概述
Hak5 LAN Turtle是一款伪装成USB以太网适配器的隐蔽系统管理与渗透测试工具。该设备基于OpenWRT Linux系统,具备远程访问、网络情报收集和中间人监控能力。本文通过实际测试,详细记录了使用其QuickCreds模块捕获Windows凭据的全过程。
设备配置
初始设置
- 通过SSH连接至设备静态IP地址:172.16.84.1
- 默认root密码:sh3llz(首次登录需修改)
- 需安装Realtek USB FE Family Controller网络适配器驱动
模块安装
- 通过Module Manager下载QuickCreds模块
- 配置模块自动安装依赖(需联网)
- 启用QuickCreds的自动启动功能
凭据捕获过程
工作原理
QuickCreds模块基于Laurent Gaffie的Responder Python脚本,通过发送特定网络响应捕获已登录用户的Windows凭据。设备琥珀色以太网LED指示灯状态:
- 开启/关闭
- 关闭(10秒)
- 1Hz闪烁(15秒)
- 关闭(1-2秒)
- 快速闪烁(表示正在捕获凭据)
实际操作
- 将设备插入目标PC的USB端口
- 观察LED指示灯状态变化
- 当出现快速闪烁时,表示凭据已捕获
- 凭据存储在
/root/loot/目录下的编号文件夹中
取证分析
注册表痕迹
在Windows注册表中发现以下关键证据:
SYSTEM hive:
SYSTEM\ControlSet001\Enum\USB\VID_0BDA&PID_8152- 设备首次插入时间SYSTEM\ControlSet001\Enum\USB\VID_0BDA&PID_8152\00E04C36150A- 最近插入时间SYSTEM\ControlSet001\services\Tcpip\Parameters\Interfaces\{GUID}- DHCP服务器地址记录
SOFTWARE hive:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards\*- 网络适配器描述信息
时间线分析
通过注册表时间戳可以重建设备使用时间线:
- 首次插入:2016年12月21日 21:15:54 UTC
- 最近插入:2017年1月2日 11:45:01 UTC
- DHCP租约获取:2017年1月2日 11:24:37
兼容性测试
Windows 7
- 成功捕获NTLMv2凭据
- 完整的注册表痕迹记录
- 设备功能正常
Windows 10虚拟机
- 凭据捕获失败
- 缺少DHCP相关注册表记录
- 可能由于IP地址分配问题导致功能受限
技术细节
文件传输方法
- 使用PuTTY的pscp工具:
|
|
- 通过SSHFS模块使用FileZilla客户端
凭据格式
捕获的NTLMv2凭据格式示例:
|
|
总结
LAN Turtle作为隐蔽的渗透测试工具,在Windows 7环境下能有效捕获用户凭据,但在Windows 10虚拟机环境中存在兼容性问题。取证分析显示设备会在注册表中留下明显痕迹,包括设备插入时间、网络配置等信息,为数字取证调查提供了重要线索。