• XSS.stack #1 – первый литературный журнал от юзеров форума

Бэкдор я вдре Linux

Отслеживать
varwar

varwar

El Diff
Забанен
Регистрация
12.11.2020
Сообщения
1 383
Решения
5
Реакции
1 537
Пожалуйста, обратите внимание, что пользователь заблокирован
Привет, господа линуксойды. Интересует возможность помещения своего кода в ядро, полезная нагрузка - простейший reverse shell на С. Вопрос в каком месте ядра лучше закодить? Логичным видится функция kernel_init, которая запускает первоначально init модуль посредством kernel_execve. Т.е. как вариант сделать hijack этого модуля для запуска своего с последующим восстановлением code flow, но не уверен tcp/ip стек здесь уже проинициализирован и какие функции для работы с сетью вообще доступны ядру. Пока что для меня все это выглядит как одна большая кроличья нора, может кто подскажет куда смотреть. С помощью каких интерфейсов (желательно указать заголовочные файлы) можно реализовать необходимую функциональность Нагуглить что-то подобное я не смог. Проект образовательный для дамаги, поэтому оналитиков попрошу придержать коней.

P.S.

Версия ядра 5+, а точнее это Ubuntu 22.04
 
varwar сказал(а):
Интересует возможность помещения своего кода в ядро
В сторону написания драйвер - не думал? Мне тоже интересует данная тем, подправлю записки скину в пм.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
FREEM4N Пока не думал, задача немного в другом заключается, в конечном варианте бинарь ядра дожен аккуратно патчиться. Как реализовать загрузку целого драйвера с помощью патча я пока себе смутно представляю, а передать управление на какой-нибудь простой шеллкод возможно удастся. Для начала хочу просто разобраться что вообще есть в ядре для работы с tcp/ip, раньше ядро линукса не доводилось трогать. Посмотрел кодесы немного, есть сискол _sys_socket, возможно это то, что мне нужно.
 
varwar сказал(а):
есть сискол _sys_socket
номера сисколов всё равно отличаются в разных версиях ядер, точно так же как и в винде
 
Пожалуйста, обратите внимание, что пользователь заблокирован
l33t сказал(а):
номера сисколов всё равно отличаются в разных версиях ядер, точно так же как и в винде
Проблема поиска функций будет решаться сигнатурным поиском в бинаре.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
На всякий случай поясню, что взаимодействие с ядром идет напрямую, а не через юзермод, поэтому номера сисколов тут не имеют значения.
 
varwar сказал(а):
в конечном варианте бинарь ядра дожен аккуратно патчиться.
почему просто не подписать дровишки? потом можно деплоить не патча ядро. << в этой схеме будет меньше точек отказа. Я иду по этому пути.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
FREEM4N сказал(а):
почему просто не подписать дровишки? потом можно деплоить не патча ядро. << в этой схеме будет меньше точек отказа. Я иду по этому пути.
Не хочу спойлерить, но история немного иная. Я покажу в пм черновик.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Скрытый контент для пользователей: atavism.
 
Последнее редактирование модератором:
Пожалуйста, обратите внимание, что пользователь заблокирован
Tr3kzzz сказал(а):
целься в uefi) и делай инжекты)
Ситуация иная, никакого уефи там нет )
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Пожалуйста, обратите внимание, что пользователь заблокирован
Tr3kzzz сказал(а):
backdoor initramfs так проще) быстрее придёшь к результату
Спасибо, почитаю.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
FREEM4N
Пример работы PoC-драйвера с отладочным выводом в dmesg (бэкконнект через kernel_execve). Но как по мне это не самый прикольный метод.

rshell1.png
 
varwar сказал(а):
Но как по мне это не самый прикольный метод.
Не прикольно, но проверенно и может быть надежно (зависит от кодера). + Можно скрыть почти всю активность, будет видно только на уровне пакетов.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх