当poison Tap插入被锁定/密码保护的电脑时：

• 模拟以太设备通过USB
• 从机器劫持所有上网流量（尽管是一个低级优先级/未知的网络接口）
• 存储Alexa排名top 1000000 的网站的http cookies 和sessions
• 暴露内部路由器给攻击者，使攻击者可以访问远程WebSocket并且重新绑定DNS（感谢马特·奥斯汀DNS重新绑定的想法！）
• 安装在HTTP缓存持久基于Web的后门为成千上万个域名和常见的JavaScript CDN的URL，都通过缓存中毒访问用户的cookie
• 允许攻击者在任何后门域中可以远程强制使用用户的cookie进行HTTP请求和代理回应响应（GET＆POST）
• 不需要机器解锁
• 即使设备被删除偷走，后门访问仍然继续

详细的视频介绍：

[embed]http://v.youku.com/v_show/id_XMTgyMjc3NDU2OA==.html[/embed]

poison Tap 绕过以下安全机制：

• 密码保护与屏幕锁定
• 路由表优先级和和网络接口循序
• 同源策略
• X-Frame-Options
• HttpOnly Cookies
• SameSite cookie的属性
• 双因素/多因素验证（2FA / MFA）
• DNS绑定
• 跨域资源共享(CORS）
• 当安全标记cookie和HSTS未启用时进行HTTPS cookie 保护

PoisonTap

PoisonTap是由 价值5$的Raspberry Pi Zero构建的，除了微型USB电缆和microSD卡之外不需要任何其它额外组件，但PoisonTap可以在其它可以模拟USB小部件（如USB Armory和LAN Turtle）的设备上工作。

(incredible HTML5 canvas animation by Ara) Video Demo: https://youtu.be/Aatp5gCskvk Point of Contact: @SamyKamkar // https://samy.pl Released: November 16, 2016 Source code and download: https://github.com/samyk/poisontapHow PoisonTap Works

PoisonTap通过利用机器和网络的各种机制（包括USB / Thunderbolt，DHCP，DNS和HTTP）中现有的信任来产生级联效应，从而产生信息渗透，网络访问和半永久后门的安装的雪球效应。

简而言之，PoisonTap执行以下操作：

网络攻击

1.网络劫持攻击者将PoisonTap（例如武装强化的Raspberry Pi Zero）插入锁定的计算机（即使计算机受密码保护） 2.PoisonTap模拟以太网设备（例如，USB / Thunderbolt） - 默认情况下，Windows，OS X和Linux识别以太网设备，自动将其作为低优先级网络设备加载并在其上执行DHCP请求，即使机器被锁定或密码保护 3.PoisonTap响应DHCP请求并为机器提供IP地址，但是DHCP响应的目的是告诉机器整个IPv4空间（0.0.0.0 - 255.255.255.255）是PoisonTap本地网络的一部分，而不是子网（如192.168.0.0 - 192.168.0.255）

• 通常，如果次要网络设备连接到机器，因为它将被给予比现有（受信任）网络设备更低的优先级，并且不会取代用于因特网业务的网关，但是...
• 任何路由表/网关优先级/网络接口服务顺序安全性由于“LAN流量”优先级超过“Internet流量”而被绕过
• PoisonTap利用此网络访问，甚至作为低优先级网络设备，因为低优先级网络设备的子网被给予比最高优先级网络设备的网关（默认路由）更高的优先级
• 这意味着如果流量为1.2.3.4，而通常此流量将击中主网络设备（非PoisonTap）的默认路由/网关，PoisonTap实际上获取流量，因为PoisonTap“本地”网络/子网包含1.2 .3.4，以及每个其它IP地址存在;）
• 因此，即使机器连接到具有较高优先级和正确网关（真正的WiFi，以太网等）的另一个网络设备，所有的Internet流量也会经过PoisonTap

抓取Cookie

1.只要Web浏览器正在运行后台，每打开一个页面，服务器后台都要进行http请求（例如加载新广告，将数据发送到分析平台，或者只是继续跟踪您的网络运动）

• 你可以验证这一点，通过进入devtools / inspector（通常是Cmd + Shift + I或Ctrl + Shift + I），然后点击一个访问量很大的网站，点击网络选项卡，并观察作为远程资源继续访问，即使你在页面上没有采取任何操作。

2.根据此HTTP请求，由于所有流量都退出到PoisonTap设备，PoisonTap DNS欺骗即时返回其自己的地址，导致HTTP请求命中PoisonTap Web服务器（Node.js）

• 如果DNS服务器指向PoisonTap无法获得特权的内部IP（LAN），攻击继续有效，因为内部DNS服务