成为物理黑客吧!利用树莓派实现P4wnP1项目进行渗透测试

看到标题的各位可能认为物理黑客是这样的。

当然今天并不是说的上面这种~

大家在小的时候可能在电影中看到过,一个大黑阔从手里掏出了一个U盘,然后噼里啪啦的操作一番,某大BOSS电脑就被打开了。在电脑被破解的那一刻,大家是否也想过,总有一天我能不能也能这样呢?

这样的U盘就叫badusb,网上有国外团队做好的成品(Bash Bunny),然而这个价格实在是感人……

那么问题来了,作为具有geek精神的(基)机佬,自然要用最低的成本来完成咯。所以笔者发现了P4wnP1这个开源项目。

P4wnP1 is a highly customizable USB attack platform, based on a low cost Raspberry Pi Zero or Raspberry Pi Zero W (required for HID backdoor). P4wnP1是一个高度可定制的USB攻击平台,基于低成本的Raspberry Pi Zero或Raspberry Pi Zero W(HID后门所需)。

废话不多说,我们直接进入主题吧!

需要什么

树莓派 Pi Zero W (某宝上有Zero,Zero W,Zero WH,因为我们需要的只有蓝牙和wifi故选择Zero W )

一张microSD(TF)卡(8G就够用了,大了也可以)

USB扩展板【选购】(这样就可以直接插USB进行数据连接,如果不想买的话你拿micro usb的数据线也是一样的)

系统:这里有一个坑,我用最新版的镜像系统安装会出现问题(wifi无法配置连接)… 所以我选择了2017年的raspbian jessie版本。下载地址:点我下载 。下载后缀为zip的解压成img即可

安装

硬件安装

由于本人比较嫌麻烦,所以就直接买了带USB的扩展版。以下是安装好之后的成品~

系统安装

用到的软件:win32diskimager 或者 rufus-3.4 ,两个都可以,这里贴一个rufus的下载链接。 rufus下载地址

同样我们里rufus为例,用读卡器将TF卡插入电脑,打开rufus,引导文件选择我们下载好的镜像文件,点击开始即可。

大概等个5分钟左右,镜像就写入完毕了。

Wifi配置

注意: Pi Zero W 只支持2.4G频率!

写入镜像之后,我们需要对树莓派的网络连接进行配置。我们打开boot分区,在其根目录下创建wpa_supplicant.conf 以及 ssh 文件(注ssh文件是没有后缀名的)

在wpa_supplicant.conf 文件中写入你的网络配置,(这一步操作是为了让你的电脑和树莓派处于同一个网络环境下,这样你才能通过ssh连接上),配置格式如下:

network={
    ssid="WiFi_name"
    psk="mypassword"
    key_mgmt=WPA-PSK
    priority=1
}

network={
    ssid="WiFi_name2"
    psk="password"
    key_mgmt=WPA-PSK
    priority=2
    scan_ssid=1
}

对以上Wifi配置名称的解释:

ssid - wifi名称
psk - wifi密码
key_mgmt - 如果你的wifi加密方式使用的WPA/WPA2,该类型为WPA-PSK,若为WEP加密或没密码,则为NONE。
priority - wifi优先级,如果你怕某个WiFi连接不上,则可以配置多个wifi,树莓派会按照优先级进行连接。
scan_ssid - 如果你的wifi是隐藏的,则需要指定该值为1

在配置完Wifi后,我们还要在根目录下创建一个名为 ssh的空文件(记住没有后缀名),配置完后如下图所示。

做完上述工作后,我们就可以将TF卡插入树莓派,然后插入电脑。

SSH连接到树莓派

当我们插上USB后,等待个1-2分钟,我们就可以在路由器管理界面上找到名为raspberrypi的设备,找到它的IP,记录下来。

接下来我们用putty进行ssh连接,用别的ssh软件也行,我这里以PUTTY为例:

填上树莓派的地址,然后连接。账号为pi 密码为raspberry。

配置安装P4wnP1

建议连接后,先改下源。这样速度快一点(针对国内用户)

修改源的方法:
sudo nano /etc/apt/sources.list
将 deb xxxxx 改成 
deb http://mirrors.aliyun.com/raspbian/raspbian/ stretch main contrib non-free rpi 
ctrl+o保存,ctrl+x退出

配置环境

sudo apt-get update

sudo apt-get install git john

git clone --recursive http://github.com/mame82/P4wnP1

克隆完毕后,执行下列操作

cd P4wnP1/
./install.sh

需要经过漫长的等待……在安装的时候可能会遇到一些安装询问,均按默认情况执行即可。

出现这个界面时就代表安装成功了!

使用

上述步骤完成之后,将树莓派插入想要入侵的电脑。(这里以一台win10的台式机为靶机)。

连接到一个名为P4wnP1的wifi,初始密码是:MaMe82-P4wnP1。

连接成功后,我们打开PUTTY,连接到:172.24.0.1 端口22, 账号密码仍然是树莓派的密码。

输入成功后有些会直接进入如下界面。

我们可以进入P4WNP1的安装路径,找到setup.cfgpayloads更换:

sudo nano /P4wnP1/setup.cfg

setup.cfg里面有很多配置,你可以根据需要进行一些修改.这里可能会出现一些配置问题,你可以拉到最下面查看解决方案。

payloads更换

更换payloads需要进入程序的安装目录进行更改,但是这里可能会有一些问题出现,笔者曾经安装过一次,它的安装目录会变到其他位置,但是后面几次安装它的安装目录仍然在当前目录下,如果遇到找不到安装路径的情况,可以试试以下命令。

sudo find -name P4wnP1

进入到安装目录后,对setup.cfg进行修改。

sudo nano /P4wnP1/setup.cfg

到最底部,找到Payload selection:

这里有很多以#号开头的payload,意味着他们是未被使用的。该项目只能一次性加载一个payload,所以你选择了network_only就不能选择别的payload. 这里我们以hid_backdoor_remote.txt为例。

首先在network_only前加上#号,再去掉backdoor_remote前的#号。

保存,退出。 你可以直接reboot,或者拔了数据线再插上去。

当我们再次连接的时候,如果出现如下图的情况,说明更换成功,你就可以开始搞事情了~

实战(以hid_backdoor_remote为例)

在进入到P4wnP1 shell时,我们需要先输入FireStage1,其对靶机进行连接操作。当出现”client connect”字样时说明连接成功。

P.S:你可以输入help查看可以用的命令。

这里以shell为例,我们输入shell

可以看到我们正在以当前主机的身份进行了操作。

如果想要退出shell模式,按Ctrl+C即可退出。

以下对一些命令的解释

SendDuckyScript 发送键盘脚本 SendMouseScript 发送鼠标脚本 download 下载文件到树莓派 upload 上传文件到主机 shell 以靶机的身份访问控制台 CreateProc 创建进程 (打开记事本的命令为: CreateProc notepad) sendkeys xxx 发送‘xxx’键盘输入

其它很多命令的解释可以在 官方手册查看

在上Win10破解密码

这个是P4wnP1上比较特别的一个点。但是经过我个人测试之后,其实是存在一定限制的。

简单的说一下原理,先插好设备,在输入密码进去系统界面时,树莓派会截取到有密码的hash值,然后暴力破解一个一个进行对比… 简单的字母比如abc,123速度确实很快,但是如果是字母+数字或者又长又复杂的组合密码可能要破解到猴年马月了。

假如密码是弱密码

我们设置完payloads后,插入电脑。在受害者输入密码后,树莓派会自己利用 John the Ripper 模块进行破解,这个作者在文档说明中也提到了。

you leave P4wnP1 plugged and the hashes are handed over to John the Ripper, which tries to bruteforce the captured hash. If the ´password of the user who locked the box is weakly choosen, chances are high that John the Ripper is able to crack it, which leads to…

例如,笔者靶机上密码为abc,当插上树莓派时等待一会,输入密码进入windows系统,此时我们用另一台机子连接到树莓派的热点。执行以下命令

cd /P4wnP1/collected
ls

在collected文件夹内存储了窃听到的hash值。如果是弱密码,在后面会直接生成 .hashes.cracked .此时我们直接查看即可获得密码。

假如密码是强密码,且知道密码的组成

这里就要推荐一个工具了。 叫hashcat:下载地址 ,它需要GPU进行运算。

将我们得到的hash值,运用下面的命令执行

hashcat64.exe -m 5600 hash.txt -a 3 ?d?d?d?d?d?l?l

解释一下上面的命令,hash.txt是.hashes文件中的内容。后面问号表示不同位置密码的取值范围。例如上面的例子,密码的前五位是数字,后两位是字母。

详细的解释可以看这个: 点我

在手机上进行渗透测试

推荐俩APP

安卓:JuiceSSH

苹果:shelly

遇到的问题

如果真的嫌安装过程麻烦

作者提供了一个打包好的系统镜像,可以直接写入tf卡。

下载地址

SSH连接问题

如果遇到SSH拒绝连接,先想想你在配置完WiFi后有没有创建ssh文件,如果创建了但还是连不上,你可以重启一下路由器,看下是否是路由器记录出现了问题(这种情况会发生在你原来用这个树莓派装过系统,但是你重新安装系统后导致连不上),最后还是不行的话,再重装系统。

WiFi名设置问题

“为什么我在setup.cfg中修改了wifi名为什么加载出来的不是我修改的?”.

这是因为在加载payload的时候,项目会先从payload里面加载一些配置,而payload设置是默认原来setup.cfg中的。如何修改? 注释掉payload中相应的选项,只要程序发现payload中缺少一些选项的配置(如wifi名,密码等),程序会自动到setup.cfg补上缺少的选项。

树莓派没有开启热点模式,仍然是作为wifi连接的情况

sudo -i
nano /etc/network/interfaces

将图中框住的部分删掉即可

连接成功,但是弹不出主程序shell界面

在靶机上尽量选3.0接口,笔者用2.0的有时候就会出现这样的情况。

win10破解密码模式无法获得hash值

笔者是在锁屏的状态下,插上树莓派,等待了一会后才进入。 有时候会出现一定的延迟,或者压根不截取hash值,此时最好先清空collected文件内的内容,然后将靶机注销再进行尝试。

参考文档

P4wnP1

P4wnP1_Offical_Wiki

hashcat

如何将自己的树莓派打造成“渗透测试神器”

Snag Windows Passwords With Pi Zero | P4wnp1

*本文作者:Milu。,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2019-02-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区