如何构建完美的Dropbox（上）

Dropbox是一款免费网络文件同步工具，是Dropbox公司运行的在线存储服务，通过云计算实现因特网上的文件同步，用户可以存储并共享文件和文件夹。Dropbox提供免费和收费服务，Dropbox的收费服务包括DropboxPro和 Dropbox for Business。在不同操作系统下有客户端软件，并且有网页客户端。

即便如此完美的工具，也发生过网络安全事故。早在2012 年,Dropbox 超过6000万帐户资料就被盗过一次。再比如在2016年，攻击者利用Dropbox传播了一种名为petya的勒索软件，他们点击存储在Dropbox共享上，而用户没有意识到，只要点击Dropbox后他们的计算机上就会安装病毒。

我们一直在为FriendlyArmNanoPiR1S单板计算机(SBC)制作软件映像，他们将用它来演示一些近距离攻击技术。我将通过安装Armbian发行版以及P4wnP1ALOA详细介绍配置R1S的过程。我们还将快速了解如何将USBProxy配置为一个键盘记录器。

首先，我们将利用MaMe82的P4wnP1将R1S配置为USB攻击的平台，虽然最初是为Raspberry PiZeroW创建的，但从本质上讲，没有任何限制。Raspberry Pi Zero W，在中国，大家叫我树莓派Zero W，在这里，我简称为RPi ZeroW。

我作为树莓派家族里的新生代宠儿，与前辈1代一样用ARM11内核的BCM2835处理器，但我的运行速度比之提升了约40%。

相比RaspberryPiZero，我增加了与3代B一样的WiFi和蓝牙，能适应更多场合。我们真正需要的是带有USB设备控制器(UDC)的SBC，以及通过该设备控制器进行通信的某种方式!R1S完全符合上述描述，它具有2个千兆以太网端口，我们可以在设置时最初使用它们，但最终我们将专用于以太网攻击，具体的过程我们稍后介绍。R1S还具有内置的WiFi，尽管它不是特别好的芯片组!但是，我们可以将其用作访问点以允许远程访问设置的dropbox。我们还可以将USB主机端口用于LTE调制解调器或更长距离的其他网络接口。但首先，我们将使用默认情况下Armbian在USB端口上提供的串行控制台进行连接。

我们将以ArmbianBuster当前版本(Armbian_20.02.1_Nanopi-r1_buster_current_5.4.20.7z)为基础。下载文件，解压缩.img文件，然后按照Armbian网站上的说明将其写入microSD卡。通常，我会执行以下操作，但要确保你使用的设备是正确的设置!

完成后，将microSD卡插入R1S，然后使用microUSB线将R1S连接到计算机。确保你选择的线是数据线，而不仅仅是充电线!几分钟后，你应该在主机上看到一个串行端口(这发生在R1S启动并扩展文件系统以填充SD卡之后)。如果看不到新的串行端口，请检查数据线!

dmesg -w显示R1S的枚举

你应该能够使用首选的终端仿真器连接到串行端口，我喜欢使用picocom，并且我相信Windows上的Putty也可以很好地工作。你不必担心波特率，但115200应该可以。使用Linux主机，串行端口枚举为ttyACM设备，例如/dev/ttyACM0。建立连接后，最初的Armbian登录/设置屏幕会打招呼。以“root”用户身份登录，密码为“1234”，然后重新输入密码“1234”以开始将其更改为新密码。记住你的新root密码!你可能不需要创建非特权用户，但是如果你确实愿意，可以这样做!

以root / 1234身份登录，然后更改root密码

在中断或完成“新用户帐户”的创建过程后，注销，然后作为根用户或来自非特权用户的sudo-s重新登录。在引导过程中，我们将一条以太网线从本地网络连接到R1S的WAN端口。几秒钟后，R1S应该分配了一个IP地址。

从本地DHCP服务器获取IP地址

现在我们可以SSH到我们的R1S。我还复制了ssh公钥，以使将来的连接更简单。

在运行P4wnP1之前，我们需要禁用USB串行控制台，以便P4wnP1可以管理USB设备控制器。首先，停止systemd在设备上启动登录提示：

然后，通过阻止加载g_serial模块，停止自动创建串行设备。这样，我们将立即将其卸载，并防止日后再次加载：

现在克隆P4wnP1ALOA存储库，然后将必要的(预构建的)零件复制到正确的位置。理想情况下，我们会从头开始构建，但是在构建过程中目前存在一些错误。幸运的是，为RaspberryPiZero W构建的二进制文件在NanoPi R1S上运行得很好!

现在P4wnP1正在运行，你应该可以在端口8000上以与SSH相同的IP访问P4wnP1Web界面，即http://nanopi-r1:8000。这里没有身份验证，因为假设P4wnP1公开的网络是一个受信任的网络。

现在是测试USB配置是否正常的好时机，你应该能够使用右侧的复选框选择一个或多个USB类来实施。我通常喜欢实现键盘和鼠标以及自定义的HID设备。然后，确保左上角的USB已启用，然后单击“部署”。

配置P4wnP1 USB配置文件

你应该看到R1S连接到的计算机检测到一个新的USB设备。例如，在主机上使用“dmesg”，你应该看到类似以下内容：

如果要在启动时部署此USB配置，则可以单击Store，然后输入“startup”作为配置文件名称。另外，也可以根据需要在手动控制下进行部署。

此时，你应该拥有一个功能正常的P4wnP1设备，并且可以按照Internet上的各种教程来实际使用USB功能来攻击连接的设备。

注意：我发现P4wnP1在配置(在P4wnP1内)连接到现有的接入点时非常不稳定。如果这是你的需要，我宁愿建议使用NetworkManager进行这种配置。在这种情况下，我建议你忽略下一段，并禁用P4wnP1中的WiFi配置，并将其另存为启动配置文件。

现在，你可以使用Web界面中的“WiFi设置”标签，将P4wnP1配置为将Wi-Fi界面作为接入点运行。将其存储为“启动”配置文件的一部分，以在启动时自动对其进行配置。

当设备将在现场部署且没有熟悉的Wi-Fi网络可供连接时，这将很有用。可以说，隐藏SSID有助于将其隐藏起来。当然，一旦你开始与它关联，任何本地WirelessIDS都会很快发现你!或者，你可以选择使用LTE加密狗或其他不太明显的通信机制(例如Bluetooth或802.15.4无线电)进行连接。不过，这里将不讨论如何设置它!

另外，我想我会尝试使用USBProxy设置键盘记录器。尽管它被做了特殊标记，但仍然可以正常使用!这个想法是通过创建相同的USB小工具描述符，并简单地将数据包从一侧复制到另一侧，来“镜像”通过USB-A连接器插入R1S的USB设备。研究USB协议可能是最有趣的，但是开箱即用它也可以充当键盘记录器。

除了要确保首先安装libusb和libusb-dev软件包外，我将不涉及编译的所有细节。同样，默认情况下，键盘记录器功能与ROT13过滤器绑定，因此，你在键盘上输入的任何内容都将由13个字符转置。因此，在编译之前，你可能需要注释掉第153行，其中添加了PacketFilter_ROT13插件。当你在那里时，还应通过将“r+”参数更改为“a+”，将第143行的fopen调用更改为追加到日志文件，而不是将其打开只进行读取。主要原因是，如果输出文件尚不存在，则执行将失败，另一种解决方法是在执行之前修改outputfile。

编译后，你可以运行usb-mitm–k来启动键盘记录器。这会将观察到的击键信息转储到stderr，这可能并没有那么大的帮助。你还可以向-k开关传递一个可选参数，指定要写入的文件：usb-mitm–kkeystrokes，这会将观察到的击键记录在输出文件中。

捕获的击键

总而言之，我们创建了一个USB攻击平台，该平台可用于将击键和鼠标移动注入所连接的受害者，以及执行各种其他USB攻击，例如使用优先级路由来启动USB网络接口。如果有现成的外部USB键盘可以通过R1S插入，我们也可以将其用作USB键盘嗅探器。接下来，我们将研究如何将R1S伪装成以太网人员，插在已授权的受害者和其上游交换机之间。在这种配置中，我们可以利用受害计算机传递任何网络身份验证控制机制的能力，同时“劫持”其IP和MAC地址，以使R1S生成的任何流量实际上都来自受害计算机。

接下来，我将重点介绍两种情况下作为以太网攻击工具的操作。首先，作为可以连接到未使用的以太网端口的Dropbox，并提供对目标网络的远程访问;其次，作为以太网的中间人(EthernetPersonintheMiddle)，可以将其放置在合法设备与其内部设备之间。在上游交换机中，使用合法设备的IP地址和MAC地址覆盖自己的流量。在第二种情况下，我们也可以击败网络访问控制措施，因为合法设备将处理所有这些。

但是，需要注意的一件事是引起任何异常网络流量，这可能会引发警报。一个明显的示例是在计划的apt更新发生时对armbian.org进行DNS查找，或尝试解析0.debian.pool.ntp.org。更复杂的可能是Linux特有的特定DHCP选项和参数，这些选项和参数不适用于只支持windows的网络。在将你的设备连接到潜在的恶意网络之前，最好熟悉你的设备上运行的所有进程，以及它们在网络上的确切样子!稍后我将演示一种最小化这种意外流量的方法。

攻击准备

如上所述，我假设你将内置的WiFi接口配置为你控制的接入点的客户端，或者配置为AP本身，这样我们就可以通过WiFi连接到R1S，而不受P4wnP1的影响。你可以在命令行上使用nmtui连接到串行控制台时完成此操作，如果你确实知道自己在做什么，则可以使用nmcli!设置以太网接口

第一个建议是重命名接口，以对应于案例中的LAN和WAN名称，这有助于避免混淆接口。你可以使用以下命令来完成此操作，该命令可以正确配置systemd-network。

这将在/ etc / systemd /network/中创建两个文件，分别以lan和wan接口命名，并带有应重命名的设备的路径。这些应该是NanoPiR1S的标准配置，但在其他设备上可能会有所不同。你还应该确保NetworkManager不会尝试管理以下接口：

创建这些文件后，请重新启动以激活规则，重命名接口并重新加载NetworkManager。

重命名后的wan和lan接口

让我们考虑这样一个场景：你发现了一个未使用的以太网端口，并希望连接你的设备。这是一个潜在的风险活动，因为任何网络访问控制(NAC)系统可以检测你的未经授权的活动，并警告操作人员。尽管如此，它很可能会成功，因此值得尝试。

你要了解的第一件事是目标端口是否实际存在，幸运的是，我们可以使用NanoPiR1S上的3个LED来获得即时反馈。不幸的是，LAN和WANLED很难看到，呈绿色，而红色SYS LED更容易看到。我建议的配置如下，SYSLED用来显示CPU使用率，WAN和LANLED用来显示链路状态(当链路被检测到时)和被检测到的RX流量(当只接收到流量时闪烁)。

为了在R1S每次启动时都能运行，建议将以上内容添加到/etc/rc.local。请注意，如果没有IP链接设置部分，则链接检测将无法工作!如果你希望红色LED指示WAN链接，请在上面的脚本中交换LED1和LED2。

现在，如果你给R1S通电，只需将以太网线插入WAN或LAN端口，就会告诉你该数据线是否接通，以及该数据线是否有活动。这样可以避免将R1S连接到禁用或断开的端口。也就是说，R1S在以太网端口上也确实有指示灯LED，因此这不是完全必要的!

触发硬件LED的选项，所选触发器位于方括号中，当前为[cpu]

然后，你可以通过WiFi连接并开始监视网络流量，然后再决定要如何进行。例如，请求DHCP租约，或简单地劫持观察到的网络范围内的未使用IP地址。

下一篇文章中，我们将介绍自动化攻击方案、网络访问控制、网络命名空间等可能的攻击手段。