开发者社区> 广岛秋泽> 正文

使用Bash Bunny从被锁定的系统抓取登陆凭据

简介: 在今年早些时候,FB就对Bash Bunny做了相关的报导。这款号称“世界上最先进的USB攻击工具”的Bash Bunny,是否真的像其所说的一样是款渗透神器呢?下面,我将通过实例演示如何利用Bash Bunny QuickCreds模块,获取到目标主机上的登陆凭据。
+关注继续查看

在今年早些时候,FB就对Bash Bunny做了相关的报导。这款号称“世界上最先进的USB攻击工具”的Bash Bunny,是否真的像其所说的一样是款渗透神器呢?下面,我将通过实例演示如何利用Bash Bunny QuickCreds模块,获取到目标主机上的登陆凭据。

简介

很幸运,我得到了一个Bash Bunny的硅谷优惠码,并非常期待Bash Bunny的表现。

首先,对于那些不熟悉该类攻击的人,我强烈推荐你可以先去阅读下mubix的原始帖子

配置

首先,我需要将payload加载到设备上并使它能正常工作。

我在Windows和Mac上的尝试都遇到了许多麻烦,最终我在Kali VM成功执行了Bunny。

随着你的[sic]VM被关闭,进入到设置>端口>USB 启用usb 3.0

将bunny切换到状态1;插入并等待它完全加载

添加一个usb过滤器(+图标)并添加设备(Linux 3.4.39 sunxi_usb_udc RNDIS/Ethernet Gadget [0333]驱动)

弹出bunny

将开关调到状态2和3,然后重复步骤2-4

打开你的vm,并且保持bunny未插入状态

在vm上wget bb.sh脚本

运行`sudo bash bb.sh`并按照引导设置

当bunny不在arm模式(位置3),在第三步后插入bunny

如果你操作正确的话,脚本会在这个阶段“检测”bunny

最后一步是再次使用你刚刚的设置“connect”主菜单后按“C”

现在你应该能够ssh到bunny,并可通过ping命令测试连接状态

DNS问题

完成上述配置步骤后,我可以SSH连接到我的bunny。

不幸的是,我无法正确下载任何内容或是更新它。

经过一番折腾后,我查看了一下在设备上的resolv.conf文件。

root@bunny:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=43 time=26.7 ms
^C
--- 8.8.8.8 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 26.766/26.766/26.766/0.000 ms
root@bunny:~# ping google.com
^C
root@bunny:~# cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 8.8.8.8
nameserver 8.8.4.4

我发现我的 pfSense 被配置为阻止所有传出的DNS请求。为了后续演示的方便,这里我禁用了我的防火墙规则。

工具安装

在Bash Bunny QuickCreds payload工作之前,我需要在设备上使用Responder。

首先,我将 ToolsInstaller 包添加到switch1有效载荷中。

接下来,我将QuickCreds有效载荷添加到switch2中。

不幸的是,ToolsInstaller的安装仍然失败。

接下来,我手动创建了一个名为pentest的文件夹。

完成创建后,我手动上传了impacket和responder到设备。

但不幸的是,安装依旧失败。

固件更新

至此我意识到可能是固件的问题,因此我决定更新我的固件版本。

进入下载页面,我发现目前最新的版本为1.3。

我按照页面的更新说明,完成了对设备上的固件更新操作。

成功安装

接着,我将Responder移动到了/tools/responder并尝试了快速攻击。

但问题再次出现,Bunny并没有显示攻击成功的绿光,我相信这肯定是Responder的问题。

最后,我找到了.deb文件,并成功安装了Responder!

执行

现在到了最激动人心的时刻了,我决定拿我女朋友加密锁定的笔记本电脑作为我的渗透目标。

我将bunny插入了她的笔记本,可以看到琥珀色的灯光。

没过几秒钟灯光颜色变成了绿色,说明我们的payload成功被执行。

检查设备后我们发现,多了一个包含NTLM哈希的文件。

哈希破解

根据女友提供给我的一小点提示,我开始尝试破解哈希密码。

Rays-MacBook-Pro:testing doyler$ hashcat -a 3 -m 5600 -i --increment-min=1 --increment-max=10 hash.txt ?l?l?l?l?l?l?l?l?l?l 
hashcat () starting...

OpenCL Platform #1: Apple
=========================
* Device #1: Intel(R) Core(TM) i7-6920HQ CPU @ 2.90GHz, skipped.
* Device #2: Intel(R) HD Graphics 530, 384/1536 MB allocatable, 24MCU
* Device #3: AMD Radeon Pro 460 Compute Engine, 1024/4096 MB allocatable, 16MCU

Hashes: 2 digests; 1 unique digests, 1 unique salts
Bitmaps: 16 bits, 65536 entries, 0x0000ffff mask, 262144 bytes, 5/13 rotates

Applicable optimizers:
* Zero-Byte
* Not-Iterated
* Single-Hash
* Single-Salt
* Brute-Force

Watchdog: Temperature abort trigger disabled.
Watchdog: Temperature retain trigger disabled.

The wordlist or mask that you are using is too small.
This means that hashcat cannot use the full parallel power of your device(s).
Unless you supply more work, your cracking speed will drop.
For tips on supplying more work, see: https://hashcat.net/faq/morework

Approaching final keyspace - workload adjusted.           

Session..........: hashcat                                
Status...........: Exhausted
Hash.Type........: NetNTLMv2
Hash.Target......: GIRLFRIEND::Girlfriend-THINK:dexxxxx...000000
Time.Started.....: Fri Jul 14 19:40:47 2017 (0 secs)
Time.Estimated...: Fri Jul 14 19:40:47 2017 (0 secs)
Guess.Mask.......: ?l [1]
Guess.Queue......: 1/10 (10.00%)
Speed.Dev.#2.....:        0 H/s (0.45ms)
Speed.Dev.#3.....:        0 H/s (0.00ms)
Speed.Dev.#*.....:        0 H/s
Recovered........: 0/1 (0.00%) Digests, 0/1 (0.00%) Salts
Progress.........: 26/26 (100.00%)
Rejected.........: 0/26 (0.00%)
Restore.Point....: 0/1 (0.00%)
Candidates.#2....: q -> x
Candidates.#3....: [Generating]



Session..........: hashcat
Status...........: Running
Hash.Type........: NetNTLMv2
Hash.Target......: GIRLFRIEND::Girlfriend-THINK:dexxxxx...000000
Time.Started.....: Wed Jul 19 12:28:22 2017 (1 sec)
Time.Estimated...: Wed Jul 19 12:28:26 2017 (3 secs)
Guess.Mask.......: ?l?l?l?l?l?l?l?l?l?l [10]
Guess.Queue......: 1/1 (100.00%)
Speed.Dev.#2.....: 12865.7 kH/s (4.11ms)
Speed.Dev.#3.....: 60526.9 kH/s (7.08ms)
Speed.Dev.#*.....: 73392.6 kH/s
Recovered........: 0/1 (0.00%) Digests, 0/1 (0.00%) Salts
Progress.........: xxxxxxxx/308915776 (xx%)
Rejected.........: 0/88440832 (0.00%)
Restore.Point....: xxxxxxxx/308915776 (xx%)
Candidates.#2....: xxxxxxxxxx -> xxxxxxxxxx
Candidates.#3....: xxxxxxxxxx -> xxxxxxxxxx

GIRLFRIEND::Girlfriend-THINK:dexxxxx:xxxxx:xxxxx:(password here)

总结

在成功破解密码后,我成功登陆到了我女友的笔记本。

这是我在bunny上成功使用的第一个payload。

最后,如果你有其他关于payload更好的想法或建议,或尝试编写一些个人的payload,那么欢迎与我取得联系并分享你的成果。

原文链接:https://www.doyler.net/security-not-included/bash-bunny-quickcreds

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用Bash Bunny从被锁定的系统抓取登陆凭据
在今年早些时候,FB就对Bash Bunny做了相关的报导。这款号称“世界上最先进的USB攻击工具”的Bash Bunny,是否真的像其所说的一样是款渗透神器呢?下面,我将通过实例演示如何利用Bash Bunny QuickCreds模块,获取到目标主机上的登陆凭据。
1734 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
9165 0
Windows系统下使用protobuf:protobuf的简介、安装、使用方法之详细攻略
Windows系统下使用protobuf:protobuf的简介、安装、使用方法之详细攻略
60 0
安装Appnode面板使用php命令时bash: php :command not found问题所在及解决办法
安装Appnode面板使用php命令时bash: php :command not found问题所在及解决办法
72 0
阿里云ARMS助力「叫叫阅读」解锁系统定位分析技能包
在ARMS的长期使用熏陶中,整个技术团队的编码能力潜移默化地得到了升华,获得了生产力的提升。
1350 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
24839 0
+关注
218
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载