如何使用Bash Bunny提取无线凭证
所有BHIS测试员都对Hak5的最新玩具——Bash Bunny感到非常兴奋。上周,Jordan博客介绍了USB数据渗出payload。今天,我将演示另一个巧妙的payload,该payload已上传到他们的GitHub仓库,名为WiPassDump。此模块在未锁定的Windows机器上工作,以提取计算机上保存的任何WEP或WPA/2-PSK无线网络配置文件的明文凭证。基本上,该模块强制运行管理员命令提示符,然后发出以下命令:
netsh wlan export profile key=clear
既然机器必须未锁定,您可能想知道为什么不直接打开命令提示符并手动运行上述命令?为什么要使用Bash Bunny?原因如下:当您进行物理渗透测试或红队行动时,经常会发现未锁定的工作站。如果您要从这样的工作站收集数据,如果只需插入USB,则更容易保持隐蔽。您甚至不一定需要坐在计算机前。让我们面对现实,如果有人注意到您,在别人的键盘上打字绝对是一个危险信号,但站在某人的桌子附近(同时等待大约7秒让Bash Bunny完成工作)如果被抓住,可以更容易“解释”。
以下是准备和发起攻击的方法: 首先,将bunny置于准备模式(开关位置3,朝向插入点),并在此处获取payload文件。
将WiPassDump文件保存到攻击文件夹之一;switch1或switch2。
在文本编辑器中打开payload.txt,并确保语言设置与您将运行此操作的计算机的语言匹配。上传的payload设置为法语加拿大语言机器。我已将我的改为美式英语。
“Q ALT y”命令表示在出现UAC提示时输入字母“y”。这是UAC提升权限。现在保存更改并弹出驱动器。 要发起攻击,将开关移动到存储payload的开关位置,在我的情况下是开关位置1……
……并将其插入未锁定的机器。在我的Windows 8机器上运行大约需要7秒。运行的netsh命令为系统上找到的每个无线网络配置文件创建了一个单独的文件。以下是在我的一个测试机器上找到的内容:
这些文件中的每一个都包含SSID,并在可能的情况下(WEP/WPA-PSK和WPA2-PSK)包含密码短语:
然后我尝试使用非特权帐户(Microsoft术语中的“标准”用户)运行脚本。它没有工作。有趣的是,非特权用户被允许成功转储无线配置文件,包括明文密码。
因此,我像这样修改了payload.txt文件……
……并且它像冠军一样工作! 不需要管理员权限。我在Windows 8和Windows 10机器上针对标准用户测试了此攻击。我怀疑它在其他版本上也会以相同的方式工作。 那么,如何预防这种攻击,或者至少限制损害?
- 不要在企业网络上使用WPA/2-PSK
- 不要将工作站未锁定且无人看管
- 使用全盘加密以防止Konboot锁屏绕过攻击
- 在公司拥有的计算机上禁用USB访问或限制为特定的已知设备
加入BHIS博客邮件列表 – 在我们发布新博客、网络广播和播客时获取通知。
Sally Vandeven //
所有BHIS测试员都对Hak5的最新玩具——Bash Bunny感到非常兴奋。上周,Jordan博客介绍了USB数据渗出payload。今天,我将演示另一个巧妙的payload,该payload已上传到他们的GitHub仓库,名为WiPassDump。此模块在未锁定的Windows机器上工作,以提取计算机上保存的任何WEP或WPA/2-PSK无线网络配置文件的明文凭证。基本上,该模块强制运行管理员命令提示符,然后发出以下命令:
netsh wlan export profile key=clear
既然机器必须未锁定,您可能想知道为什么不直接打开命令提示符并手动运行上述命令?为什么要使用Bash Bunny?原因如下:当您进行物理渗透测试或红队行动时,经常会发现未锁定的工作站。如果您要从这样的工作站收集数据,如果只需插入USB,则更容易保持隐蔽。您甚至不一定需要坐在计算机前。让我们面对现实,如果有人注意到您,在别人的键盘上打字绝对是一个危险信号,但站在某人的桌子附近(同时等待大约7秒让Bash Bunny完成工作)如果被抓住,可以更容易“解释”。
以下是准备和发起攻击的方法: 首先,将bunny置于准备模式(开关位置3,朝向插入点),并在此处获取payload文件。
将WiPassDump文件保存到攻击文件夹之一;switch1或switch2。
在文本编辑器中打开payload.txt,并确保语言设置与您将运行此操作的计算机的语言匹配。上传的payload设置为法语加拿大语言机器。我已将我的改为美式英语。
“Q ALT y”命令表示在出现UAC提示时输入字母“y”。这是UAC提升权限。现在保存更改并弹出驱动器。 要发起攻击,将开关移动到存储payload的开关位置,在我的情况下是开关位置1……
……并将其插入未锁定的机器。在我的Windows 8机器上运行大约需要7秒。运行的netsh命令为系统上找到的每个无线网络配置文件创建了一个单独的文件。以下是在我的一个测试机器上找到的内容:
这些文件中的每一个都包含SSID,并在可能的情况下(WEP/WPA-PSK和WPA2-PSK)包含密码短语:
然后我尝试使用非特权帐户(Microsoft术语中的“标准”用户)运行脚本。它没有工作。有趣的是,非特权用户被允许成功转储无线配置文件,包括明文密码。
因此,我像这样修改了payload.txt文件……
……并且它像冠军一样工作! 不需要管理员权限。我在Windows 8和Windows 10机器上针对标准用户测试了此攻击。我怀疑它在其他版本上也会以相同的方式工作。 那么,如何预防这种攻击,或者至少限制损害?
- 不要在企业网络上使用WPA/2-PSK
- 不要将工作站未锁定且无人看管
- 使用全盘加密以防止Konboot锁屏绕过攻击
- 在公司拥有的计算机上禁用USB访问或限制为特定的已知设备
准备好了解更多吗? 通过Antisyphon的实惠课程提升您的技能! Pay-Forward-What-You-Can培训 提供实时/虚拟和点播选项
交叉发布:MIR-SWAMP与BLACK HILLS的渗透测试:绕过Cylance:第1部分 – 使用VSAgent.exe
7条评论
fred 2017年3月28日 @ 7:59 am 您在以非管理员身份转储配置文件后检查了导出文件吗?您不应该有明文密码短语。根据netsh帮助: “如果需要明文密钥且调用者是本地管理员,输出XML文件将包含明文密钥。否则,输出XML文件将包含加密密钥”
Sally 2017年3月28日 @ 12:27 pm 嗨Fred。是的,帮助确实说明这不应该作为标准用户可能,但我们在输出文件中看到明文密码。您可以通过发出命令“netsh wlan export profile folder=C:\temp key=clear”自行检查。如果您得到不同的结果,请告诉我们。谢谢!
Sally 2017年3月29日 @ 8:59 am 更新2017年3月29日:这已在独立的Windows 7、8、10主机以及域加入的Windows 7主机上测试,结果相同。这并不是说没有办法防止标准用户导出无线密码,但似乎默认情况下他们可以。
fred 2017年3月29日 @ 10:55 am 啊,很好,谢谢回复,我附近没有标准机器/帐户测试,我会的,如果它使用标准用户权限工作,那很酷。如果我得到相同的结果,我会让您知道。
fred 2017年3月29日 @ 11:19 am 找到了一台Win7机器,不幸的是,如果我不是本地管理员,我无法获得明文密钥,导出成功但密钥已加密(当我将用户放入本地管理员组时,它是明文的)。我使用了本地用户,而不是域用户。好吧,无论如何我会保留这个想法,因为它是一个好主意,只是尝试看看!
Endless Nameless 2017年4月6日 @ 4:19 pm 您对Bash Bunny有什么看法?有用吗?
Massive Dynamic 2017年5月8日 @ 7:32 pm @EndlessNameless我不是任何特定操作系统的粉丝。话虽如此,我喜欢一个可以黑客所有的工具。然而,Bunny应该是一半的价格,并作为测试版构建销售,因为像这样的网站负责Bunny提供的大部分渗透测试payload。然而,即使Sally对脚本的修改也无法使其正常工作。我有信心她会解决问题,但唉,它不起作用。 唯一的方法是手动将Bunny插入Windows盒子并运行a.cmd文件。可悲的是,这是我唯一能使其工作的方法。最终,对于它报告的故障数量来说,它定价过高。
返回顶部
Black Hills Information Security, Inc. 890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447) © 2008 关于我们 | BHIS部落公司 | 隐私政策 | 联系
链接
搜索网站