RASPBERRY PI ZERO 安装 P4WNP1 文 /Dr 0x00 概述 P4wnP1 是一个基于 Raspberry PI Zero 或 Raspberry PI Zero W 打造的高度定制化的 USB 攻击平台 利用该平可以实现获取 Windows shell 破解锁屏的 Windows 密码等功能 其具体原理为利用 Raspberry PI 模拟 HID 实现攻击 0x01 环境及设备 Win10 专业版 Raspberry PI Zero W micro USB To U 线 读卡器 0x02 安装系统 1. 首先下载操作系统,P4wnP1 的官方 Wiki 上推荐使用 Stretch Lite image, 直接下载该 系统 2. 利用 SD Card Formatter 软件格式化存储卡 3. 将下载的操作系统写入至 U 盘, 该步骤与制作启动 U 盘的过程类似, 但不能使用某桃 某菜类的软件进行写入 本文中使用的是 Etcher, 网上也有一些教程是使用 Win32 Disk Imager, 都可以
4. 修改写入系统的配置文件 将系统写入 U 盘之后, 在文件面板中可以看到有一个 boot 盘符 ( 如果没有可以插拔 U 盘试一下 ) 进入该盘符, 找到并打开 config.txt 文件, 在文件的末尾添加 dtoverlay=dwc2, 保 存并退出 然后打开 cmdline.txt 文件, 找到 rootwait 字符, 并在 rootwait 字符后面添加 modulesload=dwc2,g_ether 字符, 保存并退出
5. 在 2016 年 11 月份之后发布的 RASPBIAN 系统 ( 即刚刚下载的系统 ) 默认是禁用 SSH 的 需要在 boot 目录中添加一个名称为 ssh 的空白文件 注意该文件的名称为 ssh, 无任何后缀, 不创建本文件后面无法利用 ssh 进行连接 0x03 连接 Raspberry PI Zero 将 SD 卡放至 Raspberry PI Zero W 当中, 然后利用 USB 转换线将 Win10 与 Raspberry PI 的第二个 micro usb 接口相连 此时 win10 会自动安装驱动, 可以利用设备管理器进行查看 如果新安装的设备为网络适配器, 即 RNDIS/Ethernet Gadget 则证明设备安装正确, 可直接跳过下一步骤, 进入连接阶段 如果识别的设备为串口设备, 则需要按照下面的步骤进行设置 ( 网上有一篇文档介绍了使用了与本文不同的方法, 由于过程过于复杂, 作者并未进行测试, 有兴趣的小伙伴自行测试一下 )
0x04 解决 Raspberry PI Zero W 会被识别为 COM 设备的问题 1. 安装 bonjour, 下载 bonjour 并安装 2. 安装 RNDIS 驱动 下载该 zip 文件, 并将其解压某一目录 然后在设备管理器中右键 USB 串行设备, 在弹出的对话框中选择更新驱动程序 弹出如下对话框 选择 浏览我的计算机以查找驱动程序软件, 然后找到驱动解压的目录, 点击下一 步, 便会提示成功更新驱动程序 此时在设备管理界面看到如下的设备, 则证明驱动 安装成功
0x05 连接 Raspberry PI Zero W 在 xshell putty 或 SecuCRT 等任一 SSH 连接软件中, 运行 ssh pi@raspberrypi.local 命 令, 密码 raspberry, 连接至 Raspberry PI Zero W 0x06 配置 SSH 并设置网络共享 1. 开启 SSH 服务 进入 RaspberryPI 之后, 运行 sudo raspi-config 命令, 此时会弹出 R aspberry PI Software Configuration Tool 命令会话框 在其中利用方向键选择 5 Interfacing Options 然后回车进入
选择 P2 SSH 回车, 此时会弹出是否想开启 SSH Server 的询问框, 选择 Yes 即可 接下来利用 Tab 键, 将光标导向至 Finish, 回车确认一下, 便开启了 SSH 服务 最后在终端的命令行界面运行 sudo update-rc.d ssh enable 命令, 将 ssh 服务设置为开机启动 2. 设置 USB 网络共享连接 打开 Windows 的网络连接面板, 可以看到此时会有一个新增的以太网 6( 每个人的名称可能会不一样 ) 选择已经联网的网络适配器, 本文中是 WLAN, 然后右键选择属性, 在弹出的对话框中 选择网络选项 会看到一个下拉选框, 在该下拉选框中选择新出现的网络适配器, 然后 一路确定即可
3. 重启 Raspberry PI 0x07 安装 P4wnP1 1. 重新登录 Raspberry PI, 然后 ping www.qingteng.cn, 便可以看到有数据进行传输了 如果网络 ping 不通的话, 可以尝试在 windows 中换一个网卡进行共享 2. 安装 P4wnP1 执行 git clone recurive https://github.com/mame82/p4wnp1 命令从 git 下载 P4wnP1 库 ( 注意一定要添加 ---recurive 参数, 如果没有该参数, 否则可能会导致安装失败 ), 下载完毕后, 进入 P4wnP1 目录, 然后执行./install.sh 命令, 此时便开始安装 P4wnP1 ( 安装时可能会有 wireshark 的弹窗, 询问是否允许非 root 用户使用 wireshark 进行抓包, 选择 yes 即可 )
等待一段时间, 如果一切正常的话会出现如下界面, 证明安装成功 3. 重启 RaspberryPI, 然后打开电脑的无线网络, 会看到有一个 P4wnP1 的无线网络, 连 接该无线网络
4. 成功连接无线网之后在 ssh 终端运行 ssh pi@172.24.0.1 命令, 密码 :raspberry, 命令连接 Raspberry PI 5. 打开 P4wnP1 目录中的 setup.cfg 文件, 在该配置文件中配置无线网络的名称 无线密码及加载的 payload 找到 Payload selection 选项, 注释其它 payload, 取消 PAYLOA D=hid_backdoor.txt 的注释, 保存并退出 0x08 P4wnP1 利用 1. 将配置好的 Raspberry PI 利用 USB 线连接至目标主机 2. 等待一段时间后, 会在无线网络中出现配置好的无线网络, 连接该无线网 然后利用 s sh 终端登录至 Raspberry PI 登录进去之后便会进入到一个 shell 会话当中
3. 在 shell 会话当中, 可以利用 help 命令查看支持的命令列表 可以看到系统支持很多命令, 但是许多命令此时是无法执行的 并且在执行其它命令之前需要设置键盘的语言, 如果键盘语言设置不正确, 会出现命令无法执行的问题 由于 payload 是通过在目标主机上执行 powershell 的方式进行执行的, 语言设置不正确, 则会在目标主机上弹出 powershell 窗口, 且 powershell 窗口不关闭的尴尬情况, 很容易便会让人发现 4. 输入 SetKeyboardLanguage 命令选择键盘的语言 在 ThinkPad 上进行测试时发现, 需要将 KeyboardLanguage 设置为 us, 而不是 ch 设置完成后可以利用 GetKeyboard Language 命令查看是否设置成功
5. 成功设置好 KeyboardLanguage 之后, 运行 FireStage1 命令便会连接目标主机 运行 FireStage1 命令之后, 会在目标主机上弹出一个 powershell 终端窗口, 然后自动输入代码并执行, 大约会有 2~3 秒的时间 成功之后会在 shell 中看到 client connectd 的状态 6. 成功连接目标主机之后, 可以执行其它命令获取系统信息 例如运行 ls 命令显示当前目 录下的文件 直接执行 shell 命令获取系统的 shell 0x09 参考链接 https://www.raspberrypi.org/downloads/raspbian/ https://etcher.io/ http://www.freebuf.com/articles/wireless/149832.html https://github.com/samyk/poisontap/issues/75
https://answers.microsoft.com/en-us/windows/forum/windows_10-networking/windows-10 -vs-remote-ndis-ethernet-usbgadget-not/cb30520a-753c-4219-b908-ad3d45590447?pag e=3 https://support.apple.com/kb/dl999?locale=zh_cn http://domotique.caron.ws/cartes-microcontroleurs/raspberrypi/pi-zero-otg-ethernet/ http://domotique.caron.ws/wp-content/uploads/telechargement/rpi%20driver%20otg.zi p http://www.circuitbasics.com/raspberry-pi-zero-ethernet-gadget/ http://p4wnp1.readthedocs.io/en/latest/getting-started-subfolder/installation/ http://www.freebuf.com/articles/wireless/149832.html http://p4wnp1.readthedocs.io/en/latest/getting-started-subfolder/setup.cfg/