא אינפֿאָרמאַציע וועגן אַ פּאַקאַט.
5. פֿאַר די פֿונקציע צו אַרבעטן, איר דאַרפֿן צוויי סטראַקטשערז און עטלעכע וועריאַבאַלז, אַרייַנגערעכנט צוויי יטערייטערז.

     struct iphdr *iph;
     struct icmphdr *icmph;
   
     unsigned char *user_data;
     unsigned char *tail;
     unsigned char *i;
     int j = 0;

6. מיר קענען אָנהייבן מיט לאָגיק. פֿאַר די מאָדולע צו אַרבעטן, קיין פּאַקיץ אנדערע ווי ICMP Echo זענען דארף, אַזוי מיר פּאַרס די באַפער מיט געבויט-אין פאַנגקשאַנז און וואַרפן אַלע ניט-ICMP און ניט-עקאָו פּאַקיץ. צוריקקומען NF_ACCEPT מיטל אַקסעפּטאַנס פון דעם פּעקל, אָבער איר קענען אויך פאַלן פּאַקאַדזשאַז דורך צוריקקומען NF_DROP.

     iph = ip_hdr(skb);
     icmph = icmp_hdr(skb);
   
     if (iph->protocol != IPPROTO_ICMP) {
       return NF_ACCEPT;
     }
     if (icmph->type != ICMP_ECHO) {
       return NF_ACCEPT;
     }

   איך האב נישט טעסטעד וואָס וועט פּאַסירן אָן קאָנטראָלירונג די IP כעדערז. מיין מינימאַל וויסן פון C דערציילט מיר אַז אָן נאָך טשעקס, עפּעס שרעקלעך איז געבונדן צו פּאַסירן. איך וועל זיין צופרידן אויב איר דיסיוד מיר פון דעם!

7. איצט אַז דער פּעקל איז פון די פּינטלעך טיפּ איר דאַרפֿן, איר קענען עקסטראַקט די דאַטן. אָן אַ געבויט-אין פֿונקציע, איר ערשטער האָבן צו באַקומען אַ טייַטל צו די אָנהייב פון די פּיילאָוד. דאָס איז געטאן אין איין אָרט, איר דאַרפֿן צו נעמען די טייַטל צו די אָנהייב פון די ICMP כעדער און מאַך עס צו די גרייס פון דעם כעדער. אַלץ ניצט סטרוקטור icmph: user_data = (unsigned char *)((unsigned char *)icmph + (sizeof(icmph)));
   דער סוף פון די כעדער מוזן גלייַכן די סוף פון די פּיילאָוד אין skb, דעריבער מיר באַקומען עס ניצן יאָדער מיטל פון די קאָראַספּאַנדינג סטרוקטור: tail = skb_tail_pointer(skb);.

   
   
   דאס בילד איז געגנבעט געווארן פונ דאַנעט, איר קענען לייענען מער וועגן די כאָלעל באַפער.

8. אַמאָל איר האָבן פּוינטערז צו די אָנהייב און סוף, איר קענען נאָכמאַכן די דאַטן אין אַ שטריקל cmd_string, טשעק עס פֿאַר דעם בייַזייַן פון אַ פּרעפיקס run: און, אָדער אַוועקוואַרפן דעם פּעקל אויב עס איז פעלנדיק, אָדער רירייט די שורה ווידער, רימוווינג דעם פּרעפיקס.
9. אַז ס עס, איצט איר קענען רופן אן אנדער האַנדלער: schedule_work(&my_work);. זינט עס וועט ניט זיין מעגלעך צו פאָרן אַ פּאַראַמעטער צו אַזאַ אַ רופן, די שורה מיט די באַפֿעל מוזן זיין גלאבאלע. schedule_work() וועט שטעלן די פֿונקציע פֿאַרבונדן מיט די דורכגעגאנגען סטרוקטור אין דער אַלגעמיין ריי פון די אַרבעט סקעדזשולער און פאַרענדיקן, אַלאַוינג איר נישט צו וואַרטן ביז די באַפֿעל איז געענדיקט. דאָס איז נייטיק ווייַל די קרוק מוזן זיין זייער שנעל. אַנדערש, דיין ברירה איז אַז גאָרנישט וועט אָנהייבן אָדער איר וועט באַקומען אַ קערן פּאַניק. פאַרהאַלטן איז ווי טויט!
10. אַז ס עס, איר קענען אָננעמען דעם פּעקל מיט אַ קאָראַספּאַנדינג צוריקקומען.

רופן אַ פּראָגראַם אין באַניצער פּלאַץ

דעם פֿונקציע איז די מערסט פאַרשטיייק. זיין נאָמען איז געווען געגעבן אין DECLARE_WORK(), די טיפּ און אנגענומען טענות זענען נישט טשיקאַווע. מיר נעמען די שורה מיט די באַפֿעל און פאָרן עס אין גאנצן צו די שאָל. לאָזן אים האַנדלען מיט פּאַרסינג, זוכן פֿאַר בינאַריעס און אַלץ אַנדערש.

static void work_handler(struct work_struct * work)
{
  static char *argv[] = {"/bin/sh", "-c", cmd_string, NULL};
  static char *envp[] = {"PATH=/bin:/sbin", NULL};

  call_usermodehelper(argv[0], argv, envp, UMH_WAIT_PROC);
}

1. שטעלן די אַרגומענטן צו אַ מענגע פון ​​​​סטרינגס argv[]. איך וועל אננעמען אז יעדער ווייסט אז פראגראמען ווערן טאקע אזוי דורכגעפירט, און נישט אלס א כסדרדיקע שורה מיט ספייס.
2. שטעלן סוויווע וועריאַבאַלז. איך ינסערטאַד בלויז PATH מיט אַ מינימום גאַנג פון פּאַטס, כאָופּינג אַז זיי זענען אַלע שוין קאַמביינד /bin с /usr/bin и /sbin с /usr/sbin. אנדערע פּאַטס ראַרעלי ענין אין פיר.
3. פֿאַרטיק, לאָמיר עס טאָן! קערנעל פֿונקציע call_usermodehelper() אַקסעפּץ פּאָזיציע. וועג צו די ביינערי, מענגע פון ​​אַרגומענטן, מענגע פון ​​סוויווע וועריאַבאַלז. דאָ איך אויך יבערנעמען אַז אַלעמען פארשטייט די טייַטש פון פאָרן דעם דרך צו די עקסעקוטאַבלע טעקע ווי אַ באַזונדער אַרגומענט, אָבער איר קענען פרעגן. די לעצטע אַרגומענט ספּעציפיצירט צי צו וואַרטן ביז דעם פּראָצעס איז געענדיקט (UMH_WAIT_PROC), פּראָצעס אָנהייב (UMH_WAIT_EXEC) אָדער נישט וואַרטן בייַ אַלע (UMH_NO_WAIT). איז עס עטלעכע מער UMH_KILLABLE, איך האב נישט געקוקט אין דעם.

Assembly

די פֿאַרזאַמלונג פון קערן מאַדזשולז איז דורכגעקאָכט דורך די קערן מאַכן-פראַמעוואָרק. גערופן make ין אַ ספּעציעל וועגווייַזער טייד צו די קערן ווערסיע (דיפיינד דאָ: KERNELDIR:=/lib/modules/$(shell uname -r)/build), און דער אָרט פון די מאָדולע איז דורכגעגאנגען צו די בייַטעוודיק M אין די טענות. די icmpshell.ko און ריין טאַרגאַץ נוצן דעם פריימווערק לעגאַמרע. אין obj-m ינדיקייץ די כייפעץ טעקע וואָס וועט זיין קאָנווערטעד אין אַ מאָדולע. סינטאַקס וואָס רימייקס main.o в icmpshell.o (icmpshell-objs = main.o) קוקט נישט זייער לאַדזשיקאַל צו מיר, אָבער אַזוי זיין עס.

KERNELDIR:=/lib/modules/$(shell uname -r)/build

obj-m = icmpshell.o
icmpshell-objs = main.o

all: icmpshell.ko

icmpshell.ko: main.c
make -C $(KERNELDIR) M=$(PWD) modules

clean:
make -C $(KERNELDIR) M=$(PWD) clean

מיר קלייַבן: make. לאָדן: insmod icmpshell.ko. געטאן, איר קענען קאָנטראָלירן: sudo ./send.py 45.11.26.232 "date > /tmp/test". אויב איר האָבן אַ טעקע אויף דיין מאַשין /tmp/test און עס אנטהאלט די דאטום וואס די פארלאנג איז געשיקט געווארן, דאס מיינט אז דו האסט אלעס געטון ריכטיג און איך האב אלעס געטון.

סאָף

מייַן ערשטער דערפאַרונג מיט יאָדער אַנטוויקלונג איז געווען פיל גרינגער ווי איך דערוואַרט. אפילו אָן דערפאַרונג דעוועלאָפּינג אין C, פאָוקיסינג אויף קאַמפּיילער הינץ און Google רעזולטאַטן, איך איז געווען ביכולת צו שרייַבן אַ ארבעטן מאָדולע און פילן ווי אַ קערן העקער, און אין דער זעלביקער צייט אַ שריפט קידי. אין דערצו, איך געגאנגען צו די Kernel Newbies קאַנאַל, ווו זיי דערציילט מיר צו נוצן schedule_work() אנשטאט רופן call_usermodehelper() ין דער קרוק זיך און שאַמעד אים, רעכט סאַספּעקטיד אַ סקאַם. א הונדערט שורות פון קאָד קאָס מיר וועגן אַ וואָך פון אַנטוויקלונג אין מיין פריי צייט. א געראָטן דערפאַרונג וואָס חרובֿ מיין פערזענלעכע מיטאָס וועגן די אָוווערוועלמינג קאַמפּלעקסיטי פון סיסטעם אַנטוויקלונג.

אויב עמעצער שטימען צו טאָן אַ קאָד רעצענזיע אויף Github, איך וועל זיין דאַנקבאַר. איך בין גאַנץ זיכער אַז איך געמאכט אַ פּלאַץ פון נאַריש מיסטייקס, ספּעציעל ווען איך אַרבעט מיט סטרינגס.

מקור: www.habr.com