                                 .o0 Phrack 0o.
                                                      
                                    7권 55호
                                                           
                                   파일 5/16
                                                           
                                                           
재미있고 유익한 리눅스 커널 악용
--------------------------------------------------------------------------------
저자 : halfilife@infonexus.com [guild corporation]
번역 : 정세준 (hooamail@hanmail.net)



소개
----
        Loadable한 모듈은 디바이스 드라이버를 필요한 만큼(on a as-needed basis)
load하도록 하기때문에 리눅스의 아주 유용한 특징이다. 하지만, 나쁜면도 있다 : 
그건 커널 해킹을 너무 쉽게 만든다. 자기 커널을 더이상 믿지못한다면 어떻게 
되겠는가? 이 글은 커널 모듈이 쉽게 악용될 수 있는 간단한 방법을 설명한다.

시스템 콜(System calls)
-----------------------
        시스템 콜. 이것은 사용할 수 있는 function의 가장 낮은 레벨이며, 커널 
안쪽에서 수행된다. 이 글에서 우린 어떻게 그것들이 아주 간단한 tty 
hijacker/monitor를 만들도록 악용될 수 있는지 논의할 것이다. 커널을 망치는 것이기 
때문에, 모든 코드는 리눅스용으로 설계,작성될 것이며 그밖에 다른 곳에서는 
컴파일하지 않을 것이다.

        tap, ttywatcher같은 TTY Hijacker들은 Solaris, SunOS, 그리고 STREAMS가 
있는 다른 시스템들은 흔하지만, 리눅스는 아직까지 쓸만한 tty hijacker가 없다. 
(노트: 필자는 telnetsnoop같이 pty에 기반한 코드는 hijacker라 생각하지 않으며 
유용하다고도 생각지 않는다. 왜냐하면 사용자들을 모니터하기 위해 많은 시간을 
준비해야하기 때문이다.)

        리눅스는 현재 STREAMS가 없기 때문에(LinSTREAMS는 죽은것 같다.) stream을 
모니터하기 위해서는 둘중 하나의 방법으로 다가가야 한다. 입력 stream에 
keystroke을 넣기 위해 TIOCSTI ioctl을 쓸수 있기 때문에, keystroke을 채우는 건 
문제없다. 물론, 정답은 write(2) 시스템 콜을 write의 내용을 기록하는 우리 코드로 
redirect시키는 것이다. 만약 그것이 우리 tty를 향하게 된다면. ; 우린 진정한 
write(2) 시스템 콜을 호출할 수 있다.

        디바이스 드라이버는 분명 최고의 방법이 될 것이다. 기록된 데이타를 얻기 
위해 디바이스로부터 읽을 수 있으며, 어떤 tty를 기록할지 알려주기 위해 ioctl을 
추가시킬 수도 있다.

시스템 콜의 Redirection
-----------------------
        시스템 콜을 우리 코드로 redirect 하는 것은 꽤 쉽다. 그것은 대체로 
DOS처럼 거주 코드(resident code)를 종결시키고 지속시키는 동작을 한다. 변수에 
지난 주소를 저장하고, 새로운 지시점(new one pointing)을 우리 코드로 설정한다. 
우리 일을 수행하고나서 끝나면 원래 코드를 호출한다.

        이것에 대한 매우 간단한 예제가 hacked_setuid.c에 포함되어 있으며,
여러분이 insmod할 수 있는 간단한 loadable 모듈이다. 그리고 그 모듈이 일단 커널에 
삽입되면 setuid(4755)는 uid/euid/gid/egid를 0으로 설정할 것이다. (모든 코드에 
덧붙여진 파일을 보라). syscall에 대한 주소들은 sys_call_table 배열에 포함돼있다.
syscall을 우리 코드를 가리키고 있는 지점으로 redirect하는 것은 비교적 쉽다. 이 
작업을 한번 하면, 많은 일들이 가능해진다...

Linspy 노트
-----------
        이 모듈은 매우 더러워지기(to spot) 쉽다. 해야할 것은 cat /proc/modules 
뿐이고, 날짜만큼 알기쉽게 보여준다. 이것을 고칠수는 있지만, 할 의도는 없다.

        linspy를 사용하기 위해 major는 40이고 minor는 0인 ltap 디바이스를 
생성시킬 필요가 있다. 그 후에 run make를 하고, linspy 디바이스를 insmod하라. 
한번 삽입되면 ltread [tty]를 실행시킬 수 있고, 모든게 잘되면 사용자 화면 출력 
자료를 볼 것이다. 만일 잘 되지 않는다면... 음, 악몽으로 남겨두겠다.

코드 [ 코드를 unarchive 하기위해 포함된 extract.c 유틸리티를 사용하라 ]
--------------------------------------------------------------------------------


* 마지막 소스 코드 부분은 악용의 소지가 있기 때문에 임의로 삭제하였습니다.
  이 부분에 대한 자료는 원문 등을 직접 검색하여 참고하시길 바라겠습니다.