如何使用Bash Bunny提取无线凭证

所有BHIS测试人员都对Hak5的最新玩具——Bash Bunny感到非常兴奋。上周，Jordan介绍了USB数据渗出负载。今天我将演示另一个巧妙负载，该负载已上传至他们的GitHub仓库，名为WiPassDump。此模块在已解锁的Windows机器上运行，可提取计算机上保存的任何WEP或WPA/2-PSK无线网络配置文件的明文凭证。基本上，该模块强制运行管理员命令提示符，然后执行以下命令：

netsh wlan export profile key=clear

既然机器必须已解锁，您可能想知道为什么不直接打开命令提示符手动运行上述命令？为什么要使用Bash Bunny？原因如下：在进行物理渗透测试或红队行动时，您经常会发现未锁定的工作站。如果要从这样的工作站收集数据，仅需插入USB设备即可更隐蔽地操作。您甚至不一定需要坐在计算机前。坦白说，如果有人注意到您，在他人键盘上输入内容绝对是危险信号，但站在某人桌旁（等待约7秒让Bash Bunny完成工作）若被抓住，更容易“解释”。

以下是准备和发起攻击的方法：

首先，将Bash Bunny置于准备模式（开关位置3，朝向插入端），并在此处获取负载文件。

将WiPassDump文件保存到攻击文件夹之一：switch1或switch2。

在文本编辑器中打开payload.txt，确保语言设置与您将运行此操作的计算机语言匹配。上传的负载设置为法语加拿大语言机器。我已将我的改为美式英语。

“Q ALT y”命令表示在出现UAC提示时输入字母“y”。这是UAC提升权限。现在保存更改并弹出驱动器。

要发起攻击，将开关移动到存储负载的开关位置，在我的情况下是开关位置1……

……并将其插入已解锁的机器。在我的Windows 8机器上运行大约需要7秒。运行的netsh命令为系统上找到的每个无线网络配置文件创建了一个单独的文件。以下是在我的一个测试机器上找到的内容：

每个文件包含SSID，并在可能的情况下（WEP/WPA-PSK和WPA2-PSK）包含密码短语：

然后我尝试使用非特权账户（Microsoft术语中的“标准”用户）运行脚本。它没有工作。有趣的是，非特权用户被允许成功转储无线配置文件，包括明文密码。

因此我像这样修改了payload.txt文件……

……并且它完美工作！ 不需要管理员权限。我在Windows 8和Windows 10机器上针对标准用户测试了此攻击。我怀疑它在其他版本上也会以相同方式工作。

那么如何预防此类攻击，或者至少限制损害？

• 不要在企业网络上使用WPA/2-PSK
• 不要将工作站解锁并无人看管
• 使用全盘加密以防止Konboot锁屏绕过攻击
• 在公司拥有的计算机上禁用USB访问或限制为特定已知设备

加入BHIS博客邮件列表 – 在我们发布新博客、网络直播和播客时获取通知。