转载自:http://www.evil0x.com/posts/478.html。查看更多内容请访问:邪恶十六进制

Arduino 是一款便捷灵活、方便上手的开源电子原型平台,包含硬件(各种型号的arduino板)和软件(arduino IDE)。它适用于艺术家、设计师、爱好者和对于“互动”有兴趣的朋友们。arduino官网:http://www.arduino.cc/

这个渗透思想源于前两周去银行更换U盾。

银行办理业务的地方都会有一个测试U盾的PC,用于检验U盾和激活,我运气比较背,正好碰上一个坏的。U盾插上后会自动启动一些应用,那么我们也可以做这样一个东西来启动并执行我们想要东西。

U盘中的autorun.inf可以做到。arduino也可以做到。
在做机器人的时候买了并了解了arduino,做机器人主要是为了拍妹纸。

arduino的板子种类也比较多。我使用的是arduino leonardo.

现在用它来做渗透。
主要思想是用它来做一个能自动敲东西的键盘。

Social-Engineer Toolkit有这个功能,不过它使用的是teensy这个板子,很小,和arduino leonardo都是使用的 ATMEGA32U4芯片。

这两天我一直在尝试将set生成的代码直接弄到arduino leonardo上运行,不会编程,没有成功。

不过我还是用set,这样可以少敲横多命令。

他生成了teensy代码:

 

将代码通过arduino IDE编译后写入硬件。

测试了下set没有启动httpd服务,我自己去生成一个马儿并启动httpd服务

插上arduino

在windows server 2008 R2上自动启动cmd。

自动“敲”入并执行命令

成功获得shell.

目前的arduino板子中只有leonardo支持keyboard,
其他好像也是可以支持的,使用virtual-usb-keyboard这个没有测试不知道成功与否。

银行放在外面的那个PC使用powershell做wget使用的方式还没法搞,XP没有powershell。不过有IE,有机会去试一试。

发表评论

电子邮件地址不会被公开。 必填项已用*标注