Доброго времени суток дорогие друзья. В этом посте я хочу показать, как собрать небольшой гаджет, используя Raspberry Pi Zero W. Суть которого будет заключаться в создание USB-Backdoor-а.

Что вам нужно:

• Raspberry Pi Zero W
  
• Micro-SD карта
  
• USB-шнурок(USB-MicroUSB)
  
• Последняя версия Raspbian (достаточно версии Lite)
  
• Программное обеспечение P4wnP1

Особенности P4wnP1:

• Скрытый канал HID Frontdoor / Backdoor: Удаленный доступ к ОС Microsoft Windows через устройства HID
  
• Windows 10 Lockpicker: Разблокировка ОС Microsoft Windows со слабыми паролями (полностью автоматизировано).
  
• Кража учетных данных браузера: Крадет учетные данные из браузера и копирует их на встроенную SD-карту.
  
• Доступ к SSH по Wi-Fi, поддерживает скрытый ESSID.
  
• Эмуляция USB-устройства. Работает с поддержкой Windows Plug and Play. Поддерживает следующие типы устройств:
  • HID Клавиатура / Мышь.
    
  • Запоминающее устройство USB: в настоящее время только в демонстрационной конфигурации с 128-мегабайтным диском.
    
  • RNDIS: сеть Microsoft Windows.
    
  • CDC ECM: сеть MacOS / Linux.
• Скрипты полезной нагрузки на основе Bash.
  
• John the Ripper Jumbo. Готовая версия скомпилирована!
  
• Интеграция с AutoSSH: для простых обратных туннелей ssh.
  
• Обратная связь через состояния светодиодов с помощью простой команды bash ( led_blink).
  
• Расширенные функции HID:
  • Полезные нагрузки клавиатуры, которые могут быть вызваны индикаторами основной клавиатуры (NUMLOCK, CAPSLOCK и SCROLLLOCK).
    
  • Динамическое разветвление полезной нагрузки на основе светодиодных триггеров
    
  • Поддерживает DuckyScripts!
    
  • Поддержка многоязычной раскладки клавиатуры (не нужно беспокоиться о целевом языке при использовании команд HID).
    
  • Загрузка начинается, когда загружается целевой драйвер клавиатуры (нет необходимости в ручных задержках, onKeyboardUpобратный вызов может использоваться в полезных нагрузках).
    
  • Поддерживает MouseScript.

Расширенные возможности сети:

• Фальшивый сетевой интерфейс RNDIS со скоростью до 20 ГБ/с обеспечивает минимальную метрику и выигрывает каждый бой за доминирующую запись «шлюза по умолчанию» в таблицах маршрутизации при проведении сетевых атак.
  
• Автоматическое обнаружение канала и переключение интерфейса, если полезная нагрузка включает как RNDIS, так и сеть ECM.
  
• Сервер SSH работает по умолчанию, поэтому P4wnP1 может быть подключен к 172.16.0.1 (при условии, что полезная нагрузка включает RNDIS, CDC ECM или оба) или к 172.24.0.1 через WiFi.

Расширенные функции полезной нагрузки:

• Полезные нагрузки bash на основе обратных вызовов ( template.txt подробности см. в полезной нагрузке).
  
• onNetworkUp (когда целевой хост активирует сетевое соединение).
  
• onTargetGotIP (если цель получила IP, доступ к IP можно получить из скрипта полезной нагрузки.
  
• onKeyboardUp (когда установка драйвера клавиатуры на цели завершена и клавиатура используется).
  
• onLogin (когда пользователь входит в P4wnP1 через SSH).

Конфигурация может быть выполнена глобально ( setup.cfg) или перезаписана для каждой полезной нагрузки (если тот же параметр определен в скрипте полезной нагрузки).

Настройки включают в себя:

• Конфигурация USB (идентификатор поставщика, идентификатор продукта, типы устройств для включения…).
  
• Конфиг WiFi (SSID, пароль…).
  
• HID клавиатура (целевой язык клавиатуры и т. д.).
  
• Конфигурация сети и DHCP.
  
• Выбор полезной нагрузки.

В чем преимущества P4wnP1 от Rubber Ducky:

• У вас есть возможность обрабатывать Ducky Script , встроенный в полезную нагрузку(bash).
  
• У вас также есть возможность запускать собственные полезные нагрузки клавиатуры, когда происходит событие, такое как нажатие клавиши.
  
• При установке на Raspberry Pi Zero W клавиатурные атаки также могут осуществляться с помощью WiFi, порождая точку доступа.
  
• Многоязычная поддержка через глобальную переменную полезной нагрузки!

Установка
Шаг 1: Загрузка и установка Raspbian:

Первым шагом является загрузка и установка последней версии Raspbian (lite) и прошивка на SD-карту.

• Сначала скачаем Raspbian Stretch Lite.

Raspbian Stretch Lite - это «облегченная» версия операционной системы для Raspberry Pis. «Lite» означает, что в ОС просто нет рабочего стола с графическим интерфейсом, поэтому мы будем делать все через командную строку.

Скачать прошивку можно отсюда: Download Raspbian for Raspberry Pi

• Следующим шагом установка Etcher.

Etcher - потрясающий инструмент, созданный Resin.io, который позволяет записывать изображения на SD-карты и USB-накопители. В этом случае мы будем использовать его для прошивки ОС Stretch Light на карту MicroSD.

• Откройте Etcher. Выберите ваш образ Stretch Light и и прошейте свою SD-карту.
  
  https://forum.antichat.xyz/attachmen...7556135212.png
  
• Извлеките и заново вставьте свою SD-карту. Этот шаг необходим только потому, что Etcher автоматически отключает SD-карту.

Перед тем, как вставить карту microSD в Pi, нам нужно отредактировать несколько файлов.

Шаг 2. Настройка образа.

• Сначала мы добавим файл wpa_supplicant.conf, чтобы система могла подключиться к нашей точке доступа Wi-Fi. Создайте файл в текстовом редакторе, я использую Notepad++ ( Notepad++ Home ).

Добавьте следующий текст, заменив ssid и psk правильными значениями для вашей точки Wi-Fi:

• Наконец, добавьте пустой файл с именем «ssh» (без расширения файла) в загрузочный раздел, чтобы включить SSH при старте системы.

https://forum.antichat.xyz/attachmen...7556567237.png

Извлеките SD-карту и вставьте ее в Pi Zero W. Вставьте штекер адаптера питания в разъем питания Pi Zero W и дождитесь загрузки(это займет около минуты).

Теперь нам нужно найти IP-адрес Pi Zero W в нашей сети. Вы можете использовать любой сетевой сканер. И поступаю также, как и при поиске IP уязвимых машин, а именно перехожу в настройки роутера и ищу пункт аренда DHCP.

https://forum.antichat.xyz/attachmen...7556667511.png

После получение IP нашей малины мы можем подключиться к ней по SSH. P.S. Логин: pi Пароль: raspberry

https://forum.antichat.xyz/attachmen...7556740480.png

https://forum.antichat.xyz/attachmen...7556959427.png

Шаг 3. Установка P4wnP1:
Команды для установки P4wnP1:

Код:


https://forum.antichat.xyz/attachmen...7557009085.png

https://forum.antichat.xyz/attachmen...7557044390.png

Шаг 4. Подключение к P4wnP1 после установки:
Мы можем подключиться к P4wnP1 без проводов, используя SSID «P4wnP1» и учетные данные «MaMe82-P4wnP1», или, поскольку гаджет включен в наш USB порт, мы можем просто подключиться через Putty, используя 172.16.0.1 в качестве IP-адреса.

https://forum.antichat.xyz/attachmen...7557115665.png

Хорошо! Мы подключились опять к своей малинке Pi после запуска установки P4wnP1, и теперь нам нужно настроить нашу первую полезную нагрузку! Вводим команды:

Код:


Мы должны увидеть много разных опций, но сейчас давайте сосредоточимся на нижней части файла setup.cfg.
В нижней части файла вы должны увидеть что-то похожее на это:

Код:


https://forum.antichat.xyz/attachmen...7557250730.png

Продолжайте, закомментируйте полезную нагрузку network_only.txt и раскомментируйте hid_backdoor.

Код:


https://forum.antichat.xyz/attachmen...7558205459.png

https://forum.antichat.xyz/attachmen...7558235414.png

На этом пожалуй все). Если у вас есть какие-либо вопросы, пожалуйста, оставьте комментарий ниже.

Видео с настройкой и демонстрацией.

git clone --recursive
Поправьте

А что дальше?
Ну воткнули в комп жертвы, и ушли в ближайший Макдак для подключения к интернету по ви-фи. Как дальше действовать? По тому же ip 172.16.0.1 подключаться??? Так мы ж в разных точках доступа сидим.... Объясни плиз!

Или обязательно находится в зоне доступа раздачи ви-фи сигнала от нашей Малинки?
В таком случае бежим не в Макдак, а в ближайший сортир, и оттуда проводим атаку! ))))) Приятное с полезным совмещаем )))))

Вот правильный вариант это совмещение сортира с атакой.
Единственный минус при атаке, это то что нужно находиться в пределе Wi-Fi сигнала. Можно конечно иметь направленную антенну и сидеть уже не в сортире а в Макдаке. Если вам интересно, то я могу даже замерить с какого расстояния Wi-Fi теряется.
P.S. Может напишу статью как получить. Backdoor находясь даже дома и управляя ПК жертвы.

Ну все равно интересно!
Спасибо за статью. Закажу себе малинку на алике!

Добрый день, есть вопрос. Будет ли это работать на zero без встроенной вафли, если подключить свисток и поднять на нем точку. Или могут быть проблемы с питанием? Кто-нибудь тестировал подобный вариант?

Как только подключить незаметно к pi свисток, чтоб еще и порт остался свободным).
Интересный кстати проект (спасибо опросу в шапке) PoisonTap, думаю вечером начну с него))

Могу протестить, но скорее всего все будет ОК

Опрос был, чтобы определиться писать мне ли статью. Статья зарезервированна)

Отличная статья! Автору спасибо за нее. Благодаря этой статье, наконец-то разобрался как правильно настроить малинку) Отдельное спасибо за отзывчивость. У меня возникли небольшие проблемы, я написал автору, и он тут же ответил и помог мне)

Доброго времени суток! у меня тут остро встал вопрос)))) если на машине которую мы атакуем стоит RU раскладка и я выбираю SetKeyboardLanguage 16(под номером 16 у меня стоит RU), а потом FireStage1.....и после этих манипуляций у меня слетает скрипт и меня выбрасывает в обычный стандартный терминал на rpi 0 w! А вот если на целевом компе стоит EN раскладка то все норм отрабатывает! С чем такое поведение может быть связано?

Интересная штука получается. Добавлю, что вместо подключения через micro-usb можно самостоятельно подпаять разъём usb к питанию и к данным, как показано на фото. Так мы сразу запитаемся от компьютера без доп. источников, и не надо будет ждать usb-stem с китайских магазинов

https://forum.antichat.xyz/attachmen...2398381785.png