# Hak5 USB Rubber Ducky 按键注入渗透测试工具 > 看起来像普通U盘,插上电脑就伪装成键盘自动敲击指令,几秒内完成装后门抓密码偷文件,渗透测试圈最经典的物理攻击工具 ## Hak5 USB Rubber Ducky — 按键注入神器 **一句话概述:** 看起来像个普通U盘,插上电脑就伪装成键盘,以超快速度自动敲击按键,几秒钟就能装后门、抓密码、偷文件,渗透测试圈最经典的物理攻击工具。 --- ### 核心亮点 - **按键注入攻击鼻祖**:Hak5 开创了 Keystroke Injection 攻击品类,全球渗透测试标配 - **伪装成U盘**:外形和普通U盘一模一样,还附赠仿真磁盘标签贴纸 - **超人类打字速度**:电脑把它当键盘,以人类不可能达到的速度自动输入指令 - **USB-C + USB-A 双接口**:新版本配备 USB-C 接口,台式机笔记本手机全兼容 - **DuckyScript 3.0 编程语言**:简单几行就能写攻击脚本,支持变量、条件判断、循环、函数、随机化 - **Payload Studio IDE**:官方集成开发环境,可视化编写、调试、部署 payload - **PayloadHub 社区**:全球共享的 payload 仓库,数百个现成攻击脚本直接用 - **OS 自动检测**:一秒被动识别目标操作系统(Windows/macOS/Linux/Android),自动执行对应攻击 - **硬件ID伪装**:可克隆任意USB设备的厂商ID、产品ID和序列号 - **侧信道数据外传**:Keystroke Reflection 技术绕过防火墙和气隙隔离,把数据"敲"出来 - **模拟人类打字**:可调节打字节奏,避免被安全软件检测 - **暴力破解**:可编程自动暴力破解 PIN 码、密码、设备黑名单 - **隐藏按钮**:机身内置可编程按压按钮,触发不同 payload - **向下兼容**:完全兼容经典 DuckyScript,旧 payload 直接跑 --- ### 工作原理 ``` 插上 USB Rubber Ducky ↓ 电脑识别为 HID(人机接口设备 = 键盘) ↓ 自动被信任(所有操作系统都信任键盘输入) ↓ 以超高速注入预编程的按键序列 ↓ 几秒内完成:打开终端 → 输入命令 → 下载payload → 执行 ``` **核心原理就是:电脑信任键盘,Ducky 伪装成键盘。** --- ### 典型用途 | 场景 | 说明 | |------|------| | 凭证获取 | 自动打开浏览器提取保存的密码、WiFi 密码 | | 后门植入 | 几秒内建立 reverse shell,远程控制目标 | | 文件窃取 | 快速搜索并外传指定类型文件 | | 权限提升 | 自动执行提权命令,获取管理员权限 | | WiFi 攻击 | 自动连接 WiFi、保存密码配置 | | 系统枚举 | 收集目标系统信息(OS版本、用户、网络配置) | | 暴力破解 | 自动尝试 PIN/密码组合 | | 安全演示 | Red Team 红队演练、安全意识培训 | | 硬件ID克隆 | 伪装成合法设备绕过白名单策略 | --- ### 技术规格 | 参数 | 规格 | |------|------| | 外形尺寸 | U盘大小(约 60×20×10mm) | | 接口 | USB-C(可换 USB-A 外壳) | | 设备模拟 | HID 键盘 + 可切换存储模式 | | 编程语言 | DuckyScript 3.0 Advanced | | 开发工具 | Payload Studio(Community/Pro) | | OS 检测 | 被动指纹识别,1秒内完成 | | 侧信道外传 | Keystroke Reflection 技术 | | 按钮可编程 | 内置隐藏按压按钮 | | 硬件ID | 可自定义 Vendor/Product/Serial | | 防御规避 | 模拟人类打字节奏、文件系统伪装 | | 兼容系统 | Windows / macOS / Linux / Android | | 存储 | microSD(payload 存储) | | 外壳 | USB-A 外壳 + 仿真U盘外壳(可换彩色壳) | --- ### 套装对比 | 套装 | 价格 | 包含内容 | |------|------|---------| | **Basic** | $100 | Rubber Ducky 硬件 + USB-A/C 外壳 + PayloadStudio 社区版 | | **Pro** | $160 | Basic 全部 + PayloadStudio Pro + 32页口袋指南 | | **Elite** | 售罄 | Pro 全部 + 270页教材(50+练习项目) | ### 可选配件 | 配件 | 价格 | |------|------| | Advanced DuckyScript 课程 | $60 | | 多彩色外壳 | $20 | | 精神徽章 | $5 | | 口袋指南 | $10 | --- ### 价格参考 | 渠道 | 价格 | 备注 | |------|------|------| | Hak5 官网 | **$100 USD**(Basic)/ $160(Pro) | 全球包邮 1-3 天 | | 淘宝 | ¥500 ~ ¥800 | 注意区分正版/山寨 | | 京东 | ¥600 ~ ¥1000 | 标配/套装不同 | --- ### vs 同类产品 | 对比 | **USB Rubber Ducky** | **Bash Bunny** | **Flipper Zero** | **P4wnP1** | |------|---------------------|----------------|------------------|------------| | 攻击方式 | 按键注入 | 多功能 | 多功能 | 按键注入+网络 | | 伪装 | U盘 | USB hub | 掌机玩具 | Raspberry Pi | | 编程 | DuckyScript | Bash | 图形化/脚本 | Python/Bash | | 价格 | $100 | $80 | $169 | DIY | | 门槛 | 极低 | 低 | 低 | 中等 | | 生态 | 15年+ 最成熟 | 成熟 | 非常活跃 | 小众 | **按键注入领域的绝对标杆,入门渗透测试的第一个硬件工具。** --- **分类**:商品 **标签**:自动 · USB · 按键 **作者**:Xiao.Xi **链接**:https://octohz.com/p/1864