在今年早些時候，FB就對Bash Bunny做了相關的報導。這款號稱“世界上最先進的USB攻擊工具”的Bash Bunny，是否真的像其所說的一樣是款滲透神器呢？下面，我將通過實例演示如何利用Bash Bunny QuickCreds模塊，獲取到目標主機上的登陸憑據。

簡介

很幸運，我得到了一個Bash Bunny的矽谷優惠碼，並非常期待Bash Bunny的表現。

首先，對於那些不熟悉該類攻擊的人，我強烈推薦你可以先去閱讀下mubix的原始帖子。

配置

首先，我需要將payload加載到設備上並使它能正常工作。

我在Windows和Mac上的嘗試都遇到了許多麻煩，最終我在Kali VM成功執行了Bunny。

隨著你的[sic]VM被關閉，進入到設置>端口>USB 啟用usb 3.0

將bunny切換到狀態1；插入並等待它完全加載

添加一個usb過濾器（+圖標）並添加設備（Linux 3.4.39 sunxi_usb_udc RNDIS/Ethernet Gadget [0333]驅動）

彈出bunny

將開關調到狀態2和3，然後重復步驟2-4

打開你的vm，並且保持bunny未插入狀態

在vm上wget bb.sh腳本

運行`sudo bash bb.sh`並按照引導設置

當bunny不在arm模式（位置3），在第三步後插入bunny

如果你操作正確的話，腳本會在這個階段“檢測”bunny

最後一步是再次使用你剛剛的設置“connect”主菜單後按“C”

現在你應該能夠ssh到bunny，並可通過ping命令測試連接狀態

DNS問題

完成上述配置步驟後，我可以SSH連接到我的bunny。

不幸的是，我無法正確下載任何內容或是更新它。

經過一番折騰後，我查看了一下在設備上的resolv.conf文件。

[email protected]:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8
 
: icmp_seq=1 ttl=43 time=26.7 ms
^C
--- 8.8.8.8 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 26.766/26.766/26.766/0.000 ms
[email protected]:~# ping google.com
^C
[email protected]:~# cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 8.8.8.8
nameserver 8.8.4.4

我發現我的 pfSense 被配置為阻止所有傳出的DNS請求。為了後續演示的方便，這裏我禁用了我的防火墻規則。

工具安裝

在Bash Bunny QuickCreds payload工作之前，我需要在設備上使用Responder。

首先，我將 ToolsInstaller 包添加到switch1有效載荷中。

接下來，我將QuickCreds有效載荷添加到switch2中。

不幸的是，ToolsInstaller的安裝仍然失敗。

接下來，我手動創建了一個名為pentest的文件夾。

完成創建後，我手動上傳了impacket和responder到設備。

但不幸的是，安裝依舊失敗。

固件更新

至此我意識到可能是固件的問題，因此我決定更新我的固件版本。

進入下載頁面，我發現目前最新的版本為1.3。

我按照頁面的更新說明，完成了對設備上的固件更新操作。

成功安裝

接著，我將Responder移動到了/tools/responder並嘗試了快速攻擊。

但問題再次出現，Bunny並沒有顯示攻擊成功的綠光，我相信這肯定是Responder的問題。

最後，我找到了.deb文件，並成功安裝了Responder！

執行

現在到了最激動人心的時刻了，我決定拿我女朋友加密鎖定的筆記本電腦作為我的滲透目標。

我將bunny插入了她的筆記本，可以看到琥珀色的燈光。

沒過幾秒鐘燈光顏色變成了綠色，說明我們的payload成功被執行。

檢查設備後我們發現，多了一個包含NTLM哈希的文件。

哈希破解

根據女友提供給我的一小點提示，我開始嘗試破解哈希密碼。

Rays-MacBook-Pro:testing doyler$ hashcat -a 3 -m 5600 -i --increment-min=1 --increment-max=10 hash.txt ?l?l?l?l?l?l?l?l?l?l 
hashcat () starting...

OpenCL Platform #1: Apple
=========================
* Device #1: Intel(R) Core(TM) i7-6920HQ CPU @ 2.90GHz, skipped.
* Device #2: Intel(R) HD Graphics 530, 384/1536 MB allocatable, 24MCU
* Device #3: AMD Radeon Pro 460 Compute Engine, 1024/4096 MB allocatable, 16MCU

Hashes: 2 digests; 1 unique digests, 1 unique salts
Bitmaps: 16 bits, 65536 entries, 0x0000ffff mask, 262144 bytes, 5/13 rotates

Applicable optimizers:
* Zero-Byte
* Not-Iterated
* Single-Hash
* Single-Salt
* Brute-Force

Watchdog: Temperature abort trigger disabled.
Watchdog: Temperature retain trigger disabled.

The wordlist or mask that you are using is too small.
This means that hashcat cannot use the full parallel power of your device(s).
Unless you supply more work, your cracking speed will drop.
For tips on supplying more work, see: https://hashcat.net/faq/morework

Approaching final keyspace - workload adjusted.           

Session..........: hashcat                                
Status...........: Exhausted
Hash.Type........: NetNTLMv2
Hash.Target......: GIRLFRIEND::Girlfriend-THINK:dexxxxx...000000
Time.Started.....: Fri Jul 14 19:40:47 2017 (0 secs)
Time.Estimated...: Fri Jul 14 19:40:47 2017 (0 secs)
Guess.Mask.......: ?l [1]
Guess.Queue......: 1/10 (10.00%)
Speed.Dev.#2.....:        0 H/s (0.45ms)
Speed.Dev.#3.....:        0 H/s (0.00ms)
Speed.Dev.#*.....:        0 H/s
Recovered........: 0/1 (0.00%) Digests, 0/1 (0.00%) Salts
Progress.........: 26/26 (100.00%)
Rejected.........: 0/26 (0.00%)
Restore.Point....: 0/1 (0.00%)
Candidates.#2....: q -> x
Candidates.#3....: [Generating]



Session..........: hashcat
Status...........: Running
Hash.Type........: NetNTLMv2
Hash.Target......: GIRLFRIEND::Girlfriend-THINK:dexxxxx...000000
Time.Started.....: Wed Jul 19 12:28:22 2017 (1 sec)
Time.Estimated...: Wed Jul 19 12:28:26 2017 (3 secs)
Guess.Mask.......: ?l?l?l?l?l?l?l?l?l?l [10]
Guess.Queue......: 1/1 (100.00%)
Speed.Dev.#2.....: 12865.7 kH/s (4.11ms)
Speed.Dev.#3.....: 60526.9 kH/s (7.08ms)
Speed.Dev.#*.....: 73392.6 kH/s
Recovered........: 0/1 (0.00%) Digests, 0/1 (0.00%) Salts
Progress.........: xxxxxxxx/308915776 (xx%)
Rejected.........: 0/88440832 (0.00%)
Restore.Point....: xxxxxxxx/308915776 (xx%)
Candidates.#2....: xxxxxxxxxx -> xxxxxxxxxx
Candidates.#3....: xxxxxxxxxx -> xxxxxxxxxx

GIRLFRIEND::Girlfriend-THINK:dexxxxx:xxxxx:xxxxx:(password here)

總結

在成功破解密碼後，我成功登陸到了我女友的筆記本。

這是我在bunny上成功使用的第一個payload。

最後，如果你有其他關於payload更好的想法或建議，或嘗試編寫一些個人的payload，那麽歡迎與我取得聯系並分享你的成果。

使用Bash Bunny從被鎖定的系統抓取登陸憑據