如何利用BadUSB穿透3层内网

发布时间:2022-01-05 17:37:14 作者:柒染
来源:亿速云 阅读:187

如何利用BadUSB穿透3层内网,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。

作为一个安全人员,听过许多社工APT案例,钓鱼邮件、水坑攻击、丢个u盘等等。前段时间在一次培训中了解到BadUSB的攻击方式,可以通过U盘达到控制服务器的效果,在著名的美剧《黑客军团》中也出现了在停车场扔BadUSB来进行钓鱼的场景。

一时好奇,于是尝试模拟一次社工,利用VMware搭建了3层网络靶场,通过BadUSB+MSF的攻击手段,一步一步渗透到第三层网络。  

0x01 三层网络靶场搭建

本次模拟实验的网络拓扑如下:
第一层网络,模拟企业办公网,为一台win7的员工办公电脑,第二层网络模拟内网,是一台win2003服务器,第三层网络为企业核心网,为一台Linux服务器。攻击者的攻击机有kali和win10。

如何利用BadUSB穿透3层内网

我们可以利用VMware搭建出3层网络的网络环境,首先在虚拟机中新建3块网卡,并选择仅主机模式:  

如何利用BadUSB穿透3层内网

我们将kali设为第一层网络vmnet1,在网络适配器中选择自定义vmnet1:  

如何利用BadUSB穿透3层内网


在第一层靶机win7虚拟机设置中添加一个网络,并将两个网络分别设为vmnet1和vmnet2,达到双网卡的效果:  

如何利用BadUSB穿透3层内网


同理,将第二层靶机win2003设为双网卡vmnet2和vmnet3:  

如何利用BadUSB穿透3层内网


最后,将第三层靶机linux的网络设为vmnet3:  

如何利用BadUSB穿透3层内网


至此,我们本次试验的3层网络靶场已经搭建完毕,攻击者的kali只能访问第一层网络,而无法访问第二层和第三层的靶机:  

如何利用BadUSB穿透3层内网

0x02 BadUSB介绍

如何利用BadUSB穿透3层内网


我在本地的win10上做了演示,我的系统装了防病毒软件,并且补丁也更新到最新,但当我将上面的u盘查到电脑上的时候,他达到了任意执行命令的效果。

如何利用BadUSB穿透3层内网


当然上面的操作只是为了演示,我们完全可以利用他来做更多隐蔽的攻击操作。  

如何利用BadUSB穿透3层内网


2、USB RUBBER DUCKY
简称USB橡皮鸭,是最早的按键注入工具,通过嵌入式开发板实现,后来发展成为一个完全成熟的商业化按键注入攻击平台。它的原理同样是将USB设备模拟成为键盘,让电脑识别成为键盘,然后进行脚本模拟按键进行攻击。  

如何利用BadUSB穿透3层内网

1、BadUSB设备,目前在淘宝有售,我们这里选用的是Digispark,Digispark是一个基于ATTINY85微控制器的USB开发板,体积小且价钱便宜,淘宝有售:https://item.taobao.com/item.htm?spm=a1z09.2.0.0.57db2e8dK2zETX&id=559310622821&_u=b50qdl8ef4d

如何利用BadUSB穿透3层内网


2、Arduino IDE
Arduino IDE用于烧录代码的编译器,可以将我们的恶意代码烧录到BadUSB中,配置好相关参数,将开发板设为Digispark,编程器设为USBtinyISP:  

如何利用BadUSB穿透3层内网


编写好代码后,我们就可以点击“上传”按钮,然后插入BadUSB设备,一款简易BadUSB就做好了。

0x03 MSF内网渗透

有了上面的BadUSB的知识,我们可以模拟一个社工场景:企业内部人员捡到了一个“u盘”,出于好奇插在了自己的办公电脑上,而这个“u盘”其实是一个BadUSB,插上之后会自动下载攻击者用MSF制作的后门,所以在插上u盘之后,员工的办公电脑就已经被黑客控制,黑客从而可以进一步进行内网渗透、横向扩展。下面我们就来看看如何利用MSF一步一步进行内网渗透:

如何利用BadUSB穿透3层内网


这样一来,当win7被插上u盘后,攻击者的msf就获得了一个反弹shell:  

如何利用BadUSB穿透3层内网

我们可以在meterpreter中输入shell获得靶机win7的shell,执行ipconfig,发现第二层网络的网段信息:

如何利用BadUSB穿透3层内网


为了使得MSF能够继续对第二层网络进行渗透,我们首先需要添加路由表:  

metepreter> run autoroute -s 192.168.90.0/24

如何利用BadUSB穿透3层内网


这样,通往192.168.90.0/24网段的流量通过meterpreter 的session2进行路由。然后,我们在msf启动socks代理:  

msf> use auxiliary/server/socks4a   
msf > set srvhost 192.168.59.128     
msf > set srvport 9999  
msf > run

如何利用BadUSB穿透3层内网


这样其他攻击软件可以通过MSF socks代理、添加的路由对第二层渗透。  

此时,我们已经可以访问第二层网络192.168.90.0/24了,按照常见的渗透思路,我们会对第二层网络进行扫描探测,看看存活主机有哪些,比如用nmap进行扫描,不过在此之前,我们还需要配置kali中的proxychain,通过proxychain 将nmap的流量通过msf的socks代理,进行第二层的网络扫描。

由于proxychains无法代理icmp的数据包 所以必须添加-Pn -sT参数,即不检测主机是否存活,直接进行端口tcp扫描。

proxychains nmap -Pn -sT -p80,3306,445,3389,22 192.168.90.129-132

如何利用BadUSB穿透3层内网


通过扫描我们发现了,第二层网络中的靶机地址192.168.90.129,同时开启了80、445、3306、3389端口,因此下一步的渗透可以从这几个端口考虑。  这里有几个思路,可以从80端口找漏洞,尝试上传webshell,3306和3389可以尝试口令爆破,而445端口第一个就会想到大名鼎鼎的MS17-010,永恒之蓝。  

如何利用BadUSB穿透3层内网


成功攻击,获得meterpreter shell:  

如何利用BadUSB穿透3层内网


拿到system权限,我们可以修改administrator密码,或者新增管理员用户:  

net user tinhyfisher tinyfisher /add 添加用户tinyfisher密码为tinyfisher  
net localgroup administrators tinyfisher /add 将帐号tinyfishe升级为管理员

如何利用BadUSB穿透3层内网


然后是利用nmap探测第三层网络端口信息:  

如何利用BadUSB穿透3层内网


开放了80和22端口,思路比较明显,要拿到权限,要么ssh口令爆破,要么从web端找漏洞传webshell。  

如何利用BadUSB穿透3层内网


果然存在弱口令123456,直接拿到root权限。  

如何利用BadUSB穿透3层内网


打开访问,发现是Typecho的博客系统:  

如何利用BadUSB穿透3层内网


对于这种CMS我们的思路一般是直接去互联网搜索CMS的漏洞poc进行测试,这里就不再进一步演示:  

如何利用BadUSB穿透3层内网


至此,我们通过BadUSB让第一层网络中的win7系统下载并运行我们的恶意软件,然后通过MSF利用MS17-010、口令爆破、web渗透等方式穿透三层内网,最终拿下第三层网络系统的权限。常见的渗透思路可以参考下面的脑图:  

如何利用BadUSB穿透3层内网

本次模拟只是最简单的演示,实际情况会比这个复杂的多,比如目标会安装防病毒软件,因此,当利用BadUSB下载msf后门的时候需要考虑如何免杀,不然很容易被发现;各个网段一般也会做隔离,因此如何找到网络突破口比较难;内部会有各种安全设备,比如IDS、蜜罐、TDA等等,所以真正渗透比本次试验要难的多。

但这里出现的员工安全意识较差,补丁更新不及时、没有安装防病毒软件或者病毒库更新不及时、以及系统存在弱口令的问题在实际工作中也是经常遇到,做好企业安全工作这些基础工作很重要。

最后,通过USB接口攻击的案例很多,BadUSB只是一类,还有通过USB接口横跨PC和Mobile平台进行攻击的案例。我们在日常使用USB设备时,不要使用陌生的USB设备,避免USB存在恶意代码导致安全风险。

看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注亿速云行业资讯频道,感谢您对亿速云的支持。

推荐阅读:
  1. Ngrok内网穿透利器
  2. 没有公网IP如何实现内网穿透?

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

badusb

上一篇:如何使用三台redis做主从+哨兵功能

下一篇:微服务架构的优势与不足有哪些

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》